T1529: Завершение работы или перезагрузка системы
Злоумышленники могут вызвать выключение или перезагрузку системы, чтобы ограничить доступ к ней или способствовать ее повреждению. В операционных системах могут присутствовать команды, инициирующие выключение или перезагрузку компьютера или сетевого устройства. В некоторых случаях эти команды (например, reload
) также могут использоваться для выключения или перезагрузки удаленного компьютера или сетевого устройства через интерпретаторы командной строки сетевых устройств.
Выключение или перезагрузка систем может нарушить доступ к ресурсам компьютера для легитимных пользователей, а также помешать реагированию на инцидент или восстановлению после него.
Выполнив в системе вредоносные действия, например нарушив структуру диска или воспрепятствовав восстановлению системы, злоумышленники могут попытаться выключить или перезагрузить систему, чтобы она быстрее стала недоступной или ограниченно доступной в результате этих действий.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vk_cloud: PT-CR-2291: VK_Cloud_Critical_VM_Operation: Недоверенный пользователь выполнил операцию с критически важной виртуальной машиной в облачном сервисе VK Cloud. Злоумышленники могут получать доступ к важным виртуальным машинам, управлять ими, изменять их конфигурацию, в том числе сетевую. Это позволит им помешать работе важных виртуальных машин, раскрыть хранящуюся на них информацию и подготовить окружение для развития атаки
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых бинарных файлов, которые используются для завершения работы или перезагрузки системы. |
---|
ID | DS0013 | Источник и компонент данных | Данные о работоспособности: Состояние узла | Описание | Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов), которые могут говорить о завершении работы или перезагрузке системы. В журналах событий Windows также может регистрироваться активность, направленная на завершение работы или перезагрузку системы, например события с идентификаторами 1074 или 6006. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска бинарных файлов с целью завершения работы или перезагрузки системы. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают. |
---|