T1529: Завершение работы или перезагрузка системы

Злоумышленники могут вызвать выключение или перезагрузку системы, чтобы ограничить доступ к ней или способствовать ее повреждению. В операционных системах могут присутствовать команды, инициирующие выключение или перезагрузку компьютера или сетевого устройства. В некоторых случаях эти команды (например, reload) также могут использоваться для выключения или перезагрузки удаленного компьютера или сетевого устройства через интерпретаторы командной строки сетевых устройств.

Выключение или перезагрузка систем может нарушить доступ к ресурсам компьютера для легитимных пользователей, а также помешать реагированию на инцидент или восстановлению после него.

Выполнив в системе вредоносные действия, например нарушив структуру диска или воспрепятствовав восстановлению системы, злоумышленники могут попытаться выключить или перезагрузить систему, чтобы она быстрее стала недоступной или ограниченно доступной в результате этих действий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

proxmox: PT-CR-2740: ProxMox_VE_Multiple_VM_Container_Stop: Удалено или остановлено большое количество виртуальных машин или контейнеров в системе виртуализации Proxmox. Такими действиями злоумышленники могут нанести значительный ущерб системе proxmox: PT-CR-2735: ProxMox_VE_Critical_VM_Container_Manipulation: Пользователь выполнил действие с критически важной виртуальной машиной или контейнером в системе виртуализации Proxmox. Такие действия позволяют злоумышленникам скрывать свою активность, нарушать доступность и работоспособность систем, удалять средства защиты, извлекать или удалять важные данные, встраивать бэкдор и перемещаться внутри периметра сети kontinent: PT-CR-2397: Kontinent_Security_Host_Shutdown: Выполнена команда для отключения узла безопасности. Узел безопасности выполняет большое количество задач, поэтому его отключение может ослабить защиту периметра сети и нарушить доступность ресурсов системы zvirt: PT-CR-2818: ZVirt_Critical_VM_Operation: Пользователь выполнил действие с критически важной виртуальной машиной в системе виртуализации zVirt. Такие действия позволяют злоумышленникам скрывать свою активность, нарушать доступность и работоспособность систем, удалять средства защиты, извлекать или удалять важные данные, встраивать бэкдор и перемещаться внутри периметра сети zvirt: PT-CR-2820: ZVirt_Multiple_VM_Stop_Or_Remove: Удалено или остановлено большое количество виртуальных машин в системе виртуализации zVirt. Такими действиями злоумышленники могут нанести значительный ущерб системе vk_cloud: PT-CR-2291: VK_Cloud_Critical_VM_Operation: Недоверенный пользователь выполнил операцию с критически важной виртуальной машиной в облачном сервисе VK Cloud. Злоумышленники могут получать доступ к важным виртуальным машинам, управлять ими, изменять их конфигурацию, в том числе сетевую. Это позволит им помешать работе важных виртуальных машин, раскрыть хранящуюся на них информацию и подготовить окружение для развития атаки capabilities_impact: PT-CR-2892: CAP_Stop_Application_Or_System: Остановка системы или приложения microsoft_hyperv: PT-CR-2869: HyperV_Critical_VMs_Manipulation: Пользователь выполнил действие с критически важной виртуальной машиной в Hyper-V. Это может быть попыткой злоумышленника нарушить целостность и доступность системы

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска бинарных файлов с целью завершения работы или перезагрузки системы. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают.

IDDS0013Источник и компонент данныхДанные о работоспособности: Состояние узлаОписание

Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов), которые могут говорить о завершении работы или перезагрузке системы. В журналах событий Windows также может регистрироваться активность, направленная на завершение работы или перезагрузку системы, например события с идентификаторами 1074 или 6006.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых бинарных файлов, которые используются для завершения работы или перезагрузки системы.