T1489-win-停止服务
来自ATT&CK的描述
攻击者可以停止或禁用系统上的服务,以使合法用户无法使用这些服务。停止关键服务可以抑制或停止这些服务对攻击者入侵相关事件的响应,或者帮助攻击者对系统环境进行破坏。 攻击者可以禁用对组织很重要的单个服务来实现这一目标,例如MSExchangeIS,这回导致Exchange内容无法访问。在某些情况下,攻击者可能会停止或禁用许多或所有服务,从而使系统无法使用。服务可能不允许在运行时修改其存储的数据。攻击者可能会停止服务,从而对Exchange和SQL Server等服务的存储数据进行销毁数据和加密数据。
测试案例
使用Windows命令行启动关闭服务(net,sc用法),最好是在管理员权限下使用
net用于打开没有被禁用的服务
NET命令是功能强大的以命令行方式执行的工具。
它包含了管理网络环境、服务、用户、登陆大部分重要的管理功能,关于这些功能这里不再一一讲解,具体可参考微软官方说明。
启动和关闭服务的时候,其语法是:
net start 服务名
net stop 服务名
sc可用于打开被禁用的服务
使用sc程序(也可以查看服务状态)可以创建服务、删除服务、打开与关闭服务
sc是用于与服务控制管理器和服务进行通信的命令行程序,其语法是:
sc config 服务名 start= demand //手动
sc config 服务名 start= auto //自动
sc config 服务名 start= disabled //禁用
sc start 服务名 开启服务
sc stop 服务名 停止服务
sc query 服务名 查看服务状态
sc delete 服务名 删除服务
sc qc 服务名 查看服务的配置信息
sc create scname binPath=xxx.exe 创建服务
检测日志
windows 安全日志
测试复现
这里只演示使用net命令关闭服务,利用sc命令关闭服务的方法,在这里不做演示。
C:\Users\Administrator>net stop vmtools
VMware Tools 服务已成功停止。
C:\Users\Administrator>net start vmtools
VMware Tools 服务正在启动 .
VMware Tools 服务已经启动成功。
通过观察本地服务信息,发现vmtools服务已经被关闭。记得是net stop后面跟的是服务名称。
测试留痕
windows 安全日志
已创建新进程。
创建者主题:
安全 ID: QAX\Administrator
帐户名: Administrator
帐户域: QAX
登录 ID: 0x7169C
目标主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
进程信息:
新进程 ID: 0xd9c
新进程名称: C:\Windows\System32\net.exe
令牌提升类型: %%1936
强制性标签: Mandatory Label\High Mandatory Level
创建者进程 ID: 0x15d0
创建者进程名称: C:\Windows\System32\cmd.exe
进程命令行: net stop vmtools
检测规则/思路
sigma规则
title: windows下使用net/sc命令关闭服务
description: Windows下使用net stop/sc stop 关闭服务,用于逃避监视。
tags: T1489
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID: 4688 #进程创建
Processcommandline|contains:
- 'net stop' #进程信息>进程命令行
- 'sc stop' #进程信息>进程命令行
condition: selection
level: low
建议
监视进程和命令行参数用于查看关键进程是运行还是停止运行。
参考推荐
MITRE-ATT&CK-T1489
https://attack.mitre.org/techniques/T1489/
使用Windows命令行启动关闭服务(net,sc用法)