SlideShare a Scribd company logo

MITRE ATT&CK T1489 Service Stop

Download as PPTX, PDF
Waku Kataoka
Waku Kataoka

MITRE勉強会で使った資料その3です。 This document is what I used in the MITRE study group.

Technology
1 of 16
MITRE ATT&CK - T1489 Impact Service Stop June 29, 2021 kataokaw
T1489 - Service Stopの立ち位置 MITRE ATT&CKマトリックスでの立ち位置 a
TACTICS - Impact (TA0040) 攻撃者は、お客様のシステムやデータを操作したり、妨害したり、破壊することがあります。 Impactは、攻撃者がビジネスプロセスと運用プロセスを操作することによって 可用性の阻害や完全性を損なわせる等の手法で構成されます。 Impactを与える技術には、データの破壊や改ざんが含まれることがあります。 場合によっては、ビジネスプロセスは問題ないように見えても、 攻撃者の目的に役立つよう変更されている可能性があります。 これらの技術は、攻撃者が最終的な目標を達成するために使用したり、 機密保持違反を隠すために使用したりします。 [MITER ATT&CK TACTICS (Enterprise) – Privilege Escalation] https://attack.mitre.org/tactics/TA0040/ TA0040の詳細
TECHNIQUES – Service Stop (T1489) T1489の詳細 攻撃者は、システム上のサービスを停止/無効にして、正当なユーザがそのサービスを利用できないようにすることがあります。 重要なサービスやプロセスを停止することで、 インシデントへの対応を阻害または停止したり、環境に損害を与えるなど攻撃者の目的を支援できます。 攻撃者は、組織にとって重要度の高いサービス(MSExchangeISなど)を無効にすることで、これを達成できます。 上記によって、Exchangeコンテンツにアクセスできなくなります。 場合によっては、攻撃者は様々なサービスを停止/無効にして、システムを使用不能にすることがあります。 サービスやプロセスは、実行中のデータストアの変更を許可しない場合があります。 攻撃者は、ExchangeやSQL Server等のサービスのデータストアに対して、 データの破壊や暗号化を行うために、サービスやプロセスを停止することがあります。 [MITER ATT&CK TECHNIQUES (Enterprise) – Service Stop] https://attack.mitre.org/techniques/T1489/
どんなコマンドを 使ってるんだろう?
サービスの停止方法  Windowsサービスの停止コマンド1(cmd/PowerShell, net) # 管理者権限 C:WINDOWSsystem32>net stop GoogleIMEJaCacheService Google Japanese Input Cache Service サービスは正常に停止されました。 C:WINDOWSsystem32>net start GoogleIMEJaCacheService Google Japanese Input Cache Service サービスは正常に開始されました。 # 一般権限 C:Userskataokaw>net stop GoogleIMEJaCacheService システム エラー 5 が発生しました。 アクセスが拒否されました。
サービスの停止方法  Windowsサービスの停止コマンド2(cmd, sc) C:WINDOWSsystem32>sc 127.0.0.1 stop GoogleIMEJaCacheService SERVICE_NAME: GoogleIMEJaCacheService TYPE : 10 WIN32_OWN_PROCESS STATE : 3 STOP_PENDING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 C:WINDOWSsystem32>sc 127.0.0.1 start GoogleIMEJaCacheService SERVICE_NAME: GoogleIMEJaCacheService TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 PID : 9472 FLAGS : scなら非同期で、 他端末を指定して停止可能。 一般権限だとnetと同様拒否される。 下記コマンドにて、まもなく ステータス「1 STOPPED」となるのを確認できる sc query GoogleIMEJaCacheService
サービスの停止方法  Windowsサービスの停止コマンド3(cmd/PowerShell, taskkill) # 管理者権限 C:WINDOWSsystem32>tasklist | findstr GoogleIMEJaCacheService GoogleIMEJaCacheService.e 17488 Services 0 54,124 K C:WINDOWSsystem32>taskkill /pid 17488 エラー: PID 17488 のプロセスを強制終了できませんでした。 理由: この処理は、/F オプションのみで強制終了できます。 C:WINDOWSsystem32>taskkill /pid 17488 /F 成功: PID 17488 のプロセスは強制終了されました。 C:WINDOWSsystem32>tasklist | findstr GoogleIMEJaCacheService C:WINDOWSsystem32>net start GoogleIMEJaCacheService Google Japanese Input Cache Service サービスは正常に開始されました。 C:WINDOWSsystem32>tasklist | findstr GoogleIMEJaCacheService GoogleIMEJaCacheService.e 24668 Services 0 54,212 K # 一般権限 C:Userskawub>taskkill /pid 24668 /F エラー: PID 24668 のプロセスを強制終了できませんでした。 理由: アクセスが拒否されました。
