T1569

سرویس‌های سیستمی

System Services

توضیحات

مهاجمان از سرویس‌ها یا daemon‌های سیستمی برای اجرای دستورات یا برنامه‌ها سوءاستفاده می‌کنند. سرویس‌ها اغلب در هنگام بوت سیستم برای پایداری اجرا می‌شوند، اما می‌توانند برای اجرای موقت نیز استفاده شوند. این تکنیک در پلتفرم‌های ویندوز، لینوکس و macOS قابل اجرا است.

زیرتکنیک‌ها (3)

شناسهنام

T1569.001

LaunchctlLaunchctl

مهاجمان از launchctl در macOS برای مدیریت و اجرای سرویس‌های LaunchAgent و LaunchDaemon سوءاستفاده می‌کنند. launchctl ابزار خط فرمان macOS برای تعامل با launchd است. مهاجمان می‌توانند از launchctl برای بارگذاری سرویس‌های مخرب و اجرای کد با سطح دسترسی بالا استفاده کنند.

T1569.002

اجرای سرویسService Execution

مهاجمان از Service Control Manager ویندوز برای اجرای کد مخرب از طریق سرویس‌های ویندوز استفاده می‌کنند. ابزارهایی مانند sc.exe، PsExec و سایر ابزارهای مدیریت سرویس می‌توانند برای ایجاد و اجرای سرویس‌های مخرب استفاده شوند. این تکنیک اغلب برای حرکت جانبی و اجرای کد از راه دور استفاده می‌شود.

T1569.003

SystemctlSystemctl

مهاجمان از systemctl در لینوکس برای مدیریت و اجرای سرویس‌های systemd سوءاستفاده می‌کنند. systemctl ابزار خط فرمان اصلی برای کنترل systemd است. مهاجمان می‌توانند از systemctl برای فعال‌سازی، شروع یا ایجاد سرویس‌های مخرب استفاده کنند.

روش‌های شناسایی

نظارت بر ایجاد و تغییر سرویس‌های سیستمی. بررسی لاگ‌های Service Control Manager. شناسایی سرویس‌های با مسیرهای فایل مشکوک. تحلیل سرویس‌های جدید ایجاد شده.

روش‌های مقابله

محدود کردن دسترسی به ابزارهای مدیریت سرویس. نظارت بر تغییرات در سرویس‌های سیستمی. استفاده از حداقل سطح دسترسی. بررسی منظم سرویس‌های در حال اجرا. پیاده‌سازی Application Whitelisting.