Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1490 - Запрет восстановления системы

Техники:  T1490

Злоумышленники могут удалять или удалять встроенные данные и отключать службы, предназначенные для помощи в восстановлении поврежденной системы, чтобы предотвратить восстановление.(Цитата: Talos Olympic Destroyer 2018)(Цитата: FireEye WannaCry 2017) Это может лишить доступа к доступным резервным копиям и вариантам восстановления.

Операционные системы могут содержать функции, помогающие исправить поврежденные системы, такие как каталог резервных копий, теневые копии томов и функции автоматического восстановления. Злоумышленники могут отключить или удалить функции восстановления системы, чтобы усилить эффект от Уничтожения данных и Шифрования данных для воздействия.(Цитата: Talos Olympic Destroyer 2018)(Цитата: FireEye WannaCry 2017) Кроме того, злоумышленники могут отключить уведомления о восстановлении, а затем испортить резервные копии.(Цитата: disable_notif_synology_ransom)

Для отключения или удаления функций восстановления системы злоумышленники используют ряд штатных утилит Windows:

* vssadmin.exe может использоваться для удаления всех теневых копий томов в системе - vssadmin.exe delete shadows /all /quiet
* Windows Management Instrumentation может быть использован для удаления теневых копий томов - wmic shadowcopy delete
* wbadmin.exe может быть использован для удаления каталога резервного копирования Windows - wbadmin.exe delete catalog -quiet
* bcdedit.exe может использоваться для отключения функций автоматического восстановления Windows путем изменения данных конфигурации загрузки - bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no.
* REAgentC.exe может использоваться для отключения опций восстановления Windows Recovery Environment (WinRE) в зараженной системе.
* diskshadow.exe может использоваться для удаления всех теневых копий томов в системе - diskshadow delete shadows all (Цитирование: Diskshadow) (Цитирование: Crytox Ransomware)

На сетевых устройствах злоумышленники могут использовать функцию Disk Wipe для удаления резервных образов прошивки и переформатирования файловой системы, а затем System Shutdown/Reboot для перезагрузки устройства. В совокупности эти действия могут привести к полной неработоспособности сетевых устройств и затруднить операции по восстановлению.

Злоумышленники также могут удалять «онлайновые» резервные копии, подключенные к сети - через сетевые носители или папки, синхронизированные с облачными сервисами.(Цит. по: ZDNet Ransomware Backups 2020) В облачных средах злоумышленники могут отключать политики версионности и резервного копирования, удалять моментальные снимки, резервные копии баз данных, образы машин и предыдущие версии объектов, предназначенных для использования в сценариях аварийного восстановления.(Цит. по: Dark Reading Code Spaces Cyber Attack)(Цит. по: Rhino Security Labs AWS S3 Ransomware)

https://attack.mitre.org/techniques/T1490

← Назад

Визуализация смежных техник для T1490

Отрасль:
 с подтехниками
Техника

Закрыть