「evil_service」をインストールしたと言えば、svchostを使用して実行できますか?サービスは実行されますか?
はい、可能です。svchost.exeファイル/サービスに基づく既知の攻撃があります。
Windowsプロセスは、OSの通常の操作に不可欠です。一部のプロセスには、通常のユーザーにはない特別な特権またはリソースが必要です。これはまさにマルウェア作成者が探しているものです。以下は、マルウェアによって一般的に使用されるプロセスです(Source: https://blog.checkpoint.com/2016/04/26/how -ransomware-and-malware-use-Microsoft-windows-known-binaries / ):
svchost.exe– Windows NTファミリのオペレーティングシステムで複数のWindowsサービスをホストするシステムプロセス。 Svchostは、共有サービスプロセスの実装に不可欠です。このサービスでは、多数のサービスがプロセスを共有してリソースの消費を削減できます。
Explorer.exe –以前はWindows Explorerと呼ばれていましたが、これはファイルマネージャアプリケーションで、Windows 95以降のMicrosoft Windows OSのリリースに含まれています。ファイルシステムにアクセスするためのグラフィカルユーザーインターフェイスを提供します。これはOSのコンポーネントでもあり、タスクバーやデスクトップなど、モニターに多くのユーザーインターフェイス項目を表示します。
Sdbinst.exe–このプロセスは、Microsoft Virtualization(App-V)を含むMicrosoftデスクトップ最適化パック(MDOP)の一部です。 MDOPを使用すると、ユーザーはアプリケーションを自分のコンピューターに直接インストールしなくても、顧客が利用できるようになります。 App-Vは、アプリケーションを集中管理されたサービスに変換します。これらのサービスは、インストールされることはなく、他のアプリケーションと競合しません。
Sdbinst.exeを使用すると、アプリケーションの作成者は.sdbファイルを介して更新をプッシュできます。プロセスは、アプリケーションとOSの間のミドルウェアとして機能することにより、この動作を管理します。この目的のために、sdbinst.exeは作成者から受け取ったコードを管理者権限で実行します。
さらに、以下のサイトを参照して、攻撃者が正規のWindowsプロセスの背後で自分を隠す方法を確認することもできます: https://safe-cyberdefense.com/load-inject-malicious-dll-using-Microsoft-tools/ =