Technique - T1569-

T1569 - System Services

概要

Adversaries may abuse system services or daemons to execute commands or programs. Adversaries can execute malicious content by interacting with or creating services either locally or remotely. Many services are set to run at boot, which can aid in achieving persistence (Create or Modify System Process), but adversaries can also abuse services for one-time or temporary execution.

管理者によるコメント

T1569「System Services」（システムサービス） は、OSがバックグラウンドで特定のタスクを実行するために用意している「サービス」や「デーモン」の仕組みを悪用して、コードを実行する手法です。

攻撃者は、既存のサービスの設定を書き換えたり、新しく悪意のあるサービスを登録したりすることで、高い権限での実行や永続化を狙います。

1. 概要

この手法で攻撃者は、「システムの一部として機能する、強力かつ安定した実行基盤」を実現します。

何を実現できるのか

永続化 (Persistence): システムが起動する際、ユーザーがログインする前であっても自動的にマルウェアを起動させます。
権限昇格 (Privilege Escalation): サービスは通常、一般ユーザーよりも高い権限（Windowsでは SYSTEM、Linuxでは root）で動作するため、侵入後の権限を最大化できます。
検知の回避: 正規のサービス一覧に紛れ込ませることで、プロセスの監視から逃れやすくなります。

2. 主なサブテクニック

プラットフォームごとに、サービスの管理ツールを悪用します。

T1569.001: Launch Agent / Launch Daemon (macOS)

macOSのサービス管理機構である launchd を利用します。

攻撃: 特徴的なプロパティリスト（.plistファイル）を作成し、/Library/LaunchDaemons などに配置することで、システム起動時にスクリプトを実行させます。

T1569.002: Service Execution (Windows)

Windowsの サービスコントロールマネージャー (SCM) を利用します。

攻撃: sc.exe コマンドや PowerShell、あるいは Net コマンドを使用して、既存のサービスを操作したり、新しいサービスを立ち上げたりします。
例: sc create MalwareService binPath= "C:\malware.exe" start= auto

3. 攻撃の流れ

攻撃者は管理者権限、あるいはサービス作成権限を手に入れた後にこの手法へ移行します。

サービスの登録: 攻撃コード（.exe やスクリプト）をサービスとして登録します。この際、名前を Windows Update Support のように正規のものに似せて偽装します。
設定の調整: サービスがクラッシュしても自動的に再起動するように設定し、攻撃の継続性を高めます。
実行: サービスを開始します。これにより、ユーザーのデスクトップ画面には現れない「セッション0」という特殊な環境でバックグラウンド活動を開始します。
横展開: 他の端末（リモート）のサービスマネージャーに接続し、ネットワーク内の別のPCでコマンドを実行させることもあります（例：PsExec のような動作）。

4. 防御・対策

「新しいサービスの出現」と「既存サービスの変化」を捉えることが重要です。

サービス登録の監視: Windowsイベントログの Event ID 4697（サービスがシステムにインストールされた）や 7045 を監視し、未知のサービスが登録された際にアラートを上げます。
バイナリパスの監査: サービスが呼び出している実行ファイルが、Temp フォルダやユーザーの Downloads フォルダなどの不自然な場所にないか定期的に確認します。
最小権限の原則: サービスを実行するアカウントを、必要以上に高い権限（SYSTEMなど）にせず、専用の低権限アカウント（Managed Service Accountsなど）を使用します。
リモートサービス操作の制限: ネットワーク越しにサービスを操作できるツール（RPCやSMB経由）の利用を、管理者端末からのみに制限します。

5. 重要ポイント

「隠れみの」としてのサービス: 多くのユーザーはタスクマネージャーの「プロセス」は見ますが、「サービス」のタブまでは細かくチェックしません。その心理を突いた攻撃です。
PsExecとの関係: 管理ツールの PsExec は、ターゲット端末に一時的なサービスを作成してコマンドを実行します。攻撃者がこれを利用する場合、T1569.002 と T1021.002（SMBによる横展開）の組み合わせとなります。

6. 関連する代表的なツール・事例

PsExec / Cobalt Strike: 遠隔地からサービスを作成してコマンドを実行させる機能を持っています。
Stuxnet: 自身のコンポーネントをサービスとして登録し、システム起動時の永続化とステルス性を確保していました。
ランサムウェア一般: 感染後、バックアップを削除したりセキュリティソフトを停止したりするために、サービス操作コマンド（net stop ...）を多用します。

調査のアドバイス

コマンドプロンプトで tasklist /svc を実行すると、どのプロセスがどのサービスを動かしているかの一覧が見られます。一つのプロセス（svchost.exe）の中に、見慣れない名前のサービスが混じっていないか確認するのが第一歩です。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design