4697 サービスのインストール
新しいサービスがシステムにインストールされたときに記録される。サービスは SYSTEM 権限で動き再起動後も残るため、永続化や横展開の手口で多用される、検知の要となるイベント。
概要
サブカテゴリは Audit Security System Extension。新規サービスが登録されると生成され、サービス名(ServiceName)・実行ファイルパス(ServiceFileName)・登録したアカウントを記録する。サービスは高権限で常駐し起動時に自動実行されうるため、攻撃者にとって魅力的な居座り先になる。
発生契機・方法
sc.exe、サービス制御マネージャ API、PsExec などによるサービス登録。- PsExec はリモート実行のために一時的なサービス(
PSEXESVC等)を作るため、横展開でも 4697 が残る。 - システムログ側の Event ID 7045(新規サービス)とも対応する。
セキュリティ上の確認事項
- MITRE ATT&CK の
T1543.003 (Windows Service: サービスを作成・改変して永続化・権限昇格する手口)に対応する。ServiceFileNameにpowershell/cmd/ 一時フォルダ・管理共有のパス・エンコードされた引数が含まれていれば強く疑う。 - 名前を正規サービスに似せる偽装(
T1036.004)にも注意。サービス名と実行パスの整合(既知サービスが想定外のパスを指していないか)を確認する。 - リモートからのサービス作成(PsExec 型)は横展開の典型。作成主体・送信元と併せて評価する。
ログレビュー時の注意観点
- サービス導入は正規運用(インストーラ、更新)でも起きる。
ServiceFileNameのパスと引数を軸に、不審なバイナリ・スクリプトを絞り込む。 - レジストリ
HKLM\SYSTEM\CurrentControlSet\Servicesへ直接書き込む手口だと、設定によっては 4697 が出ないことがある。レジストリ監査 4657 や Sysmon、Event ID 7045 と多層で補完する。
主なフィールド
| フィールド | 意味 |
|---|---|
Service Name | 登録されたサービス名 |
Service File Name | 実行ファイルのパスと引数。最重要の着目点 |
Service Type / Service Start Type | サービス種別・起動種別(自動起動か) |
Subject\Account Name | 登録を行ったアカウント |
用語メモ
- 永続化 (persistence) — 再起動やログオフをまたいでも攻撃者のコードが動き続けるようにする手口。サービス登録はその代表例。