Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Возможность создания или изменения службы Windows

Злоумышленники могут создавать или изменять существующие службы Windows для закрепления в операционной системе. В момент загрузки ОС Windows, запускаются программы или приложения, называемые службами, которые выполняют фоновые системные функции. Информация о конфигурации службы Windows хранится в реестре Windows. Конфигурации служб могут быть изменены с помощью таких утилит, как sc.exe и Reg.
Злоумышленники могут создать новую службу или изменить существующую службу, используя системные утилиты, непосредственно изменяя реестр или используя пользовательские инструменты для взаимодействия с API Windows.
Для сокрытия присутствия злоумышленники могут использовать имя существующей службы или изменить существующие службы, чтобы сделать обнаружение более сложным. Изменение существующих служб может нарушить их функциональность или включить службы, которые отключены или иным образом обычно не используются.
Злоумышленник может также использовать данную уязвимость для повышения привилегий от администратора к системным учетным данным.

Каталоги угроз

Техники ATT@CK:
T1543.003 Create or Modify System Process: Windows Service
Adversaries may create or modify Windows services to repeatedly execute malicious payloads as part of persistence. When Windows ...