web-dev-qa-db-ja.com

svchostを使用してサービスを実行できますか?

「evil_service」をインストールしたと言えば、svchostを使用して実行できますか?サービスは実行されますか?

2
0siris

はい、可能です。svchost.exeファイル/サービスに基づく既知の攻撃があります。

Windowsプロセスは、OSの通常の操作に不可欠です。一部のプロセスには、通常のユーザーにはない特別な特権またはリソースが必要です。これはまさにマルウェア作成者が探しているものです。以下は、マルウェアによって一般的に使用されるプロセスです(Sourcehttps://blog.checkpoint.com/2016/04/26/how -ransomware-and-malware-use-Microsoft-windows-known-binaries / ):

svchost.exe– Windows NTファミリのオペレーティングシステムで複数のWindowsサービスをホストするシステムプロセス。 Svchostは、共有サービスプロセスの実装に不可欠です。このサービスでは、多数のサービスがプロセスを共有してリソースの消費を削減できます。

Explorer.exe –以前はWindows Explorerと呼ばれていましたが、これはファイルマネージャアプリケーションで、Windows 95以降のMicrosoft Windows OSのリリースに含まれています。ファイルシステムにアクセスするためのグラフィカルユーザーインターフェイスを提供します。これはOSのコンポーネントでもあり、タスクバーやデスクトップなど、モニターに多くのユーザーインターフェイス項目を表示します。

Sdbinst.exe–このプロセスは、Microsoft Virtualization(App-V)を含むMicrosoftデスクトップ最適化パック(MDOP)の一部です。 MDOPを使用すると、ユーザーはアプリケーションを自分のコンピューターに直接インストールしなくても、顧客が利用できるようになります。 App-Vは、アプリケーションを集中管理されたサービスに変換します。これらのサービスは、インストールされることはなく、他のアプリケーションと競合しません。

Sdbinst.exeを使用すると、アプリケーションの作成者は.sdbファイルを介して更新をプッシュできます。プロセスは、アプリケーションとOSの間のミドルウェアとして機能することにより、この動作を管理します。この目的のために、sdbinst.exeは作成者から受け取ったコードを管理者権限で実行します。

さらに、以下のサイトを参照して、攻撃者が正規のWindowsプロセスの背後で自分を隠す方法を確認することもできます: https://safe-cyberdefense.com/load-inject-malicious-dll-using-Microsoft-tools/ =

2
Sayan