服务文件权限弱点

对手可能通过劫持服务使用的二进制文件来执行他们自己的恶意有效载荷。对手可能利用Windows服务权限中的漏洞来替换服务启动时执行的二进制文件。这些服务进程可能会自动执行特定的二进制文件，作为其功能的一部分或执行其他操作。如果包含目标二进制文件的文件系统目录或二进制文件本身的权限设置不正确，则可以使用用户级权限覆盖目标二进制文件，并由原始进程执行。如果原始进程和线程在更高权限级别下运行，则替换的二进制文件也将在更高权限级别下执行，这可能包括SYSTEM。 对手可能使用此技术替换合法二进制文件为恶意二进制文件，以便在更高权限级别下执行代码。如果执行进程设置为在特定时间或某个事件（例如系统启动）期间运行，则此技术也可用于持久性。