不正なWindowsサービスの追加 のバックアップ(No.3)
- バックアップ一覧
- ソース を表示
- 不正なWindowsサービスの追加 は削除されています。
- 1 (2019-10-13 (日) 15:16:21)
- 2 (2019-10-13 (日) 15:19:34)
- 3 (2019-10-25 (金) 14:17:00)
- 4 (2020-08-12 (水) 16:45:46)
設定対策?
不正なWindowsサービスの追加 †
戦術 †
永続性、特権昇格
対象OS †
Windows
必要なアクセス許可 †
- Administrator
- SYSTEM
概説 †
Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムです。Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム(マルウェア)をWindows サービスとしてインストールできれば、マルウェアの実行や永続化が可能となります。
悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能を提供します。
- サービス名を偽装する場合があります。
- サービスの作成は管理者権限ですが、実行はSYSTEM特権となるため、昇格が可能です。
攻撃評価 †
| 戦術分類 | 119 Value | Pen Value |
| 初期侵入 | 3 | 3 |
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
MITRE 緩和策 †
ユーザーアカウントの権限を制限し、権限エスカレーションベクターを修正して、承認された管理者のみが新しいサービスを作成できるようにします。 †
psexeを使用せずアンインストールする、もしくは -uオプションを使用しない。(Pass the Hashのおそれ、必ず管理者のコンテキストでKervberos認証されるようにする)
Windows 10 STIG †
V-63875 ドメインに参加しているワークステーションの[サービスとしてログオンを拒否する]ユーザー権利は、高度な特権を持つドメインアカウントからのアクセスを防ぐように構成する必要があります。
Windows Serve 2016 STIG †
V-73767 ドメインシステム上の高度な特権を持つドメインアカウントからのアクセスを防ぐために、メンバーサーバーでのサービスとしてのログオンを拒否するユーザー権利を構成する必要があります。他のグループまたはアカウントにこの権利を割り当てる必要はありません。