Trusted Design

T1035 - Service Execution

概要

Adversaries may execute a binary, command, or script via a method that interacts with Windows services, such as the Service Control Manager. This can be done by either creating a new service or modifying an existing service. This technique is the execution used in conjunction with New Service and Modify Existing Service during service persistence or privilege escalation.

管理者によるコメント

T1035「Service Execution」（サービス実行） は、攻撃者がOSの 「システムサービス」 の仕組みを利用して、悪意のあるプログラムを実行する手法です。

1. 概要

この手法で攻撃者は、「システムに深く根を張った、高権限でのコード実行」を実現します。

何を実現できるのか

• 任意のコード実行: 攻撃者が用意したバイナリ（.exe）やスクリプトを、OSのサービスとして登録・実行させます。
• 権限昇格: サービスは通常 SYSTEM（Windows）や root（Linux）といった最高レベルの権限で動作するため、一般ユーザーで侵入した後に管理者権限を得るために使われます。
• 永続化: サービスを「自動起動」に設定することで、PCが再起動してもマルウェアが自動的に立ち上がるようにします。

2. 攻撃の流れ

攻撃者は主に以下のステップでサービスを悪用します。

1. サービスの作成: sc.exe（Windowsサービスコントロール）などのコマンドを使い、新しいサービスをシステムに登録します。
   • 例: sc create [サービス名] binPath= "C:\path\to\malware.exe"
2. 実行パスの変更: すでに存在する正規のサービス（例：アンチウイルスや周辺機器の管理ソフト）の設定を書き換え、実行ファイルをマルウェアに差し替えます。
3. 起動のトリガー: sc start [サービス名] や net start を実行するか、システムの再起動を待って、OSにマルウェアを起動させます。
4. 即時削除（ステルス）: 攻撃が完了した直後にサービスを削除し、Windowsサービスのリストから痕跡を消し去ります。

3. 防御・対策

サービスのライフサイクル（作成・変更・起動）を監視することが最も重要です。

• サービス作成の監視: Windowsイベントログの Event ID 7045（新しいサービスがシステムにインストールされた）を監視し、身に覚えのない登録があれば即座に調査します。
• 最小権限の徹底: サービスの作成や編集ができる権限を、極めて限られた管理者のみに制限します。
• ディレクトリの保護: サービスのバイナリが保存されるディレクトリ（C:\Windows\System32 など）の書き込み権限を厳格に管理し、一般ユーザーがファイルを置換できないようにします。
• EDRによる監視: サービス管理プロセス（services.exe）から起動される子プロセスが、不審なネットワーク通信やファイルの暗号化を行っていないかを動的に監視します。

4. 重要ポイント

• 「正規の挙動」との区別: ソフトウェアのインストールやアップデートでもサービスは作成されるため、攻撃によるものかどうかの判別には「実行ファイルの場所」や「デジタル署名の有無」の確認が不可欠です。
• PsExecとの組み合わせ: 管理ツールの PsExec は、リモートでサービスを作成してコマンドを実行し、終了後に削除するという仕組みを標準で持っており、攻撃者に多用されます。

5. 関連する主なCWE

• CWE-732: Incorrect Permission Assignment for Critical Resource: サービスのレジストリや実行ファイルに、不適切な書き込み権限が与えられている問題。
• CWE-427: Uncontrolled Search Path Element: サービスの実行パスが曖昧な場合、攻撃者が用意した偽のバイナリが優先的に読み込まれてしまう問題（DLLインジェクション等に関連）。

6. 関連する代表的なCVE・ツール

• PsExec: 前述の通り、攻撃者がリモートでのサービス実行を行う際のデファクトスタンダードとなっています。
• WannaCry / NotPetya: これらの大規模なマルウェアは、侵入したシステム内で自身をサービスとして登録し、権限の維持と拡散を行いました。
• CVE-2018-8440: Windows ALPCの脆弱性。これを悪用してタスクスケジューラやサービス管理経由でSYSTEM権限を取得する攻撃に利用されました。

調査のアドバイス

もし身に覚えのないサービス名が Temp フォルダやユーザーの AppData フォルダ内のファイルを参照している場合は、この T1035 による侵害の可能性が極めて高いと考えられます。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

• CVE-2012-1856
• CVE-2012-0158

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る