跳转至

T1529-win-系统关机或重启

来自ATT&CK的描述

攻击者可能会关闭或者重启系统,用来中断正常用户对这些系统的访问或者为了破坏这些系统。操作系统包含用于启动计算机关闭或重新启动的命令。在某些情况下,这些命令还可以用于远程计算机关闭或者重启。关闭或重新启动系统可能会干扰合法用户对计算机资源的访问。

攻击者可能会以其他方式(例如磁盘结构擦除或禁止系统恢复)对系统造成影响后尝试关闭或者重新引导系统,以加快对系统可用性的影响。

测试案例

windows系统自带一个名为Shutdown.exe的程序,可以用于关机操作(位置在Windows\System32下),一般情况下Windows系统的关机都可以通过调用程序 shutdown.exe来实现的,同时该程序也可以用于终止正在计划中的关机操作。——来自百度百科

具体shutdown程序的用法,可以参考微软官方说明:https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/shutdown

检测日志

windows 安全日志

测试复现

这里只演示使用shutdown执行定时关机任务。

C:\Users\Administrator>Shutdown -s -t 13200 #220分钟后关机

C:\Users\Administrator>Shutdown -a #取消关机

测试留痕

Event_ID_4688_安全日志

已创建新进程。

创建者主题:
 安全 ID:  QAX\Administrator
 帐户名:  Administrator
 帐户域:  QAX
 登录 ID:  0x7169C

目标主题:
 安全 ID:  NULL SID
 帐户名:  -
 帐户域:  -
 登录 ID:  0x0

进程信息:
 新进程 ID:  0x730
 新进程名称: C:\Windows\System32\shutdown.exe
 令牌提升类型: %%1936
 强制性标签:  Mandatory Label\High Mandatory Level
 创建者进程 ID: 0x15d0
 创建者进程名称: C:\Windows\System32\cmd.exe
 进程命令行: Shutdown  -s -t 13200

已创建新进程。

创建者主题:
 安全 ID:  SYSTEM
 帐户名:  WIN-1CIA2BP8VBJ$
 帐户域:  QAX
 登录 ID:  0x3E7

目标主题:
 安全 ID:  NULL SID
 帐户名:  Administrator
 帐户域:  QAX
 登录 ID:  0x7169C

进程信息:
 新进程 ID:  0x1418
 新进程名称: C:\Windows\System32\wlrmdr.exe
 令牌提升类型: %%1936
 强制性标签:  Mandatory Label\High Mandatory Level
 创建者进程 ID: 0x27c
 创建者进程名称: C:\Windows\System32\winlogon.exe
 进程命令行: -s 120000 -f 2 -t 即将注销你的登录 -m Windows 将在 220 分钟后关闭。

Event_ID_1074_系统日志

进程 C:\Windows\system32\winlogon.exe (WIN-MH0D37EDEEI) 由于以下原因已代表用户 NT AUTHORITY\SYSTEM 启动计算机 WIN-1CIA2BP8VBJ 的 重启: 操作系统: 升级(计划内)
 原因代码: 0x80020003
 关机类型: 重启
 注释:

Event_ID_6006_系统日志

事件日志服务已停止。

检测规则/思路

sigma规则

title: 使用shutdown命令使计算机关机或者重新启动
description: Windows下使用使用shutdown命令使计算机重新启动或者关机。
tags: T1529
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection1:
        EventID: 4688 #进程创建
        New ProcessName: 'shutdown.exe' #进程信息>新建进程名称
        Processcommandline|contain: 'Shutdown' #进程信息>进程命令行参数
    selection2:
        EventID: 
            - 1074 #计算机重启
            - 6006 #事件日志服务已停止
    condition: 1 of selection*
level: high

建议

使用进程监视来监视与关闭或重新引导系统有关的二进制文件的执行和命令行参数。Windows事件日志还可以记录与关机或重新启动相关的事件,例如:事件ID1074和6006。

参考推荐

MITRE-ATT&CK-T1529

https://attack.mitre.org/techniques/T1529/

windows下shutdown命令使用方法官方介绍

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/shutdown