T1490-win-禁止系统恢复
来自ATT&CK的描述
攻击者可能会删除操作系统的内置数据,并关闭帮助已损坏系统恢复的服务。操作系统可能包含可帮助修复损坏系统的功能,例如备份目录,卷影副本和自动修复功能。攻击者可以禁用或删除这些系统恢复功能,以增强销毁数据和加密数据的影响。
攻击者可以使用许多本机Windows实用程序来禁用或删除系统恢复功能:
- vssadmin.exe 可用于删除系统上的所有卷影副本 - vssadmin.exe delete shadows /all /quiet
- Windows Management Instrumentation可用于删除卷影副本 - wmic shadowcopy delete
- wbadmin.exe 可用于删除Windows备份目录 - wbadmin.exe delete catalog -quiet
- bcdedit.exe 可用于通过修改启动配置数据来禁用Windows自动恢复功能 - bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
测试案例
wmic shadowcopy delete
检测日志
windows 安全日志
测试复现
C:\Users\Administrator>wmic shadowcopy delete
没有可用实例。
测试留痕
4688 Windows安全日志,进程创建
已创建新进程。
创建者主题:
安全 ID: QAX\Administrator
帐户名: Administrator
帐户域: QAX
登录 ID: 0x7169C
目标主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
进程信息:
新进程 ID: 0x1304
新进程名称: C:\Windows\System32\wbem\WMIC.exe
令牌提升类型: %%1936
强制性标签: Mandatory Label\High Mandatory Level
创建者进程 ID: 0x15d0
创建者进程名称: C:\Windows\System32\cmd.exe
进程命令行: wmic shadowcopy delete
检测规则/思路
sigma规则
title: windows下删除系统恢复功能
description: Windows下使用wmic shadowcopy delete删除卷影副本
tags: T1490
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection1:
EventID: 4688 #进程创建
New Processname: 'bcdedit.exe' #进程信息>新进程名称
Processcommandline:
- '* set * bootstatuspolicy ignoreallfailures' #进程信息>进程命令行
- '* set * recoveryenabled no' #进程信息>进程命令行
selection2:
EventID: 4688 #进程创建
New Processname: 'vssadmin.exe' #进程信息>新进程名称
Processcommandline|contain: 'delete shadows' #进程信息>进程命令行
selection3:
EventID: 4688 #进程创建
New Processname: 'wmic.exe' #进程信息>新进程名称
Processcommandline: 'shadowcopy delete' #进程信息>进程命令行
condition: 1 of selection*
level: high
建议
使用进程监视来检测涉及禁止系统恢复的二进制文件的执行和命令行参数,例如vssadmin、wbadmin和bcdedit。Windows事件日志,例如:提示系统目录已删除的事件ID524可能包含与可疑活动相关的事件。
参考推荐
MITRE-ATT&CK-T1490