Выключение/перезагрузка системы

Злоумышленники могут выключать/перезагружать системы, чтобы прервать доступ к этим системам или способствовать их уничтожению. Операционные системы могут содержать команды для инициирования выключения/перезагрузки машины или сетевого устройства. В некоторых случаях эти команды также могут использоваться для инициирования выключения/перезагрузки удаленного компьютера или сетевого устройства через CLI сетевого устройства (например, reload). Они также могут включать выключение/перезагрузку виртуальной машины через консоли гипервизора/облака или инструменты командной строки. Выключение или перезагрузка систем может нарушить доступ к компьютерным ресурсам для легитимных пользователей, а также препятствовать реагированию на инциденты/восстановлению. Злоумышленники также могут использовать функции Windows API, такие как `InitializeSystemShutdownExW` или `ExitWindowsEx`, чтобы принудительно выключить или перезагрузить систему. В качестве альтернативы функции Windows API `NtRaiseHardError` или `ZwRaiseHardError` с параметром `ResponseOption`, установленным на `OptionShutdownSystem`, могут вызвать «синий экран смерти» (BSOD) в системе. Чтобы использовать эти функции API, злоумышленнику может потребоваться получить `SeShutdownPrivilege` (например, через манипуляцию токеном доступа). В некоторых случаях система может быть не в состоянии загрузиться снова. Злоумышленники могут попытаться выключить/перезагрузить систему после воздействия на нее другими способами, такими как очистка структуры диска или подавление восстановления системы, чтобы ускорить предполагаемые эффекты на доступность системы.