检测
分析
劫持执行流程:服务注册表权限的弱点
描述
对手可能会执行自己的恶意载荷劫持所使用的注册表项服务。对手可能使用缺陷相关的注册表项的权限服务从最初指定可执行文件重定向到一个控制,为了服务启动时启动自己的代码。Windows本地服务配置信息存储在注册表下HKLM \ SYSTEM \ CurrentControlSet \服务。信息存储在一个服务的注册表键可以操作修改服务的执行参数通过工具,如服务控制器,sc.exe,PowerShell,或注册。访问注册表键值是通过访问控制列表和用户权限控制的。
产品、传感器和依赖关系
| 产品 | 依赖关系 | 数据源 | 访问所需的 | 协议 | 收集的数据 | 笔记 |
|---|---|---|---|---|---|---|
| Tenable.io | 先进的网络扫描 | Windows机器 | 验证扫描 | SMB | Windows服务ACL | 插件ID: 44401 |
| Tenable.io | 广告开始或身份扫描 | 活动目录 | 用户身份验证的广告 | LDAP | 域用户和组列表 | |
| Tenable.AD | 活动目录 | 用户身份验证的广告 | LDAP | 域用户和组列表 |
引用
攻击路径技术细节
框架:主教法冠ATT&CK
技术:劫持执行流
Sub-Technique:服务注册表权限的弱点
平台:窗户
产品要求:Tenable.io
站得住脚的发布日期:2022年第三季度