Trusted Design
When operating systems boot up, they can start programs or applications called services that perform background system functions. (Citation: TechNet Services) A service's configuration information, including the file path to the service's executable, is stored in the Windows Registry.
Adversaries may install a new service that can be configured to execute at startup by using utilities to interact with services or by directly modifying the Registry. The service name may be disguised by using a name from a related operating system or benign software with Masquerading. Services may be created with administrator privileges but are executed under SYSTEM privileges, so an adversary may also use a service to escalate privileges from administrator to SYSTEM. Adversaries may also directly start services through Service Execution.
T1050は、Windowsの「サービス」機能を利用して、システム起動時に悪意のあるプログラム(マルウェア)を自動的に、かつ高い権限で実行させるものです。主に「永続化(Persistence)」と「特権昇格(Privilege Escalation)」の目的で使われます。
この手法で攻撃者は、「システムの再起動後も、最高権限(SYSTEM)に近い環境でバックグラウンド実行を維持すること」を実現します。
確実な永続化:
Windowsが起動し、ユーザーがログインするよりも前の段階で自動的にマルウェアを動作させられます。
高い権限の獲得:
サービスはデフォルトで SYSTEM権限(OSの最高権限)や、それに準ずる高い特権(Administrator等)で実行するように設定できるため、一般ユーザーの制限を完全に無視できます。
隠蔽(生存確認):
ユーザーが目にするデスクトップ画面には一切ウィンドウを表示させず、バックグラウンドのプロセスとして完全に隠れて動作させることが可能です。
サービスを新しく登録・作成するためには、攻撃者は事前に管理者権限(Administrator)を確保している必要があります。
実行ファイルの配置:
サービスとして動作させるためのマルウェア(.exe や .dll)をシステム内に配置します。
サービスの作成(コマンドまたはAPIの実行):
sc.exe(Service Control)ツールを悪用します。
sc create MaliciousService binPath= "C:\Windows\System32\malware.exe" start= autoサービスの起動:
sc start MaliciousService で手動起動するか、システムの次回再起動を待ちます。
永続化の達成:
Windowsのシステム構成の一部として組み込まれ、SYSTEM権限でC2サーバー(遠隔操作サーバー)への通信や内部探索を自動で開始します。
「新規サービス登録の徹底的な監視」と「権限の制限」が最も有効です。
Windowsイベントログの監視:
新しいサービスがインストールされると、セキュリティログやシステムログに特定のイベントが記録されます。これをSIEM等でリアルタイム監視します。
Event ID 4697:
補完的なセキュリティ監査ログ(システムに新しいサービスがインストールされた)
Event ID 7045:
システムログ(新しいサービスが作成された)
レジストリの保護と監視:
サービス情報が格納される以下のレジストリキーへの予期せぬ書き込みを監視・制限します。
HKLM\SYSTEM\CurrentControlSet\Services\特権アクセスの管理 (PAM):
そもそも攻撃者に管理者権限を握らせないよう、一般ユーザーアカウントの権限を最小化し、管理用アカウントの利用を厳格に制限します。
「Living off the Land」(自給自足攻撃):
サービス登録自体は、Windowsの管理者であれば日常的に行う「正規の操作」です。そのため、sc.exe や PowerShell などの標準ツールがそのまま悪用されやすく、コマンド単体での善悪の判断が難しいという特徴があります。
偽装技術:
攻撃者は Windows Update Service や Remote Registry Helper といった、一見するとマイクロソフト純正のサービスに見えるような「もっともらしい名前(表示名)」をつけて登録し、管理者の目をごまかそうとします。
CWE-15: External Control of System or Configuration Setting:
システムの設定(サービス登録)を外部から不正に変更されてしまう不備。
CWE-264: Permissions, Privileges, and Access Controls (Deprecated):
権限やアクセスコントロールの管理不備により、特権昇格やサービス操作を許してしまう問題。
T1050自体は脆弱性を突くものではなくOSの標準機能を悪用する手法ですが、多くの攻撃ツールやマルウェアが標準機能として搭載しています。
PsExec (Sysinternals):
管理ツールですが、攻撃者にも横展開やリモートでの新規サービス登録(T1050)の手段として非常によく悪用されます。
Mimikatz / Cobalt Strike:
侵入後の特権昇格や横展開を自動化するツール(C2フレームワーク)の多くに、リモートの端末に新しいサービスを登録してコードを実行させる機能が組み込まれています。
セキュリティ運用(SOC)において、「イベントID 7045(または4697)」は最も重要視すべきアラートの一つです。意図しないタイミング(システムメンテナンス時間外など)でこのログが記録され、かつ実行ファイル(binPath)の場所が C:\Users\...\AppData\ や C:\Windows\Temp\ などの不自然な一時フォルダを指している場合は、高確率で侵害が発生しています。
この攻撃手法に関連する CVE は登録されていません。