サービスの停止方法  Windowsサービスの停止コマンド4(PowerShell, Stop-Process) 「Stop-Process -ID P-ID」も似た挙動をする # 管理者権限 PS C:WINDOWSsystem32> Stop-Process -Name GoogleIMEJaCacheService 確認 次の項目に対して Stop-Process 操作を実行しますか: GoogleIMEJaCacheService(25108)? [Y] はい(Y) [A] すべて続行(A) [N] いいえ(N) [L] すべて無視(L) [S] 中断(S) [?] ヘルプ (既定値は "Y"):Y PS C:WINDOWSsystem32> tasklist | findstr GoogleIMEJaCacheService # 一般権限 PS C:Userskawub> Stop-Process -Name GoogleIMEJaCacheService Stop-Process : 次のエラーのため、プロセス "GoogleIMEJaCacheService (19392)" を停止できません: ア クセスが拒否されました。 発生場所 行:1 文字:1 + Stop-Process -Name GoogleIMEJaCacheService + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (System.Diagnost...JaCacheService):Process) [Stop-Pro cess]、ProcessCommandException + FullyQualifiedErrorId : CouldNotStopProcess,Microsoft.PowerShell.Commands.StopProcessComm and
サービスの停止方法  Linuxサービスの停止コマンド1(bash, kill) topでもインタラクティブにkill可能 kawu@DESKTOP-V39SDKQ:~$ python3 -m http.server & [1] 115 kawu@DESKTOP-V39SDKQ:~$ Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ... ps aux | grep python kawu 115 0.8 0.1 21612 16120 pts/0 S 03:30 0:00 python3 -m http.server kawu 117 0.0 0.0 6244 656 pts/0 S+ 03:30 0:00 grep python kawu@DESKTOP-V39SDKQ:~$ kill 115 kawu@DESKTOP-V39SDKQ:~$ ps aux | grep python kawu 119 0.0 0.0 6244 656 pts/0 S+ 03:30 0:00 grep python [1]+ Terminated python3 -m http.server
サービスの停止方法  Linuxサービスの停止コマンド2(bash, pkill) kawu@DESKTOP-V39SDKQ:~$ python3 -m http.server & [1] 156 kawu@DESKTOP-V39SDKQ:~$ Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ... kawu@DESKTOP-V39SDKQ:~$ ps aux | grep python kawu 156 0.5 0.1 21612 15908 pts/0 S 03:46 0:00 python3 -m http.server kawu 158 0.0 0.0 6244 716 pts/0 S+ 03:46 0:00 grep python kawu@DESKTOP-V39SDKQ:~$ pkill python kawu@DESKTOP-V39SDKQ:~$ ps aux | grep python kawu 163 0.0 0.0 6244 648 pts/0 S+ 03:47 0:00 grep python [1]+ Terminated python3 -m http.server
Evil Command  systemctl stop SERVICE-NAME  service SERVICE-NAME stop  shutdown –r now  crontab –r  rm –rfv --no-preserve-root /*  docker rmi $(docker images -aq)  docker rm $(docker ps -aq)  alias cd=‘rm -fr‘  :(){:|: &};:  dd if=/dev/zero of=/dev/sda  for i in {1..10};do dd if=/dev/urandom of=/dev/sda;done  git reset --hard  tar -czvf /path/to/file archive.tgz  chmod -R 777 /  chown -R root:root /  fsck -y /dev/sda [Qiita - Bashの邪悪なコマンド9選]https://qiita.com/rana_kualu/items/be32f8302017b7aa2763  その他 最初の3つ以外は取り返しがつかないものが多いため、利用する場合は要注意。
対策は?
緩和策 ID 緩和 説明 M1030 ネットワークセグメンテーション 侵入検知・分析・対応システムを、本番環境と別NWで運用し、 攻撃者が重要な応答機能を確認/妨害等する可能性を低減する。 M1022 ファイルとディレクトリのアクセス権の制限 攻撃者による重要なサービスの無効化/妨害等を防ぐため、 適切なプロセスおよびファイルの権限を確保する。 M1024 レジストリの権限を制限 攻撃者による重要なサービスの無効化/妨害等を防ぐため、 適切なレジストリ権限が設定されていることを確認する。 M1018 ユーザーアカウント管理 承認された管理者のみがサービスの変更/設定できるように、 ユーザーアカウントやグループの権限を制限する。 [MITER ATT&CK TECHNIQUES (Enterprise) – Service Stop] https://attack.mitre.org/techniques/T1489/
検出方法 検出の具体例  プロセスやコマンドライン引数を監視し、重要なプロセスが終了/実行停止していないか確認  重要度の高いサービスに対応するサービスやスタートアッププログラムの編集変更を監視  既知のソフトウェアやパッチサイクルなどと関連性のないサービスの変更を調査  Windowsのサービス情報は、レジストリの「HKLM_SYSTEM_CurrentControlSet_Services」に格納されています。  Systemdのサービスユニットファイルは、/etc/systemd/system、/usr/lib/systemd/system/、 /home/.config/systemd/user/の各ディレクトリに格納されており、関連するシンボリックリンクも含まれます。 上記において、サービスのバイナリパスが変更/起動タイプがdisabledに変更されていると、疑わしいため要調査。 他にも、内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やり取りして、 一般的なシステムユーティリティの外でこれらの機能を実行できます。 例えば、ChangeServiceConfigWは、サービスの起動を阻止するために敵対者が使用する可能性があります。 [MITER ATT&CK TECHNIQUES (Enterprise) – Service Stop] https://attack.mitre.org/techniques/T1489/
おわり

Recommended

Keynote In Japanese
Keynote In JapaneseKeynote In Japanese
Keynote In Japanese
Kuniyoshi Murata
 
Aw svs trifortクラウド選びのポイント
Aw svs trifortクラウド選びのポイントAw svs trifortクラウド選びのポイント
Aw svs trifortクラウド選びのポイント
Taimei Omata
 
ServerlessConf Tokyo2018 サーバーレスなシステムのがんばらない運用監視
ServerlessConf Tokyo2018 サーバーレスなシステムのがんばらない運用監視ServerlessConf Tokyo2018 サーバーレスなシステムのがんばらない運用監視
ServerlessConf Tokyo2018 サーバーレスなシステムのがんばらない運用監視
Takanori Suzuki
 
沖縄オープンラボラトリ OpenStackハンズオンセミナー午後1
沖縄オープンラボラトリ OpenStackハンズオンセミナー午後1沖縄オープンラボラトリ OpenStackハンズオンセミナー午後1
沖縄オープンラボラトリ OpenStackハンズオンセミナー午後1
Hideki Saito
 
Microsoft Tunnel 概要
Microsoft Tunnel 概要Microsoft Tunnel 概要
Microsoft Tunnel 概要
Yutaro Tamai
 
The road of Apache CloudStack Contributor (Translation and Patch)
The road of Apache CloudStack Contributor (Translation and Patch)The road of Apache CloudStack Contributor (Translation and Patch)
The road of Apache CloudStack Contributor (Translation and Patch)
Kimihiko Kitase
 
MariaDB migration from commercial database
MariaDB migration from commercial databaseMariaDB migration from commercial database
MariaDB migration from commercial database
GOTO Satoru
 
Maatkit で MySQL チューニング
Maatkit で MySQL チューニングMaatkit で MySQL チューニング
Maatkit で MySQL チューニング
Kensuke Nagae
 

