t1007-system-service-discovery

# T1007 - System Service Discovery ## Descrição Após ganhar acesso inicial a um sistema, adversários frequentemente precisam entender o que está rodando para planejar os próximos passos da intrusão. A técnica T1007 descreve a enumeração de serviços registrados no sistema operacional - tanto serviços em execução quanto serviços parados - usando utilitários nativos do sistema ou ferramentas de pós-exploração. No Windows, os comandos mais comuns são `sc query`, `net start` e `tasklist /svc`; no Linux e macOS, `systemctl --type=service`, `service --status-all` e `launchctl list` cumprem função equivalente. A enumeração de tarefas agendadas via `schtasks` (Windows) ou `crontab -l` (Linux/macOS) também se enquadra nesta categoria. O valor estratégico dessa enumeração para o adversário é considerável: serviços revelam quais softwares de segurança estão ativos (antivírus, EDR, SIEM agents), quais aplicações críticas estão expostas (bancos de dados, servidores web, serviços de backup), e quais vetores de movimento lateral são viáveis. Um adversário que descobre que o serviço de backup está rodando pode priorizar sua interrupção antes de executar ransomware; um que identifica ausência de EDR pode operar com mais liberdade. A informação coletada aqui alimenta diretamente decisões sobre [[t1082-system-information-discovery|System Information Discovery]] e define se o adversário avança para escalada de privilégios ou movimento lateral. A técnica é caracteristicamente silenciosa: todos os comandos usados são utilitários nativos legítimos que administradores de sistema executam rotineiramente. Isso torna a detecção baseada em assinatura pouco eficaz - o sinal relevante não é o comando em si, mas o contexto em que ele é executado (quem iniciou, a partir de qual processo pai, em que sequência com outros comandos de descoberta). **Contexto Brasil/LATAM:** No ecossistema de ameaças brasileiro, grupos de ransomware como os operados pelo [[g0119-indrik-spider|Indrik Spider]] (Evil Corp) e [[s1244-medusa-ransomware|Medusa Ransomware]] fazem uso extensivo de enumeração de serviços para identificar e desativar soluções de backup e segurança antes de criptografar dados. O [[g0033-poseidon-group|Poseidon Group]], grupo de ciberespionagem com foco documentado no Brasil, utiliza essa técnica para mapear ambientes corporativos de grandes empresas brasileiras dos setores financeiro e de telecomúnicações. Operações de cryptojacking como as do [[g0139-teamtnt|TeamTNT]] contra infraestruturas de nuvem brasileiras também empregam enumeração de serviços para identificar processos concorrentes de mineração antes de implantarem seus próprios miners. | Plataforma | Event ID | Fonte | Descrição | |------------|----------|-------|-----------| | Windows | 4688 | Security | Criação de processo: `sc.exe`, `net.exe`, `tasklist.exe` com argumentos de enumeração | | Windows | 7036 | System | Transições de estado de serviço logo após enumeração (parada de serviços de segurança) | | Windows | 4698 / 4702 | Security | Enumeração ou modificação de tarefas agendadas via `schtasks` | | Linux | Auditd - execve | Auditd | Execução de `systemctl`, `service`, `chkconfig` por processo não interativo | | macOS | Unified Log | EndpointSecurity | Chamadas a `launchctl list` originadas de shell não interativo | ```yaml title: System Service Discovery via Native Utilities id: b7e3a1c4-2d58-4f9b-ae72-3c4d5e6f7a8b status: stable description: Detecta enumeração de serviços via utilitários nativos em contexto suspeito author: RunkIntel logsource: product: windows category: process_creation detection: selection_commands: Image|endswith: - '\sc.exe' - '\net.exe' - '\net1.exe' - '\tasklist.exe' CommandLine|contains: - 'query' - 'start' - '/svc' filter_legit_parents: ParentImage|endswith: - '\services.exe' - '\msiexec.exe' - '\svchost.exe' condition: selection_commands and not filter_legit_parents falsepositives: - Scripts de inventário de TI (adicionar whitelist por hash) - Ferramentas ITSM como SCCM, Ivanti level: low tags: - attack.discovery - attack.t1007 ``` ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Enumeração de Serviços]:::highlight B --> C[Mapeamento de Segurança] C --> D{EDR / AV Ativo?} D -->|Sim| E[Evasão / Desativação] D -->|Não| F[Execução do Payload] E --> F classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação:** Após estabelecer acesso inicial - sejá via phishing, exploração de vulnerabilidade ou credenciais comprometidas - o adversário executa comandos de enumeração como primeiro passo de reconhecimento interno. Ferramentas como [[s0386-ursnif|Ursnif]] e [[s0236-kwampirs|Kwampirs]] automatizam essa fase incorporando chamadas a `sc query` e `tasklist /svc` diretamente em seus módulos de descoberta. No Linux, implantes como [[s0244-comnie|Comnie]] e [[sysupdate|SysUpdaté]] executam `systemctl list-units` para mapear o ambiente antes de qualquer ação destrutiva. **Execução:** Os comandos de enumeração são executados e a saída é capturada - frequentemente comprimida e exfiltrada para o operador humano ou processada automaticamente pelo malware. O adversário procura específicamente por: (1) serviços de segurança endpoint como `MsMpEng`, `SentinelAgent`, `CrowdStrike`; (2) serviços de backup como `VeeamBackupSvc`, `BackupExecAgentBrowser`; (3) serviços de banco de dados como `MSSQLSERVER`, `OracleServiceXE`; e (4) serviços de