T1529: Завершение работы или перезагрузка системы
Злоумышленники могут вызвать выключение или перезагрузку системы, чтобы ограничить доступ к ней или способствовать ее повреждению. В операционных системах могут присутствовать команды, инициирующие выключение или перезагрузку компьютера или сетевого устройства. В некоторых случаях эти команды (например, reload
) также могут использоваться для выключения или перезагрузки удаленного компьютера или сетевого устройства через интерпретаторы командной строки сетевых устройств.
Выключение или перезагрузка систем может нарушить доступ к ресурсам компьютера для легитимных пользователей, а также помешать реагированию на инцидент или восстановлению после него.
Выполнив в системе вредоносные действия, например нарушив структуру диска или воспрепятствовав восстановлению системы, злоумышленники могут попытаться выключить или перезагрузить систему, чтобы она быстрее стала недоступной или ограниченно доступной в результате этих действий.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
proxmox: PT-CR-2740: ProxMox_VE_Multiple_VM_Container_Stop: Удалено или остановлено большое количество виртуальных машин или контейнеров в системе виртуализации Proxmox. Такими действиями злоумышленники могут нанести значительный ущерб системе proxmox: PT-CR-2735: ProxMox_VE_Critical_VM_Container_Manipulation: Пользователь выполнил действие с критически важной виртуальной машиной или контейнером в системе виртуализации Proxmox. Такие действия позволяют злоумышленникам скрывать свою активность, нарушать доступность и работоспособность систем, удалять средства защиты, извлекать или удалять важные данные, встраивать бэкдор и перемещаться внутри периметра сети kontinent: PT-CR-2397: Kontinent_Security_Host_Shutdown: Выполнена команда для отключения узла безопасности. Узел безопасности выполняет большое количество задач, поэтому его отключение может ослабить защиту периметра сети и нарушить доступность ресурсов системы zvirt: PT-CR-2818: ZVirt_Critical_VM_Operation: Пользователь выполнил действие с критически важной виртуальной машиной в системе виртуализации zVirt. Такие действия позволяют злоумышленникам скрывать свою активность, нарушать доступность и работоспособность систем, удалять средства защиты, извлекать или удалять важные данные, встраивать бэкдор и перемещаться внутри периметра сети zvirt: PT-CR-2820: ZVirt_Multiple_VM_Stop_Or_Remove: Удалено или остановлено большое количество виртуальных машин в системе виртуализации zVirt. Такими действиями злоумышленники могут нанести значительный ущерб системе vk_cloud: PT-CR-2291: VK_Cloud_Critical_VM_Operation: Недоверенный пользователь выполнил операцию с критически важной виртуальной машиной в облачном сервисе VK Cloud. Злоумышленники могут получать доступ к важным виртуальным машинам, управлять ими, изменять их конфигурацию, в том числе сетевую. Это позволит им помешать работе важных виртуальных машин, раскрыть хранящуюся на них информацию и подготовить окружение для развития атаки capabilities_impact: PT-CR-2892: CAP_Stop_Application_Or_System: Остановка системы или приложения microsoft_hyperv: PT-CR-2869: HyperV_Critical_VMs_Manipulation: Пользователь выполнил действие с критически важной виртуальной машиной в Hyper-V. Это может быть попыткой злоумышленника нарушить целостность и доступность системы
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска бинарных файлов с целью завершения работы или перезагрузки системы. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают. |
---|
ID | DS0013 | Источник и компонент данных | Данные о работоспособности: Состояние узла | Описание | Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов), которые могут говорить о завершении работы или перезагрузке системы. В журналах событий Windows также может регистрироваться активность, направленная на завершение работы или перезагрузку системы, например события с идентификаторами 1074 или 6006. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых бинарных файлов, которые используются для завершения работы или перезагрузки системы. |
---|