avatar

目录
系统服务发现

ATT&CK矩阵-发现-系统服务发现

[TOC]

简介

攻击者通过发现系统注册服务,用于进一步的攻击动作。

测试用例

Windows

系统自带命令

  1. tasklist /svc

  2. net start

  1. sc query

  1. Windows管理工具

第三方工具

  1. 火绒剑

    火绒剑下载链接

  2. Virustotal
    Virustotal下载链接
    官方Windows版本已经停止更新,可采用第三方Github链接
    下载链接
    首次使用需要去配置api

  3. Windows服务管理器(SrvMan)

Windows Service Manager是一个小型工具,可简化与Windows服务相关的所有常见任务。它可以创建服务(Win32和旧版驱动程序),而无需重新启动Windows,删除现有服务和更改服务配置。它同时具有GUI和命令行 模式。它也可以用于将任意Win32应用程序作为服务运行(当该服务停止时,主应用程序窗口将自动关闭)。
下载链接

特点:

  • 允许创建驱动程序和Win32服务,而无需重新启动。

  • 同时支持GUI和命令行。

  • 支持Windows的所有现代32位和64位版本

  • 允许将任意Win32应用程序作为服务运行。

  • 允许在单个命令行调用中安装和运行旧版驱动程序服务。

命令行选项

  • 创建服务

  • 删除服务

  • 启动/停止/重启服务

  • 一次调用即可安装并启动旧版驱动程序

参考链接:https://sysprogs.com/legacy/tools/srvman/

Linux

  1. 利用进程来查看

ps -aux | grep xxx 是查看某个进程或者服务是否存在。

  1. 利用services命令
  • 查看单个服务运行状态
    service 服务名 status

  • 查看所有服务的运行状态
    service --status-all

    service --status-all | grep running查看正在运行的服务

  1. 查看systemd中服务
  2. 利用chkservice查看

chkservice是一个管理系统单元的终端工具,需要root权限,部分系统不自带,需要手动安装

MacOS

  1. 利用自带工具活动监视器
  2. 利用相关linux命令

缓解措施

基于系统基础功能,暂无缓解措施

侦测方法

部署监控相关主机安全工具,监视命令行参数和相关操作。

文章作者: 夜莺
文章链接: https://www.shallowdream.cn/posts/31315.html
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 夜莺