Куда я попал?
Описание угрозы
Вывод из строя компонентов операционной системы что ведет к неработоспособности как самой ОС так и расположенных на ней активов.
Описание уязвимости
Операционные системы могут содержать подсистемы, которые исправляют и восстанавливают поврежденные элементы системы, например каталоги резервных копий, теневые копии томов и функции автоматического восстановления. Злоумышленник может отключить или удалить функции восстановления системы, чтобы попытаться предотвратить восстановление уничтоженных или зашифрованных данных.
Злоумышленник может использовать утилиты Windows для отключения или удаления функций восстановления системы:
Злоумышленник может использовать утилиты Windows для отключения или удаления функций восстановления системы:
- vssadmin.exe может использоваться для удаления всех теневых копий томов в системе - vssadmin.exe delete shadows /all /quiet
- WMI Windows можно использовать для удаления теневых копий томов - wmic shadowcopy delete
- wbadmin.exe может использоваться для удаления каталога резервных копий Windows - wbadmin.exe delete catalog -quiet
- bcdedit.exe может использоваться для отключения функций автоматического восстановления Windows путем изменения данных конфигурации загрузки - bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
Описание типа актива
Microsoft Windows любых версий
Область действия: Вся организация
Объекты атаки
Операционная система
Классификация
КЦД:
Доступность
?
STRIDE:
Отказ в обслуживании
?
Источники угрозы
Внешний нарушитель -
Низкий потенциал
?
Внутренний нарушитель -
Низкий потенциал
?
Связанные защитные меры
Ничего не найдено