T1529: Завершение работы или перезагрузка системы

Злоумышленники могут вызвать выключение или перезагрузку системы, чтобы ограничить доступ к ней или способствовать ее повреждению. В операционных системах могут присутствовать команды, инициирующие выключение или перезагрузку компьютера или сетевого устройства. В некоторых случаях эти команды (например, reload) также могут использоваться для выключения или перезагрузки удаленного компьютера или сетевого устройства через интерпретаторы командной строки сетевых устройств.

Выключение или перезагрузка систем может нарушить доступ к ресурсам компьютера для легитимных пользователей, а также помешать реагированию на инцидент или восстановлению после него.

Выполнив в системе вредоносные действия, например нарушив структуру диска или воспрепятствовав восстановлению системы, злоумышленники могут попытаться выключить или перезагрузить систему, чтобы она быстрее стала недоступной или ограниченно доступной в результате этих действий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vk_cloud: PT-CR-2291: VK_Cloud_Critical_VM_Operation: Недоверенный пользователь выполнил операцию с критически важной виртуальной машиной в облачном сервисе VK Cloud. Злоумышленники могут получать доступ к важным виртуальным машинам, управлять ими, изменять их конфигурацию, в том числе сетевую. Это позволит им помешать работе важных виртуальных машин, раскрыть хранящуюся на них информацию и подготовить окружение для развития атаки

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых бинарных файлов, которые используются для завершения работы или перезагрузки системы.

IDDS0013Источник и компонент данныхДанные о работоспособности: Состояние узлаОписание

Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов), которые могут говорить о завершении работы или перезагрузке системы. В журналах событий Windows также может регистрироваться активность, направленная на завершение работы или перезагрузку системы, например события с идентификаторами 1074 или 6006.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска бинарных файлов с целью завершения работы или перезагрузки системы. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают.