RecoverItという新しいツールは、レッドチームにネットワーク内での横展開と永続化をこっそり行う手段を提供します。
これはWindowsに組み込まれたサービス回復機能を悪用し、新規サービスやファイルパスの変更を監視する一般的な検知ツールを回避します。
攻撃者は長年、PsExecやImpacketのようなツールを使って、マルウェア実行のためにWindowsサービスを作成または調整してきました。しかし、これらの手法は目立ちます。
防御側は「ImagePath」(サービスが実行するファイル)を厳しく監視しています。これがC:\Temp\malware.exeのような不審なものを指していれば、エンドポイント検知ツール(EDR)がすぐに見つけます。DLLハイジャックでさえ隠しにくくなっています。
セキュリティ研究者のTwoSevenOneT は、これを解決するためにRecoverItを作成しました。実際のImagePathはそのままにし、代わりにサービスのプロパティにある「回復」設定を狙います。
Windowsサービスには障害時の回復オプションがあります。サービスがクラッシュした場合、再起動したり、カスタムプログラムを実行したりできます。
RecoverItは、無効化されたUevAgentServiceのように簡単にクラッシュするサービスを見つけます。そして回復設定を、リバースシェルなどの悪意あるコマンドを実行するように設定します。
これは従来の手法と同様にSYSTEM権限で実行されますが、ステルス性を保ちます。新しいサービスも、不審なImagePathもないため、フラグが立ちません。
一見すると、Microsoft署名付きの通常の実行ファイルに見えます。トリックは、あまりチェックされないFailureCommandに隠れています。
サービス回復設定の変更を監視し、特にFailureCommandやFailureActionsレジストリキーにある不審なコマンドに注意してください。
イベントID 7024および7031(サービスのクラッシュ/終了)を追跡し、その後にservices.exeがプロセスを生成していないか確認してください。Sysmonのようなツールは、これらのログ取得に役立ちます。
RecoverItは、攻撃者がより巧妙になっていることを示しています。防御側は先手を打つために、回復設定を監視しなければなりません。
翻訳元: https://cyberpress.org/recoverit-tool-exploits-windows/