Recommended

Keynote In Japanese
Keynote In JapaneseKeynote In Japanese
Keynote In Japanese
Kuniyoshi Murata
 
Aw svs trifortクラウド選びのポイント
Aw svs trifortクラウド選びのポイントAw svs trifortクラウド選びのポイント
Aw svs trifortクラウド選びのポイント
Taimei Omata
 
ServerlessConf Tokyo2018 サーバーレスなシステムのがんばらない運用監視
ServerlessConf Tokyo2018 サーバーレスなシステムのがんばらない運用監視ServerlessConf Tokyo2018 サーバーレスなシステムのがんばらない運用監視
ServerlessConf Tokyo2018 サーバーレスなシステムのがんばらない運用監視
Takanori Suzuki
 
沖縄オープンラボラトリ OpenStackハンズオンセミナー午後1
沖縄オープンラボラトリ OpenStackハンズオンセミナー午後1沖縄オープンラボラトリ OpenStackハンズオンセミナー午後1
沖縄オープンラボラトリ OpenStackハンズオンセミナー午後1
Hideki Saito
 
Microsoft Tunnel 概要
Microsoft Tunnel 概要Microsoft Tunnel 概要
Microsoft Tunnel 概要
Yutaro Tamai
 
The road of Apache CloudStack Contributor (Translation and Patch)
The road of Apache CloudStack Contributor (Translation and Patch)The road of Apache CloudStack Contributor (Translation and Patch)
The road of Apache CloudStack Contributor (Translation and Patch)
Kimihiko Kitase
 
MariaDB migration from commercial database
MariaDB migration from commercial databaseMariaDB migration from commercial database
MariaDB migration from commercial database
GOTO Satoru
 
Maatkit で MySQL チューニング
Maatkit で MySQL チューニングMaatkit で MySQL チューニング
Maatkit で MySQL チューニング
Kensuke Nagae
 
クラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccampクラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccamp
Masahiro NAKAYAMA
 
Redmineosaka 20 talk_crosspoints
Redmineosaka 20 talk_crosspointsRedmineosaka 20 talk_crosspoints
Redmineosaka 20 talk_crosspoints
Shinji Tamura
 
nginx入門
nginx入門nginx入門
nginx入門
Takashi Takizawa
 
P2Pって何?
P2Pって何?P2Pって何?
P2Pって何?
Junya Yamaguchi
 
HandlerSocket plugin for MySQL
HandlerSocket plugin for MySQLHandlerSocket plugin for MySQL
HandlerSocket plugin for MySQL
akirahiguchi
 
「さくらのクラウド」スタートアップスクリプトを作ってみよう! - concrete5を題材に -(オープンソースカンファレンス2014 Shimane)
「さくらのクラウド」スタートアップスクリプトを作ってみよう! - concrete5を題材に -(オープンソースカンファレンス2014 Shimane)「さくらのクラウド」スタートアップスクリプトを作ってみよう! - concrete5を題材に -(オープンソースカンファレンス2014 Shimane)
「さくらのクラウド」スタートアップスクリプトを作ってみよう! - concrete5を題材に -(オープンソースカンファレンス2014 Shimane)
さくらインターネット株式会社
 
Soft layerと運用管理の自動化・省力化あれこれ
Soft layerと運用管理の自動化・省力化あれこれSoft layerと運用管理の自動化・省力化あれこれ
Soft layerと運用管理の自動化・省力化あれこれ
NHN テコラス株式会社
 
OpenDaylightを用いた次世代ネットワーク構成管理の考察
OpenDaylightを用いた次世代ネットワーク構成管理の考察OpenDaylightを用いた次世代ネットワーク構成管理の考察
OpenDaylightを用いた次世代ネットワーク構成管理の考察
Naoto MATSUMOTO
 
MySQL Technology Cafe #12 MDS HA検証 ~パラメータからパフォーマンスまで~
MySQL Technology Cafe #12 MDS HA検証 ~パラメータからパフォーマンスまで~MySQL Technology Cafe #12 MDS HA検証 ~パラメータからパフォーマンスまで~
MySQL Technology Cafe #12 MDS HA検証 ~パラメータからパフォーマンスまで~
オラクルエンジニア通信
 
