T1653: НАЛАШТУВАННЯ ЖИВЛЕННЯ
Зловмисники маніпулюють параметрами енергоспоживання системи, щоб запобігти переходу комп'ютера в режим глибокого сну, гібернації або вимкнення. Оскільки деяке шкідливе ПЗ працює лише в оперативній пам'яті (безфайлові атаки) і не витримує перезавантаження, хакери змінюють тайм-аути блокування екрана та вимкнення диска. Це дозволяє їм підтримувати активний зв'язок із командним сервером (C2) навіть тоді, коли користувач не активний.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть погіршувати здатність системи переходити в режим гібернації, перезавантажуватися або вимикатися, щоб продовжити доступ до інфікованих машин. Коли комп’ютер переходить у сплячий стан, частина або все програмне та апаратне забезпечення може припинити роботу, що може перервати шкідливу активність.
Зловмисники можуть зловживати системними утилітами та налаштуваннями конфігурації для підтримки доступу, запобігаючи переходу машин у такий стан (наприклад, режим очікування), який може припинити шкідливу діяльність.
Наприклад, утиліта powercfg керує всіма налаштуваннями системи живлення в ОС Windows і може бути використана для того, щоб запобігти блокуванню або вимкненню інфікованого хоста. Зловмисники також можуть збільшувати тайм-аут блокування екрана системи. Інші відповідні налаштування, такі як тайм-аут диска та гібернації, можуть бути аналогічно використані для підтримки роботи інфікованої машини, навіть якщо жоден користувач не виявляє активності.
Усвідомлюючи, що деяке шкідливе ПЗ не може вижити після перезавантаження системи, зловмисники можуть повністю видалити файли, які використовуються для виклику вимкнення або перезавантаження системи.
Як зловмисники маніпулюють живленням?
- Вимкнення сну: Команда powercfg /hibernate off або зміна параметрів через реєстр, щоб сесія зловмисника не обірвалася через бездіяльність користувача.
- Заборона блокування: Зміна ключів реєстру в гілці HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization, щоб екран ніколи не блокувався паролем.
- Саботаж вимкнення: Видалення прав доступу до C:\Windows\System32\shutdown.exe для всіх користувачів, крім зловмисника.
- Тримання диска активним: Налаштування системи так, щоб жорсткі диски ніколи не зупинялися (powercfg /disk-timeout-ac 0), що важливо для тривалого сканування файлової системи.
Чому це важливо для Persistence?
- Volatility (Летючість): Багато сучасних троянів працюють лише в RAM. Перезавантаження — їхня смерть.
- Long-running tasks: Викрадення великих баз даних або повне сканування мережі може тривати годинами. Якщо комп’ютер “засне” посеред процесу, зловмисник втратить прогрес.
Як виявити?
- Моніторинг команд: Відстежуйте запуск powercfg.exe з аргументами, що вимикають тайм-аути (-timeout, -x, -hibernate).
- Аудит реєстру: Перевірка змін у HKLM\SYSTEM\CurrentControlSet\Control\Power.
- Поведінковий аналіз: Сповіщення про робочі станції, які не перезавантажувалися або не переходили в сплячий режим протягом аномально тривалого часу (наприклад, тиждень).