ATT&CK矩阵-发现-系统服务发现
[TOC]
简介
攻击者通过发现系统注册服务,用于进一步的攻击动作。
测试用例
Windows
系统自带命令
tasklist /svc
net start
sc query
- Windows管理工具
第三方工具
火绒剑
火绒剑下载链接Virustotal
Virustotal下载链接
官方Windows版本已经停止更新,可采用第三方Github链接
下载链接
首次使用需要去配置apiWindows服务管理器(SrvMan)
Windows Service Manager是一个小型工具,可简化与Windows服务相关的所有常见任务。它可以创建服务(Win32和旧版驱动程序),而无需重新启动Windows,删除现有服务和更改服务配置。它同时具有GUI和命令行 模式。它也可以用于将任意Win32应用程序作为服务运行(当该服务停止时,主应用程序窗口将自动关闭)。
下载链接
特点:
允许创建驱动程序和Win32服务,而无需重新启动。
同时支持GUI和命令行。
支持Windows的所有现代32位和64位版本
允许将任意Win32应用程序作为服务运行。
允许在单个命令行调用中安装和运行旧版驱动程序服务。
命令行选项
创建服务
删除服务
启动/停止/重启服务
一次调用即可安装并启动旧版驱动程序
参考链接:https://sysprogs.com/legacy/tools/srvman/
Linux
- 利用进程来查看
ps -aux | grep xxx
是查看某个进程或者服务是否存在。
- 利用
services
命令
查看单个服务运行状态
service 服务名 status
查看所有服务的运行状态
service --status-all
service --status-all | grep running
查看正在运行的服务
- 查看
systemd
中服务 - 利用
chkservice
查看
chkservice是一个管理系统单元的终端工具,需要root权限,部分系统不自带,需要手动安装
MacOS
- 利用自带工具
活动监视器
- 利用相关linux命令
缓解措施
基于系统基础功能,暂无缓解措施
侦测方法
部署监控相关主机安全工具,监视命令行参数和相关操作。