Tottoruby 20110903
Tottoruby 20110903Tottoruby 20110903
Tottoruby 20110903
Takashi SAKAGUCHI
 
Google App Engineでできる、あんなこと/こんなこと
Google App Engineでできる、あんなこと/こんなことGoogle App Engineでできる、あんなこと/こんなこと
Google App Engineでできる、あんなこと/こんなこと
a-know
 
【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続
【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続 【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続
【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続
Brocade
 
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
Developers Summit
 
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコシステムズ合同会社
 
Rmote Packet Capture Protocol を使って見る
Rmote Packet Capture Protocol を使って見るRmote Packet Capture Protocol を使って見る
Rmote Packet Capture Protocol を使って見る
彰 村地
 
PostgreSQLの運用・監視にまつわるエトセトラ
PostgreSQLの運用・監視にまつわるエトセトラPostgreSQLの運用・監視にまつわるエトセトラ
PostgreSQLの運用・監視にまつわるエトセトラ
NTT DATA OSS Professional Services
 
Amalgam8 application switch for cloud native services
Amalgam8 application switch for cloud native servicesAmalgam8 application switch for cloud native services
Amalgam8 application switch for cloud native services
Takehiko Amano
 
20170329 container technight-第一回勉強会
20170329 container technight-第一回勉強会20170329 container technight-第一回勉強会
20170329 container technight-第一回勉強会
Minehiko Nohara
 
20170329 container technight-第一回勉強会
20170329 container technight-第一回勉強会20170329 container technight-第一回勉強会
20170329 container technight-第一回勉強会
Minehiko Nohara
 
debugging server with strace
debugging server with stracedebugging server with strace
debugging server with strace
Yoshinari Takaoka
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
 

More Related Content

Similar to MITRE ATT&CK T1489 Service Stop

HandlerSocket plugin for MySQL
HandlerSocket plugin for MySQLHandlerSocket plugin for MySQL
HandlerSocket plugin for MySQL
akirahiguchi
 
【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続
【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続 【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続
【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続
Brocade
 

Similar to MITRE ATT&CK T1489 Service Stop (20)

クラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccampクラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccamp
 
Redmineosaka 20 talk_crosspoints
Redmineosaka 20 talk_crosspointsRedmineosaka 20 talk_crosspoints
Redmineosaka 20 talk_crosspoints
 
nginx入門
nginx入門nginx入門
nginx入門
 
P2Pって何?
P2Pって何?P2Pって何?
P2Pって何?
 
HandlerSocket plugin for MySQL
HandlerSocket plugin for MySQLHandlerSocket plugin for MySQL
HandlerSocket plugin for MySQL
 
「さくらのクラウド」スタートアップスクリプトを作ってみよう! - concrete5を題材に -(オープンソースカンファレンス2014 Shimane)
「さくらのクラウド」スタートアップスクリプトを作ってみよう! - concrete5を題材に -(オープンソースカンファレンス2014 Shimane)「さくらのクラウド」スタートアップスクリプトを作ってみよう! - concrete5を題材に -(オープンソースカンファレンス2014 Shimane)
「さくらのクラウド」スタートアップスクリプトを作ってみよう! - concrete5を題材に -(オープンソースカンファレンス2014 Shimane)
 
Soft layerと運用管理の自動化・省力化あれこれ
Soft layerと運用管理の自動化・省力化あれこれSoft layerと運用管理の自動化・省力化あれこれ
Soft layerと運用管理の自動化・省力化あれこれ
 
OpenDaylightを用いた次世代ネットワーク構成管理の考察
OpenDaylightを用いた次世代ネットワーク構成管理の考察OpenDaylightを用いた次世代ネットワーク構成管理の考察
OpenDaylightを用いた次世代ネットワーク構成管理の考察
 
MySQL Technology Cafe #12 MDS HA検証 ~パラメータからパフォーマンスまで~
MySQL Technology Cafe #12 MDS HA検証 ~パラメータからパフォーマンスまで~MySQL Technology Cafe #12 MDS HA検証 ~パラメータからパフォーマンスまで~
MySQL Technology Cafe #12 MDS HA検証 ~パラメータからパフォーマンスまで~
 
