اجرای سرویس
Service Executionتوضیحات
مهاجمان از Service Control Manager ویندوز برای اجرای کد مخرب از طریق سرویسهای ویندوز استفاده میکنند. ابزارهایی مانند sc.exe، PsExec و سایر ابزارهای مدیریت سرویس میتوانند برای ایجاد و اجرای سرویسهای مخرب استفاده شوند. این تکنیک اغلب برای حرکت جانبی و اجرای کد از راه دور استفاده میشود.
روشهای شناسایی
نظارت بر ایجاد سرویسهای جدید. بررسی لاگهای Service Control Manager. شناسایی استفاده از sc.exe و PsExec. تحلیل سرویسهای با مسیرهای مشکوک.
روشهای مقابله
محدود کردن دسترسی به Service Control Manager. نظارت بر ایجاد سرویسهای جدید. استفاده از حداقل سطح دسترسی. پیادهسازی Application Whitelisting. بررسی منظم سرویسهای ویندوز.
تکنیک اصلی
سرویسهای سیستمی
مهاجمان از سرویسها یا daemonهای سیستمی برای اجرای دستورات یا برنامهها سوءاستفاده میکنند. سرویسها اغلب در هنگام بوت سیستم برای پایداری اجرا میشوند، اما میتوانند برای اجرای موقت نیز استفاده شوند. این تکنیک در پلتفرمهای ویندوز، لینوکس و macOS قابل اجرا است.
سایر زیرتکنیکها (2)