T1006: Прямой доступ к тому

Злоумышленники могут получить прямой доступ к логическому тому, чтобы обойти контроль доступа к файлам и средства мониторинга файловой системы. Windows позволяет программам получать прямой доступ к логическим томам. Программы с прямым доступом могут читать файлы непосредственно с диска и записывать файлы непосредственно на диск, анализируя структуры данных файловой системы. Эта техника позволяет обойти контроль доступа к файлам Windows, а также средства мониторинга файловой системы .

Существуют утилиты для выполнения этих действий в PowerShell, например NinjaCopy. Злоумышленники также могут использовать встроенные или сторонние утилиты (например, vssadmin, wbadmin и esentutl) для создания теневых или резервных копий данных с системных томов.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, в командной строке которых есть фрагмент «New-Object IO.FileStream ".#{volume}"», где #{volume} — название тома

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание теневых копий тома и резервных копий, обращая особое внимание на нетипичную деятельность (например, нестандартные время, пользователь или другие характеристики).

IDDS0016Источник и компонент данныхНакопитель: Доступ к накопителюОписание

Отслеживайте открытые дескрипторы томов, созданные процессами, чтобы выявить случаи их использования для сбора данных с логических дисков .

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для копирования файлов с логических дисков и обхода традиционных механизмов защиты файловой системы. Поскольку эта техника может выполняться через PowerShell, рекомендуется включить дополнительное журналирование сценариев PowerShell.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В некоторых решениях для обеспечения безопасности конечных точек можно настроить блокирование определенных действий, связанных с попытками злоумышленников создать резервные копии, — например, выполнения команд или предотвращения вызовов API для служб, связанных с резервным копированием.

IDM1018НазваниеУправление учетными записямиОписание

Проследите, чтобы привилегии управления резервными копиями были только у тех учетных записей, которым они требуются. Обращайте внимание на несанкционированные операции с резервными копиями, производимые этими учетными записями.