Техника на mitre.org

T1490: Препятствование восстановлению системы

Злоумышленники могут удалить или переместить встроенные данные и отключить службы, отвечающие за восстановление поврежденной системы. Это может лишить пользователей доступа к резервным копиям и средствам восстановления.

Для восстановления поврежденных систем в операционных системах имеются специальные функции, такие как каталог резервных копий, теневые копии томов и функции автоматического восстановления. Злоумышленники могут отключить или удалить функции восстановления системы, чтобы увеличить ущерб от уничтожения данных и шифрования данных. Кроме того, они могут отключить уведомления о необходимости восстановления, а затем повредить резервные копии.

Для отключения или удаления функций восстановления системы злоумышленники использовали ряд стандартных утилит Windows:

  • vssadmin.exe может удалить все теневые копии томов в системе: vssadmin.exe delete shadows /all /quiet
  • инструментарий управления Windows может удалить теневые копии томов: wmic shadowcopy delete
  • wbadmin.exe может удалить каталог резервных копий Windows: wbadmin.exe delete catalog -quiet
  • bcdedit.exe может отключить функции автоматического восстановления Windows путем изменения данных конфигурации загрузки: bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
  • REAgentC.exe может отключить функции восстановления в среде восстановления Windows (WinRE) зараженной машины
  • diskshadow.exe может удалить все теневые копии томов в системе: diskshadow delete shadows all

На сетевых устройствах злоумышленники могут использовать технику Уничтожение диска для удаления резервных копий образов прошивки и переформатирования файловой системы с последующим завершением работы или перезагрузкой системы. В совокупности эти действия могут привести к полной неработоспособности сетевых устройств и затруднить их восстановление.

Злоумышленники также могут уничтожить подключенные к их сети удаленные резервные копии, сохраненные в сетевых хранилищах или папках, синхронизированных с облачными сервисами. В облачных средах злоумышленники могут отключить политики контроля версий и резервного копирования, а также удалить снапшоты, образы виртуальных машин и предыдущие версии объектов, предназначенные для аварийного восстановления.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

acronis: PT-CR-2239: Acronis_Mass_Drop_Machine_Or_Backup_Plan: Попытка массового удаления резервных копий mitre_attck_impact: PT-CR-497: Shadow_Copies_Deletion_With_Builtin_Tools: Обнаружение попыток удалить теневые копии данных, необходимых для восстановления Windows

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы для мониторинга запуска бинарных файлов и их параметров, которые могут препятствовать восстановлению системы, например vssadmin, wbadmin и bcdedit. После компрометации систем одной сети злоумышленники часто пытаются удалить или изменить размер теневых копий томов, чтобы предотвратить восстановление системы до состояния перед атакой. Для этого часто применяется vssadmin — легитимный инструмент Windows, предназначенный для работы с теневыми копиями. На эту технику часто полагаются программы-вымогатели, и она может помешать восстановлению системы после атаки. Псевдокод, используемый для обнаружения, отслеживает события создания процесса, регистрируемые в журнале безопасности Windows и Sysmon (с идентификаторами 4688 и 1 соответственно). При использовании wmic для удаления теневой копии тома генерируется событие WMI-Activity Operational с идентификатором 5857, а в случае завершения операции сбоем — событие с идентификатором 5858. Эти два идентификатора позволяют обнаружить использование wmic без создания процесса и (или) выполнить более тщательный криминалистический анализ.

Аналитика 1. Обнаружение удаления теневой копии тома или изменения ее размера

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688")(CommandLine="vssadmin delete shadows" OR CommandLine="wmic shadowcopy delete" OR CommandLine="vssadmin resize shadowstorage")) OR (EventCode="5857" ProviderName="MSVSS__PROVIDER") OR (EventCode="5858" Operation="Win32_ShadowCopy")

Аналитика 2. Изменение параметров восстановления после сбоев с помощью BCDEdit

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") Image= "C:\Windows\System32\bcdedit.exe" AND CommandLine="recoveryenabled"

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в реестре, связанные с функциями восстановления системы (например, создание ключа HKEY_CURRENT_USER\Software\Policies\Microsoft\PreviousVersions\DisableLocalPage).

IDDS0020Источник и компонент данныхСнапшот: Удаление снапшотаОписание

Отслеживайте нетипичные случаи удаления снапшотов (например, с помощью команды delete-snapshot в AWS), особенно тех, которые связаны с резервными копиями данных в облаке.

IDDS0010Источник и компонент данныхОблачное хранилище: Удаление облачного хранилищаОписание

Отслеживайте нетипичные случаи удаления объектов облачного хранилища (например, командой delete-object в AWS), особенно тех, в которых хранятся резервные копии.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте процессы для мониторинга запуска бинарных файлов и их параметров, которые могут препятствовать восстановлению системы, например vssadmin, wbadmin и bcdedit.

IDDS0019Источник и компонент данныхСлужба: Метаданные службыОписание

Отслеживайте статус служб, которые задействованы в восстановлении системы.

Примечание. В Windows можно использовать событие с идентификатором 7040 для отслеживания изменений типа запуска служб, которые связаны с восстановлением системы (например, отключение выполнения при запуске).

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Журналы событий Windows могут содержать записи, связанные с подозрительной деятельностью. Например, событие с идентификатором 524 свидетельствует об удалении системного каталога.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

По возможности используйте контроль приложений, настроенный на блокировку выполнения таких утилит, как diskshadow.exe, которые могут быть не нужны для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.

IDM1028НазваниеИзменение конфигурации ОСОписание

Предусмотрите технические средства контроля для предотвращения отключения служб или удаления файлов, участвующих в восстановлении системы. Кроме того, проследите, чтобы WinRE был включен, используя следующую команду: reagentc /enable.

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте доступ к резервным копиям, оставив его только тем пользователям, которым он необходим.

IDM1053НазваниеСоздание резервной копии данныхОписание

По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления. В облачных средах по возможности включайте версионность объектов хранения и копируйте резервные копии в другие учетные записи или регионы, чтобы изолировать их от оригинальных копий.