T1007-系统服务发现
来自ATT&CK的描述
攻击者可能会尝试获取有关注册服务的信息。可以使用操作系统程序获取有关服务的信息的命令是“sc”,使用Tasklist的“ tasklist /svc” 和使用Net命令的“net start” ,但是攻击者也可以使用其他工具。攻击者可以在自动发现过程中使用“ 系统服务发现”中的信息来决定后续行动该如何开展,包括攻击者是否完全感染目标或尝试执行特定操作。
测试案例
windows下执行sc相关命令、tasklist /svc、net start
检测日志
windows 安全日志
测试复现
C:\Windows\system32>sc query
SERVICE_NAME: BFE
DISPLAY_NAME: Base Filtering Engine
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
C:\Windows\system32>tasklist /svc
映像名称 PID 服务
========================= ======== ============================================
System Idle Process 0 暂缺
System 4 暂缺
smss.exe 288 暂缺
csrss.exe 420 暂缺
csrss.exe 532 暂缺
wininit.exe 576 暂缺
winlogon.exe 584 暂缺
services.exe 664 暂缺
C:\Windows\system32>net start
已经启动以下 Windows 服务:
Background Tasks Infrastructure Service
Base Filtering Engine
CDPUserSvc_11e76e
Certificate Propagation
CNG Key Isolation
COM+ Event System
COM+ System Application
测试留痕
windows 安全日志、进程创建、进程关闭、命令行参数等
检测规则/思路
sigma规则
title: windows 系统服务发现
description: windows server 2016
references:
tags: T1007
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID: 4688 #已创建新的进程。
Newprocessname: 'C:\Windows\System32\sc.exe' #进程信息>新进程名称
Creatorprocessname: 'C:\windows\system32\cmd.exe' #进程信息>创建者进程名称
Processcommandline: SC * #进程信息>进程命令行
condition: selection
level: medium
title: windows 系统服务发现
description: windows server 2016
references:
tags: T1007
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection1:
EventID: 4688 #已创建新的进程。
Newprocessname: 'C:\Windows\System32\tasklist.exe' #进程信息>新进程名称
Creatorprocessname: 'C:\Windows\System32\cmd.exe' #进程信息>创建者进程名称
Processcommandline: tasklist * #进程信息>进程命令行
selection2: # *5
EventID: 4703 #一个用户的权限被调整。
ProcessName: 'C:\Windows\System32\whoami.exe' #进程信息>进程名
EnabledPrivileges: 'SeDebugPrivilege' #启用的权限
selection3:
EventID: 4690 #试图将句柄复制到对象。
selection4:
EventID: 4658 #已关闭到对象的句柄。
ProcessName: 'C:\Windows\System32\wbem\WmiPrvSE.exe' #进程信息>进程名
selection5:
EventID: 4656 #已请求到对象的句柄。
Objectname: '\Device\HarddiskVolume4\Windows\System32\lsass.exe' #对象>对象名
ProcessName: 'C:\Windows\System32\wbem\WmiPrvSE.exe' #进程信息>进程名
selection6:
EventID: 4633 #试图访问对象。
Objectname: '\Device\HarddiskVolume4\Windows\System32\lsass.exe' #对象>对象名
ProcessName: 'C:\Windows\System32\wbem\WmiPrvSE.exe' #进程信息>进程名
Access: 读取进程内存 #访问请求信息>访问
selection7:
EventID: 4658 #已关闭到对象的句柄。
ProcessName: 'C:\Windows\System32\wbem\WmiPrvSE.exe' #进程信息>进程名
selection8:
EventID: 4689 #已退出进程
ProcessName: 'C:\Windows\System32\tasklist.exe' #进程信息>进程名
Exitstatus: 0x0 #进程信息>退出状态
timeframe: last 1m #可根据实际情况调整
condition: all of them
level: medium
title: windows 系统服务发现
description: windows server 2016
references:
tags: T1007
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection1:
EventID: 4688 #已创建新的进程。
Newprocessname: 'C:\Windows\System32\net.exe' #进程信息>新进程名称
Creatorprocessname: 'C:\windows\system32\cmd.exe' #进程信息>创建者进程名称
Processcommandline: net start #进程信息>进程命令行
selection2:
EventID: 4688 #已创建新的进程。
Newprocessname: 'C:\Windows\System32\net1.exe' #进程信息>新进程名称
Creatorprocessname: 'C:\Windows\System32\net.exe' #进程信息>创建者进程名称
Processcommandline: C:\Windows\system32\net1 start #进程信息>进程命令行
selection3:
EventID: 4689 #已退出进程
ProcessName: 'C:\Windows\System32\net1.exe' #进程信息>进程名
selection4:
EventID: 4689 #已退出进程
ProcessName: 'C:\Windows\System32\net.exe' #进程信息>进程名
timeframe: last 1m #可根据实际情况调整
condition: all of them
level: medium
建议
系统服务发现方法有很多,不能一一列举。
参考推荐
MITRE-ATT&CK-T1007