跳转至

T1489-win-停止服务

来自ATT&CK的描述

攻击者可以停止或禁用系统上的服务,以使合法用户无法使用这些服务。停止关键服务可以抑制或停止这些服务对攻击者入侵相关事件的响应,或者帮助攻击者对系统环境进行破坏。 攻击者可以禁用对组织很重要的单个服务来实现这一目标,例如MSExchangeIS,这回导致Exchange内容无法访问。在某些情况下,攻击者可能会停止或禁用许多或所有服务,从而使系统无法使用。服务可能不允许在运行时修改其存储的数据。攻击者可能会停止服务,从而对Exchange和SQL Server等服务的存储数据进行销毁数据和加密数据。

测试案例

使用Windows命令行启动关闭服务(net,sc用法),最好是在管理员权限下使用

net用于打开没有被禁用的服务

NET命令是功能强大的以命令行方式执行的工具。

它包含了管理网络环境、服务、用户、登陆大部分重要的管理功能,关于这些功能这里不再一一讲解,具体可参考微软官方说明。

启动和关闭服务的时候,其语法是:

net start 服务名

net stop 服务名

sc可用于打开被禁用的服务

使用sc程序(也可以查看服务状态)可以创建服务、删除服务、打开与关闭服务

sc是用于与服务控制管理器和服务进行通信的命令行程序,其语法是:

sc config 服务名 start= demand     //手动

sc config 服务名 start= auto       //自动

sc config 服务名 start= disabled //禁用

sc start 服务名  开启服务

sc stop 服务名  停止服务

sc query 服务名  查看服务状态

 sc  delete  服务名    删除服务

 sc qc 服务名      查看服务的配置信息

sc create scname binPath=xxx.exe  创建服务

检测日志

windows 安全日志

测试复现

这里只演示使用net命令关闭服务,利用sc命令关闭服务的方法,在这里不做演示。

C:\Users\Administrator>net stop vmtools

VMware Tools 服务已成功停止。

C:\Users\Administrator>net start vmtools
VMware Tools 服务正在启动 .
VMware Tools 服务已经启动成功。

通过观察本地服务信息,发现vmtools服务已经被关闭。记得是net stop后面跟的是服务名称。

测试留痕

windows 安全日志

已创建新进程。

创建者主题:
 安全 ID:  QAX\Administrator
 帐户名:  Administrator
 帐户域:  QAX
 登录 ID:  0x7169C

目标主题:
 安全 ID:  NULL SID
 帐户名:  -
 帐户域:  -
 登录 ID:  0x0

进程信息:
 新进程 ID:  0xd9c
 新进程名称: C:\Windows\System32\net.exe
 令牌提升类型: %%1936
 强制性标签:  Mandatory Label\High Mandatory Level
 创建者进程 ID: 0x15d0
 创建者进程名称: C:\Windows\System32\cmd.exe
 进程命令行: net  stop vmtools

检测规则/思路

sigma规则

title: windows下使用net/sc命令关闭服务
description: Windows下使用net stop/sc stop 关闭服务,用于逃避监视。
tags: T1489
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4688 #进程创建
        Processcommandline|contains: 
            - 'net stop'  #进程信息>进程命令行
            - 'sc stop' #进程信息>进程命令行
    condition: selection
level: low

建议

监视进程和命令行参数用于查看关键进程是运行还是停止运行。

参考推荐

MITRE-ATT&CK-T1489

https://attack.mitre.org/techniques/T1489/

使用Windows命令行启动关闭服务(net,sc用法)

https://www.cnblogs.com/qlqwjy/p/8010598.html