跳转至

T1036-004-win-伪装服务或任务

来自ATT&CK的描述

攻击者可能会尝试修改任务或服务的名称,使其看起来合法或良性。由任务调度程序或 systemd 执行的任务或服务通常会被赋予名称或描述。Windows 服务展示服务名称。存在许多具有共同关联名称的良性任务和服务。攻击者可能会给出与合法任务或服务相似或相同的名称。

任务或服务包含攻击者可能试图使其看起来合法的其他字段,例如描述。

测试案例

使用schtasks创建类似W32Time名称的服务

攻击命令,用命令提示符运行,需要提升等级(如root或admin)。

schtasks /create /ru system /sc daily /tr "cmd /c powershell.exe -ep bypass -file c:\T1036.004_NonExistingScript.ps1" /tn win32times /f
schtasks /query /tn win32times

清理命令:

schtasks /tn win32times /delete /f

使用sc创建W32时间相似命名服务

攻击命令,用命令提示符运行,需要提升等级(如root或admin)。

sc create win32times binPath= "cmd /c start c:\T1036.004_NonExistingScript.ps1"
sc qc win32times

清理命令:

sc delete win32times

检测日志

Windows安全日志/Sysmon日志

测试复现

使用schtasks创建类似W32Time名称的服务

C:\Windows\system32>schtasks /create /ru system /sc daily /tr "cmd /c powershell.exe -ep bypass -file C:\Users\zhuli\Desktop\TevoraAutomatedRTGui\atomic-red-team-master\atomics\T1036.004\test.ps1" /tn win32times /f
成功: 成功创建计划任务 "win32times"。

C:\Windows\system32>schtasks /query /tn win32times

文件夹: \
任务名                                   下次运行时间           模式
======================================== ====================== ===============
win32times                               2022/1/11 16:39:00     就绪

C:\Windows\system32>schtasks /tn win32times /delete /f
成功: 计划的任务 "win32times" 被成功删除。

使用sc创建W32时间相似命名服务

C:\Windows\system32>sc create win32times binPath= "cmd /c start C:\Users\zhuli\Desktop\TevoraAutomatedRTGui\atomic-red-team-master\atomics\T1036.004\test.ps1"
[SC] CreateService 成功

C:\Windows\system32>sc qc win32times
[SC] QueryServiceConfig 成功

SERVICE_NAME: win32times
        TYPE               : 10  WIN32_OWN_PROCESS
        START_TYPE         : 3   DEMAND_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : cmd /c start C:\Users\zhuli\Desktop\TevoraAutomatedRTGui\atomic-red-team-master\atomics\T1036.004\test.ps1
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : win32times
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

C:\Windows\system32>sc delete win32times
[SC] DeleteService 成功

日志留痕

使用schtasks创建类似W32Time名称的服务

日志名称:          Microsoft-Windows-Sysmon/Operational
来源:            Microsoft-Windows-Sysmon
日期:            2022/1/10 16:39:19
事件 ID:         1
任务类别:          Process Create (rule: ProcessCreate)
级别:            信息
关键字:           
用户:            SYSTEM
计算机:           zhuli.qax.com
描述:
Process Create:
RuleName: technique_id=T1059,technique_name=Command-Line Interface
UtcTime: 2022-01-10 08:39:19.782
ProcessGuid: {78c84c47-f0b7-61db-6e0f-000000000800}
ProcessId: 4712
Image: C:\Windows\System32\schtasks.exe
FileVersion: 10.0.17763.1 (WinBuild.160101.0800)
Description: Task Scheduler Configuration Tool
Product: Microsoft® Windows® Operating System
Company: Microsoft Corporation
OriginalFileName: schtasks.exe
CommandLine: schtasks  /create /ru system /sc daily /tr "cmd /c powershell.exe -ep bypass -file C:\Users\zhuli\Desktop\TevoraAutomatedRTGui\atomic-red-team-master\atomics\T1036.004\test.ps1" /tn win32times /f
CurrentDirectory: C:\Windows\system32\
User: QAX\Administrator
LogonGuid: {78c84c47-efde-61db-1754-2f0100000000}
LogonId: 0x12F5417
TerminalSessionId: 1
IntegrityLevel: High
Hashes: SHA1=112C8FFA1C0934ACAAD2C58B3C7E81F3FB8E4A2C,MD5=3F9FD6D3B3E96B8F576DB72035DB38A7,SHA256=D6BA2CD73799477C051D9D864C47FCF5108064CDE07D3565871AFA10FC548086,IMPHASH=7EE4BC5589713B3470B8A950256E2E69
ParentProcessGuid: {78c84c47-efea-61db-450f-000000000800}
ParentProcessId: 4768
ParentImage: C:\Windows\System32\cmd.exe
ParentCommandLine: "C:\Windows\system32\cmd.exe" 
ParentUser: QAX\Administrator