monitoramento que poderiam alertar sobre a intrusão. Ferramentas como [[s0378-poshc2|PoshC2]] e [[s0039-net|Net]] são empregadas para automatizar e exfiltrar esses resultados. **Pós-execução:** Com o mapa de serviços em mãos, o adversário toma decisões táticas precisas: desativa serviços de backup antes do ransomware, move-se lateralmente para servidores de banco de dados identificados, ou explora serviços legítimos como canais de comunicação encoberta. O [[slothfulmedia|SLOTHFULMEDIA]] exemplifica esse padrão ao usar a lista de serviços para escolher qual processo legítimo vai hospedar sua injeção de código. ## Detecção > [!warning] Contexto é Fundamental > `sc query` e `net start` são executados legitimamente por administradores. O sinal de alerta é a execução por processos pai anômalos - `cmd.exe` filho de `winword.exe` ou `powershell.exe` filho de `mshta.exe`, por exemplo. ## Mitigação > [!info] Nota sobre Mitigações > O MITRE ATT&CK não lista mitigações preventivas para esta técnica, pois usa funcionalidades legítimas do SO. O foco deve ser detecção comportamental e princípio do menor privilégio. | Controle | Ação Recomendada | Aplicabilidade Brasil | |----------|-----------------|----------------------| | Princípio do menor privilégio | Restringir quem pode executar `sc query` e `net start` - usuários regulares não deveriam precisar enumerar todos os serviços | Fundamental em ambientes corporativos brasileiros com grandes bases de usuários | | Monitoramento de processo pai | Alertar quando utilitários de enumeração forem filhos de processos de produtividade (Office, browsers) | Universalmente aplicável com qualquer EDR ou SIEM | | Honeytokens de serviço | Criar serviços fictícios com nomes atraentes (ex.: `BackupServiceProd`) e alertar quando forem acessados por comandos de enumeração | Aplicável a SOCs com capacidade de deception technology | | AppLocker / WDAC | Restringir execução de `sc.exe` e `tasklist.exe` a contas administrativas em segmentos críticos | Ambientes com alta maturidade de controle de aplicações | | Correlação SIEM | Criar regra que correlaciona enumeração de serviços com paradas de serviço subsequentes (indicativo de preparação para ransomware) | Alta prioridade para setores financeiro, saúde e varejo no Brasil | ## Threat Actors - [[g0060-bronze-butler|BRONZE BUTLER]] - APT jáponês que enumera serviços corporativos para identificar vetores de movimento lateral em ambientes de manufatura e tecnologia. - [[g0139-teamtnt|TeamTNT]] - grupo de cryptojacking que mapeia serviços de contêiner e nuvem em infraestruturas brasileiras para implantar miners e expandir acesso. - [[g0119-indrik-spider|Indrik Spider]] - operadores do Evil Corp/WastedLocker que enumeram e desativam serviços de backup antes de criptografar ambientes corporativos. - [[g0049-oilrig|OilRig]] - APT iraniano que usa enumeração de serviços para identificar software de segurança em alvos do setor de energia e governo. - [[g0010-turla|Turla]] - grupo russo de espionagem com décadas de operações que usa T1007 como etapa padrão de reconhecimento interno em alvos governamentais. - [[g0143-aquatic-panda|Aquatic Panda]] - APT chinês focado em tecnologia e telecomúnicações que correlaciona enumeração de serviços com exploração de vulnerabilidades recentes. - [[g0033-poseidon-group|Poseidon Group]] - grupo com foco documentado no Brasil que usa essa técnica para mapear ambientes corporativos brasileiros antes de exfiltração. - [[g0094-kimsuky|Kimsuky]] - APT norte-coreano que enumera serviços para identificar softwares de segurança em alvos governamentais e de pesquisa. - [[g0114-chimera|Chimera]] - grupo focado em aviação e semicondutores que usa enumeração de serviços para identificar repositórios de propriedade intelectual. - [[g0004-apt15|Ke3chang]] - APT com foco em diplomacia e governo que integra T1007 em suas ferramentas de reconhecimento pós-comprometimento. ## Software Associado - [[s0386-ursnif|Ursnif]] - trojan bancário que enumera serviços de segurança para adaptar seu comportamento e evitar detecção em ambientes bancários brasileiros. - [[s0236-kwampirs|Kwampirs]] - malware de espionagem industrial que mapeia serviços para identificar ambientes de saúde e manufatura crítica. - [[s1244-medusa-ransomware|Medusa Ransomware]] - ransomware ativo no Brasil que enumera e desativa serviços de backup e segurança antes da fase de criptografia. - [[s0378-poshc2|PoshC2]] - framework de C2 baseado em PowerShell que inclui módulos automatizados de enumeração de serviços. - [[s0039-net|Net]] - utilitário Windows nativo frequentemente abusado para enumeração de serviços em ataques living-off-the-land. - [[sysupdate|SysUpdaté]] - malware do Ke3chang que executa enumeração de serviços como parte de seu módulo de reconhecimento automático. - [[s0244-comnie|Comnie]] - backdoor que enumera serviços Linux para identificar processos de segurança antes de instalar persistência. - [[s0081-elise|Elise]] - implante que usa enumeração de serviços para verificar a presença de ferramentas de análise forense. - [[slothfulmedia|SLOTHFULMEDIA]] - malware que escolhe o serviço legítimo alvo para injeção de código com base na lista de serviços enumerados. - [[s0018-sykipot|Sykipot]] - trojan de espionagem que enumera serviços para mapear softwares de segurança em alvos governamentais e de defesa. --- *Fonte: [MITRE ATT&CK - T1007](https://attack.mitre.org/techniques/T1007)*