Home / Operation MyCompany Dominance / Campaign Logs / WL-009

WL-009 Windows System 7045 Service Installation

Log ID:

WL-009

Source:

Windows Event Log System

Representative Path:

Windows Logs > System(Event ID 7045)

Collection:

Winlogbeat

Primary Use:

시스템 내에서 새로운 서비스가 등록 및 설치되는 행위 모니터링

주요 필드

필드	의미	예시
winlog.event_id	Windows 시스템 이벤트 식별자 (서비스 설치 이벤트의 경우 값은 7045)	7045
winlog.computer_name	이벤트가 발생한 대상 호스트(PC 또는 서버)의 컴퓨터 이름	DC01.mycompany.local
winlog.event_data.ServiceName	새로 등록된 서비스의 고유 이름. (공격자가 탐지를 우회하기 위해 무작위 문자열로 난독화하거나 정상 서비스명으로 위조할 수 있음)	zDod
winlog.event_data.ImagePath	서비스가 실행될 때 호출되는 실행 파일(.exe)의 절대 경로 및 명령어	%systemroot%\\qhwROvuE.exe
winlog.event_data.AccountName	서비스가 실행될 때 부여받는 시스템 권한 계정	LocalSystem

커버하는 Techniques Used

Technique	Mapping Reason
T1569.002 - System Services: Service Execution	공격자가 원격지에서 골든 티켓을 악용하여 도메인 컨트롤러(DC)의 관리자 공유 폴더(ADMIN$)에 접근하여 악성 실행 파일을 서비스 형태로 등록 및 실행하는 내부 이동 및 권한 상승 행위를 탐지한다. (Impacket의 psexec.py 동작 방식)

탐지 포인트

Technique	관찰할 행위	주요 필드
T1569.002 - System Services: Service Execution	윈도우 시스템의 정상적인 하위 경로(\System32\, \SysWOW64\)를 우회하여, 시스템 환경변수 디렉터리 최상단인 %systemroot% 또는 \Windows\ 직하단에 임의의 실행 파일(예: 무작위 문자열 .exe)이 생성됨과 동시에, 이를 최고 권한(LocalSystem)을 가진 새로운 서비스로 강제 등록하는 비정상적인 동작 흐름을 집중 관찰	winlog.event_data.ServiceName, winlog.event_data.ImagePath, winlog.event_data.AccountName

ELK Query 예시

winlog.channel : "System" 
and winlog.event_id : 7045 
and winlog.event_data.AccountName : ("LocalSystem" or "NT AUTHORITY\\SYSTEM") 
and winlog.event_data.ImagePath : (*\\Windows\\*.exe or *systemroot%\\*.exe) 
and not winlog.event_data.ImagePath : (
  *\\System32\\* or 
  *\\SysWOW64\\* or 
  *\\regedit.exe*
)