Tottoruby 20110903
Tottoruby 20110903Tottoruby 20110903
Tottoruby 20110903
 
Google App Engineでできる、あんなこと/こんなこと
Google App Engineでできる、あんなこと/こんなことGoogle App Engineでできる、あんなこと/こんなこと
Google App Engineでできる、あんなこと/こんなこと
 
【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続
【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続 【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続
【Brocade OpenStack ソリューション】MPLS VPNデータセンター間接続
 
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
 
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
 
Rmote Packet Capture Protocol を使って見る
Rmote Packet Capture Protocol を使って見るRmote Packet Capture Protocol を使って見る
Rmote Packet Capture Protocol を使って見る
 
PostgreSQLの運用・監視にまつわるエトセトラ
PostgreSQLの運用・監視にまつわるエトセトラPostgreSQLの運用・監視にまつわるエトセトラ
PostgreSQLの運用・監視にまつわるエトセトラ
 
Amalgam8 application switch for cloud native services
Amalgam8 application switch for cloud native servicesAmalgam8 application switch for cloud native services
Amalgam8 application switch for cloud native services
 
20170329 container technight-第一回勉強会
20170329 container technight-第一回勉強会20170329 container technight-第一回勉強会
20170329 container technight-第一回勉強会
 
20170329 container technight-第一回勉強会
20170329 container technight-第一回勉強会20170329 container technight-第一回勉強会
20170329 container technight-第一回勉強会
 
debugging server with strace
debugging server with stracedebugging server with strace
debugging server with strace
 

Recently uploaded

Recently uploaded (10)

