MITRE ATT&CK T1490 - Запрет восстановления системы

По мере роста распространенности атак вымогателей встроенные в операционные системы функции восстановления, такие как Windows Restore Point и Volume Shadow Copy Service, становятся незаменимыми инструментами для восстановления зашифрованных данных. Благодаря этим системам восстановления некоторые организации избежали негативных последствий атак ransomware, практически не нанеся ущерба своей деятельности.

В результате злоумышленники стали использовать новые методы удаления или повреждения систем восстановления, чтобы вымогать деньги у организаций, лишая их встроенных средств восстановления.

MITRE ATT&CK T1490 Запрет восстановления системы

Техника T1490 Inhibit System Recovery от MITRE ATT&CK Framework - это удаление или удаление встроенных данных восстановления операционной системы и отключение функций восстановления, используемых для исправления поврежденной системы. Злоумышленники используют эту технику, чтобы заставить жертву заплатить выкуп. Препятствование восстановлению системы не является конечной целью атак ransomware, однако эта техника значительно усиливает эффект от атаки.

Для предотвращения восстановления системы злоумышленники используют следующие методы:

1. Удаление теневых копий томов
2. Изменение размера пространства хранения теневых копий томов
3. Отключение функций автоматического восстановления Windows
4. Удаление каталога резервных копий и данных резервного копирования

Удаление теневых копий томов

1.1 Администратор службы теневого копирования томов (vssadmin)

Служба теневого копирования томов (VSS) - это служба Windows, которая создает теневые копии файлов в системе. Злоумышленники используют несколько встроенных инструментов Windows для удаления теневых копий томов. Первым инструментом является vssadmin. vssadmin - это утилита командной строки Windows, которая может отображать, управлять и удалять теневые копии томов в системе. Известно, что группа Ransomware REvil (также известная как Sodinokibi) злоупотребляет этой функцией с помощью следующей команды:

Команда Windows Management Instrumentation Command (WMIC)

Еще одним распространенным способом удаления теневых копий томов является использование команды wmic. wmic - это утилита командной строки, используемая для доступа к Windows Management Instrumentation, инфраструктуре для управления данными и операциями в операционных системах на базе Windows. Задачи администрирования можно автоматизировать с помощью сценариев и приложений WMI. Приведенный ниже пример команды wmic используется группой вымогателей Nefilim для удаления теневых копий.

PowerShell

Команда PowerShell Get-WmiObject позволяет получить доступ к WMI и запустить класс WMI Win32_ShadowCopy для удаления теневых копий томов. Например, программа-вымогатель NetWalker использует приведенную ниже команду PowerShell для блокировки восстановления системы.

Изменение размера пространства хранения теневых копий томов

Хотя удаление теневых копий томов - очевидный способ помешать восстановлению системы, в качестве альтернативы существует более тонкий метод. Злоумышленники препятствуют работе теневых копий, изменяя максимальный размер пространства для хранения теневых копий томов.

При этом методе вымогатель уменьшает объем памяти, выделяемой для моментальных снимков теневых копий тома. Затем, когда существующие снимки превышают размер выделенного хранилища, операционная система удаляет эти снимки и эффективно препятствует возможности восстановления жертвы. Vssadmin способен изменять размер хранилища теневых копий, а минимально допустимый размер составляет 320 МБ. Например, программа-вымогатель Hakbit уменьшает выделенное пространство для теневых копий до 401 МБ, чтобы вызвать удаление теневых копий:

Служба теневого копирования тома (VSS) полагается на драйвер устройства, который ожидает управляющих кодов, и это открывает еще один способ изменения размера хранилища теневых копий тома путем прямого обращения к драйверу устройства с помощью вызовов Device IO Control.

Отключение функций автоматического восстановления Windows

В Windows данные конфигурации загрузки (Boot Configuration Data, BCD) хранят данные, описывающие загрузочные приложения и параметры загрузочных приложений. Редактор данных конфигурации загрузки (bcdedit) - это инструмент командной строки, который позволяет управлять BCD, создавать новые хранилища, изменять существующие и добавлять параметры меню загрузки.

bcdedit можно использовать для отключения функций автоматического восстановления Windows, что используется такими группами вымогателей, как Ranzy Locker, REvil и Nefilim.

Приведенная ниже команда устанавливает параметр загрузки «recoveryenabled» в значение «No», чтобы запретить автоматическую загрузку Startup Repair при возникновении проблем.

Следующая команда устанавливает параметр загрузки «Политика состояния загрузки» как «игнорировать все сбои», что означает, что Windows будет игнорировать ошибки при неудачной загрузке, неудачном выключении или неудачной контрольной точке. Компьютер будет пытаться загрузиться нормально после возникновения ошибки.

Удаление каталога резервного копирования и данных резервного копирования

Windows Backup Admin или wbadmin - это встроенный инструмент Windows, позволяющий создавать резервные копии и восстанавливать операционную систему, тома, файлы, папки и программы. Группы вымогателей используют возможности wbadmin различными способами для удаления данных резервного копирования.

• Ranzy Locker ransomware использует первую команду, приведенную ниже, для удаления резервных копий состояния системы.
• Nefilim использует вторую команду, приведенную ниже, для удаления каталога резервных копий. Хотя сами данные резервного копирования остаются нетронутыми, система восстановления не может получить к ним доступ, поскольку каталог резервного копирования удален.