使用sc创建W32时间相似命名服务

Process Create:

RuleName: technique_id=T1059,technique_name=Command-Line Interface

UtcTime: 2022-01-10 08:43:44.670

ProcessGuid: {78c84c47-f1c0-61db-910f-000000000800}

ProcessId: 7112

Image: C:\Windows\System32\sc.exe

FileVersion: 10.0.17763.1 (WinBuild.160101.0800)

Description: Service Control Manager Configuration Tool

Product: Microsoft® Operating System

Company: Microsoft Corporation

OriginalFileName: sc.exe

CommandLine: sc create win32times binPath= "cmd /c start C:\Users\zhuli\Desktop\TevoraAutomatedRTGui\atomic-red-team-master\atomics\T1036.004\test.ps1"

CurrentDirectory: C:\Windows\system32\

User: QAX\Administrator

LogonGuid: {78c84c47-efde-61db-1754-2f0100000000}

LogonId: 0x12F5417

TerminalSessionId: 1

IntegrityLevel: High

Hashes: SHA1=622FA2729408E5F467A592223219DA7C547E7CC7,MD5=ABB56882148DE65D53ABFC55544A49A8,SHA256=78097C7CD0E57902536C60B7FA17528C313DB20869E5F944223A0BA4C801D39B,IMPHASH=35A7FFDE18D444A92D32C8B2879450FF

ParentProcessGuid: {78c84c47-efea-61db-450f-000000000800}

ParentProcessId: 4768

ParentImage: C:\Windows\System32\cmd.exe

ParentCommandLine: "C:\Windows\system32\cmd.exe" 

ParentUser: QAX\Administrator

检测规则/思路

sigma规则

title: 利用sc/schtasks伪造计划任务
status: experimental
author: 12306Br0
date: 2022/01/10
references:
    - attack.t1036-004
logsource:
    product: windows
    service: sysmon
detection:
    selection1:
        EventID: 1 #sysmon日志,进程创建
        Image: '*schtasks.exe' #进程名称
        CommandLine: 
             - '/create' #进程命令行
             - '/tr'
             - '/tn'
     selection2:
        EventID: 1 #sysmon日志,进程创建
        Image: '*sc.exe' #进程名称
        CommandLine: 
             - 'create' #进程命令行
             - 'binPath='
    condition: selection1 or selection2
level: low

建议

寻找与已知软件、补丁周期等不相关的任务和服务的变化。通过计划任务或服务执行的可疑程序可能会显示为离群的进程,在与历史数据进行比较时,这些进程以前没有被看到过。监控进程和命令行参数,看是否有可能采取创建任务或服务的行动。不应孤立地看待数据和事件,而应将其视为可能导致其他活动的行为链的一部分,例如为指挥和控制而进行的网络连接,通过发现和横向移动来了解环境的细节。

参考推荐

MITRE-ATT&CK-T1036-004

https://attack.mitre.org/techniques/T1036/004

Schtasks命令详解

https://www.cnblogs.com/daimaxuejia/p/12957644.html

Atomic-red-team-T1036

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1036.004/T1036.004.md