det0559-multi-platform-shutdown-or-reboot-detection-via-execution-and-host-statu

# DET0559 — Multi-Platform Shutdown or Reboot Detection via Execution and Host Status Events ## Descrição A técnica [[T1529 - System Shutdown/Reboot|T1529]] é amplamente utilizada por adversários para encobrir rastros, forçar a aplicação de configurações maliciosas persistidas no boot, ou como parte de ataques destrutivos. Em Windows, `shutdown.exe` e `wmic os call shutdown`; em Linux, `systemctl poweroff` ou `init 0`; em macOS, `/sbin/shutdown`. Grupos de ransomware como [[lockbit]] e [[blackcat]] invocam desligamentos forçados após a fase de criptografia para impedir resposta a incidentes. Esta estratégia cobre múltiplas plataformas, correlacionando eventos de execução de comandos de shutdown/reboot com o contexto do processo pai, usuário invocador e horário. Um desligamento iniciado por processo filho de um interpretador de scripts (PowerShell, bash, cmd) sem sessão interativa do usuário é um sinal de alta fidelidade para investigação imediata. A detecção deve ser integrada a controles de disponibilidade: correlacionar alertas de shutdown não planejado com tickets de manutenção e janelas aprovadas pelo CMDB. Em ambientes cloud, monitorar chamadas de API para desligamento de instâncias (AWS `StopInstances`, Azure `deallocaté`) oriundas de roles não-administrativas também é relevante. ## Indicadores de Detecção - Execução de `shutdown.exe /s /t 0` ou `/r /t 0` por processo não interativo - `systemctl poweroff` ou `halt` invocado por usuário não-root ou via script - Evento Windows 1074 (iniciação de desligamento) precedido por atividade suspeita - Chamada de API cloud para parar instâncias por role sem permissão administrativa prévia - Múltiplos hosts com shutdown quase simultâneo (worm/ransomware propagando) - Reinicialização não agendada em servidor crítico ou controlador de domínio ## Técnicas Relacionadas - [[T1529-system-shutdown-reboot|T1529 — System Shutdown/Reboot]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an1538-analytic-1538|AN1538 — Analytic 1538]] - [[an1539-analytic-1539|AN1539 — Analytic 1539]] - [[an1540-analytic-1540|AN1540 — Analytic 1540]] - [[an1541-analytic-1541|AN1541 — Analytic 1541]] - [[an1542-analytic-1542|AN1542 — Analytic 1542]] --- *Fonte: [MITRE ATT&CK — DET0559](https://attack.mitre.org/detectionstrategies/DET0559)*