Event ID 4697, 7045. Службы Windows
Previous[Cheat Sheet] ТОП-10 событий для мониторингаNextEvent ID 4624. Парные сессии, уровень целостности и UAC
Last updated
Last updated
Событие 4697 в журнале Security связано с созданием новой службы в Windows. Событие 7045 в журнале System связано с изменением конфигурации службы в Windows.
Эти события фиксируются, когда в системе создаются новые службы или изменяются параметры существующей службы, такие как тип запуска, путь к исполняемому файлу, учетные данные для запуска или описание службы.
Простой ответ: для создания или изменения службы Windows необходимо обладать правами локального администратора. По умолчанию только члены группы администраторов могут запускать, останавливать, приостанавливать и изменять службы
Однако если необходимо предоставить доступ обычным пользователям для управления конкретными службами, можно настроить специальные разрешения. Для этого можно использовать утилиты, такие как sc.exe или PowerShell, чтобы изменить права на службу.
Второе атакующие часто называют "мисконфигом" и используют для повышения привилегий.
Имя службы: Название службы, которая была изменена/установлена.
Тип запуска: Указывает, как служба будет запускаться (например, автоматически, вручную или отключена).
Путь к исполняемому файлу: Путь к файлу, который запускается службой.
Учетные данные службы: Учетная запись, от имени которой запускается служба (например, LocalSystem, NetworkService или пользовательская учетная запись). Для запуска службы от имени конкретной учетной записи, она должна обладать правами на вход в качестве службы (logon_type 5)
Описание службы: Текстовое описание службы.
Создавший процесс (только 4697): PID и PPID процесса, с помощью которого была создана служба. Если эти поля содержат 0 и 0 - то службы была создана через RPC.
Сохранение доступа:
Изменение служб может использоваться для создания "бэкдоров" (backdoors), чтобы сохранить доступ к системе. Например, изменение пути к исполняемому файлу на вредоносный в системной службе.
Если изменить тип старта службы на автозапуск, то вредоносный файл будет выполняться каждый раз при старте системы.
Эскалация привилегий:
Если служба запускается от имени учетной записи с высокими привилегиями (например, LocalSystem), это может быть использовано для повышения прав и запуска вредоносных исполняемых файлов с повышенными привилегиями
Злоумышленник получает доступ к системе.
Создает новую службу или изменяет существующую, указывая путь к вредоносному файлу.
Устанавливает тип запуска "Автоматически", чтобы вредоносный файл запускался при каждой загрузке системы.
Служба запускается от имени LocalSystem, что дает злоумышленнику высокие привилегии.
Подозрительные изменения пути к исполняемому файлу:
Если путь к исполняемому файлу нестандартный или подозрительный (например, файл во временной папке или с необычным именем). Создание служб из недавно созданных файлов - может быть как признаком нелгитимной активности, так и признаком установки легитимного ПО.
Изменение типа запуска:
Если служба, которая ранее была отключена, внезапно переведена в автоматический режим запуска. Или службы антивируса, брандмауэра или других средств безопасности останавливаются.
Подозрительные имена служб: Есть известные инструменты, которые используют известные имена, например, BTOBTO явно говорит об использовании impacket-smbexec Обращайте внимание на случайно сгенерированные значения в именах служб (особенно, из 8 символов) - так делает msf psexec
TODO: - создание службы через DLL (svchost.exe) - Unquoted Service Path - Изменение не службы, а подмена исполняемого файла