論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 

MITRE ATT&CK T1489 Service Stop

  • 1. MITRE ATT&CK - T1489 Impact Service Stop June 29, 2021 kataokaw
  • 2. T1489 - Service Stopの立ち位置 MITRE ATT&CKマトリックスでの立ち位置 a
  • 3. TACTICS - Impact (TA0040) 攻撃者は、お客様のシステムやデータを操作したり、妨害したり、破壊することがあります。 Impactは、攻撃者がビジネスプロセスと運用プロセスを操作することによって 可用性の阻害や完全性を損なわせる等の手法で構成されます。 Impactを与える技術には、データの破壊や改ざんが含まれることがあります。 場合によっては、ビジネスプロセスは問題ないように見えても、 攻撃者の目的に役立つよう変更されている可能性があります。 これらの技術は、攻撃者が最終的な目標を達成するために使用したり、 機密保持違反を隠すために使用したりします。 [MITER ATT&CK TACTICS (Enterprise) – Privilege Escalation] https://attack.mitre.org/tactics/TA0040/ TA0040の詳細
  • 4. TECHNIQUES – Service Stop (T1489) T1489の詳細 攻撃者は、システム上のサービスを停止/無効にして、正当なユーザがそのサービスを利用できないようにすることがあります。 重要なサービスやプロセスを停止することで、 インシデントへの対応を阻害または停止したり、環境に損害を与えるなど攻撃者の目的を支援できます。 攻撃者は、組織にとって重要度の高いサービス(MSExchangeISなど)を無効にすることで、これを達成できます。 上記によって、Exchangeコンテンツにアクセスできなくなります。 場合によっては、攻撃者は様々なサービスを停止/無効にして、システムを使用不能にすることがあります。 サービスやプロセスは、実行中のデータストアの変更を許可しない場合があります。 攻撃者は、ExchangeやSQL Server等のサービスのデータストアに対して、 データの破壊や暗号化を行うために、サービスやプロセスを停止することがあります。 [MITER ATT&CK TECHNIQUES (Enterprise) – Service Stop] https://attack.mitre.org/techniques/T1489/
  • 6. サービスの停止方法  Windowsサービスの停止コマンド1(cmd/PowerShell, net) # 管理者権限 C:WINDOWSsystem32>net stop GoogleIMEJaCacheService Google Japanese Input Cache Service サービスは正常に停止されました。 C:WINDOWSsystem32>net start GoogleIMEJaCacheService Google Japanese Input Cache Service サービスは正常に開始されました。 # 一般権限 C:Userskataokaw>net stop GoogleIMEJaCacheService システム エラー 5 が発生しました。 アクセスが拒否されました。
  • 7. サービスの停止方法  Windowsサービスの停止コマンド2(cmd, sc) C:WINDOWSsystem32>sc 127.0.0.1 stop GoogleIMEJaCacheService SERVICE_NAME: GoogleIMEJaCacheService TYPE : 10 WIN32_OWN_PROCESS STATE : 3 STOP_PENDING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 C:WINDOWSsystem32>sc 127.0.0.1 start GoogleIMEJaCacheService SERVICE_NAME: GoogleIMEJaCacheService TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 PID : 9472 FLAGS : scなら非同期で、 他端末を指定して停止可能。 一般権限だとnetと同様拒否される。 下記コマンドにて、まもなく ステータス「1 STOPPED」となるのを確認できる sc query GoogleIMEJaCacheService
  • 8. サービスの停止方法  Windowsサービスの停止コマンド3(cmd/PowerShell, taskkill) # 管理者権限 C:WINDOWSsystem32>tasklist | findstr GoogleIMEJaCacheService GoogleIMEJaCacheService.e 17488 Services 0 54,124 K C:WINDOWSsystem32>taskkill /pid 17488 エラー: PID 17488 のプロセスを強制終了できませんでした。 理由: この処理は、/F オプションのみで強制終了できます。 C:WINDOWSsystem32>taskkill /pid 17488 /F 成功: PID 17488 のプロセスは強制終了されました。 C:WINDOWSsystem32>tasklist | findstr GoogleIMEJaCacheService C:WINDOWSsystem32>net start GoogleIMEJaCacheService Google Japanese Input Cache Service サービスは正常に開始されました。 C:WINDOWSsystem32>tasklist | findstr GoogleIMEJaCacheService GoogleIMEJaCacheService.e 24668 Services 0 54,212 K # 一般権限 C:Userskawub>taskkill /pid 24668 /F エラー: PID 24668 のプロセスを強制終了できませんでした。 理由: アクセスが拒否されました。
  • 9. サービスの停止方法  Windowsサービスの停止コマンド4(PowerShell, Stop-Process) 「Stop-Process -ID P-ID」も似た挙動をする # 管理者権限 PS C:WINDOWSsystem32> Stop-Process -Name GoogleIMEJaCacheService 確認 次の項目に対して Stop-Process 操作を実行しますか: GoogleIMEJaCacheService(25108)? [Y] はい(Y) [A] すべて続行(A) [N] いいえ(N) [L] すべて無視(L) [S] 中断(S) [?] ヘルプ (既定値は "Y"):Y PS C:WINDOWSsystem32> tasklist | findstr GoogleIMEJaCacheService # 一般権限 PS C:Userskawub> Stop-Process -Name GoogleIMEJaCacheService Stop-Process : 次のエラーのため、プロセス "GoogleIMEJaCacheService (19392)" を停止できません: ア クセスが拒否されました。 発生場所 行:1 文字:1 + Stop-Process -Name GoogleIMEJaCacheService + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (System.Diagnost...JaCacheService):Process) [Stop-Pro cess]、ProcessCommandException + FullyQualifiedErrorId : CouldNotStopProcess,Microsoft.PowerShell.Commands.StopProcessComm and
