سرویس ویندوز
Windows Serviceتوضیحات
مهاجمان سرویسهای ویندوز را ایجاد یا تغییر میدهند تا کد مخرب را با سطح دسترسی SYSTEM اجرا کنند. سرویسهای ویندوز میتوانند برای اجرا، پایداری و ارتقاء سطح دسترسی استفاده شوند. ابزارهایی مانند sc.exe، PsExec و Metasploit برای این منظور استفاده میشوند.
روشهای شناسایی
نظارت بر ایجاد سرویسهای ویندوز جدید. بررسی لاگهای Service Control Manager. شناسایی سرویسهای با مسیرهای مشکوک. تحلیل سرویسهای با دسترسی SYSTEM.
روشهای مقابله
محدود کردن دسترسی به ایجاد سرویس. نظارت بر سرویسهای ویندوز. استفاده از حداقل سطح دسترسی. پیادهسازی Application Whitelisting. بررسی منظم سرویسهای در حال اجرا.
تکنیک اصلی
ایجاد یا تغییر فرآیند سیستمی
مهاجمان فرآیندهای سطح سیستم را ایجاد یا تغییر میدهند تا کد مخرب را به طور مکرر اجرا کنند. سرویسهای ویندوز، daemonهای لینوکس و Launch Agent/Daemonهای macOS میتوانند برای اجرای payloadهای مخرب با سطح دسترسی بالا پیکربندی شوند.
سایر زیرتکنیکها (3)