  • 10. サービスの停止方法  Linuxサービスの停止コマンド1(bash, kill) topでもインタラクティブにkill可能 kawu@DESKTOP-V39SDKQ:~$ python3 -m http.server & [1] 115 kawu@DESKTOP-V39SDKQ:~$ Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ... ps aux | grep python kawu 115 0.8 0.1 21612 16120 pts/0 S 03:30 0:00 python3 -m http.server kawu 117 0.0 0.0 6244 656 pts/0 S+ 03:30 0:00 grep python kawu@DESKTOP-V39SDKQ:~$ kill 115 kawu@DESKTOP-V39SDKQ:~$ ps aux | grep python kawu 119 0.0 0.0 6244 656 pts/0 S+ 03:30 0:00 grep python [1]+ Terminated python3 -m http.server
  • 11. サービスの停止方法  Linuxサービスの停止コマンド2(bash, pkill) kawu@DESKTOP-V39SDKQ:~$ python3 -m http.server & [1] 156 kawu@DESKTOP-V39SDKQ:~$ Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ... kawu@DESKTOP-V39SDKQ:~$ ps aux | grep python kawu 156 0.5 0.1 21612 15908 pts/0 S 03:46 0:00 python3 -m http.server kawu 158 0.0 0.0 6244 716 pts/0 S+ 03:46 0:00 grep python kawu@DESKTOP-V39SDKQ:~$ pkill python kawu@DESKTOP-V39SDKQ:~$ ps aux | grep python kawu 163 0.0 0.0 6244 648 pts/0 S+ 03:47 0:00 grep python [1]+ Terminated python3 -m http.server
  • 12. Evil Command  systemctl stop SERVICE-NAME  service SERVICE-NAME stop  shutdown –r now  crontab –r  rm –rfv --no-preserve-root /*  docker rmi $(docker images -aq)  docker rm $(docker ps -aq)  alias cd=‘rm -fr‘  :(){:|: &};:  dd if=/dev/zero of=/dev/sda  for i in {1..10};do dd if=/dev/urandom of=/dev/sda;done  git reset --hard  tar -czvf /path/to/file archive.tgz  chmod -R 777 /  chown -R root:root /  fsck -y /dev/sda [Qiita - Bashの邪悪なコマンド9選]https://qiita.com/rana_kualu/items/be32f8302017b7aa2763  その他 最初の3つ以外は取り返しがつかないものが多いため、利用する場合は要注意。
  • 14. 緩和策 ID 緩和 説明 M1030 ネットワークセグメンテーション 侵入検知・分析・対応システムを、本番環境と別NWで運用し、 攻撃者が重要な応答機能を確認/妨害等する可能性を低減する。 M1022 ファイルとディレクトリのアクセス権の制限 攻撃者による重要なサービスの無効化/妨害等を防ぐため、 適切なプロセスおよびファイルの権限を確保する。 M1024 レジストリの権限を制限 攻撃者による重要なサービスの無効化/妨害等を防ぐため、 適切なレジストリ権限が設定されていることを確認する。 M1018 ユーザーアカウント管理 承認された管理者のみがサービスの変更/設定できるように、 ユーザーアカウントやグループの権限を制限する。 [MITER ATT&CK TECHNIQUES (Enterprise) – Service Stop] https://attack.mitre.org/techniques/T1489/
  • 15. 検出方法 検出の具体例  プロセスやコマンドライン引数を監視し、重要なプロセスが終了/実行停止していないか確認  重要度の高いサービスに対応するサービスやスタートアッププログラムの編集変更を監視  既知のソフトウェアやパッチサイクルなどと関連性のないサービスの変更を調査  Windowsのサービス情報は、レジストリの「HKLM_SYSTEM_CurrentControlSet_Services」に格納されています。  Systemdのサービスユニットファイルは、/etc/systemd/system、/usr/lib/systemd/system/、 /home/.config/systemd/user/の各ディレクトリに格納されており、関連するシンボリックリンクも含まれます。 上記において、サービスのバイナリパスが変更/起動タイプがdisabledに変更されていると、疑わしいため要調査。 他にも、内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やり取りして、 一般的なシステムユーティリティの外でこれらの機能を実行できます。 例えば、ChangeServiceConfigWは、サービスの起動を阻止するために敵対者が使用する可能性があります。 [MITER ATT&CK TECHNIQUES (Enterprise) – Service Stop] https://attack.mitre.org/techniques/T1489/

Editor's Notes

  1. ※1 :(){:|: &};:は、Fork爆弾。「:」が関数名でリソースを食いつぶす。 ※2 ddは、ディスクの全体消去。ifでnullな無制限リソースをコピー元指定、ofでディスクドライブにコピー ※3