T1006: Прямой доступ к тому

Злоумышленники могут получить прямой доступ к логическому тому, чтобы обойти контроль доступа к файлам и средства мониторинга файловой системы. Windows позволяет программам получать прямой доступ к логическим томам. Программы с прямым доступом могут читать файлы непосредственно с диска и записывать файлы непосредственно на диск, анализируя структуры данных файловой системы. Эта техника позволяет обойти контроль доступа к файлам Windows, а также средства мониторинга файловой системы .

Существуют утилиты для выполнения этих действий в PowerShell, например NinjaCopy. Злоумышленники также могут использовать встроенные или сторонние утилиты (например, vssadmin, wbadmin и esentutl) для создания теневых или резервных копий данных с системных томов.

Способы обнаружения

IDDS0016Источник и компонент данныхНакопитель: Доступ к накопителюОписание

Отслеживайте открытые дескрипторы томов, созданные процессами, чтобы выявить случаи их использования для сбора данных с логических дисков .

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для копирования файлов с логических дисков и обхода традиционных механизмов защиты файловой системы. Поскольку эта техника может выполняться через PowerShell, рекомендуется включить дополнительное журналирование сценариев PowerShell.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание теневых копий тома и резервных копий, обращая особое внимание на нетипичную деятельность (нестандартное время, пользователь и т. п.).

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

Некоторые решения для защиты конечных точек могут быть настроены на блокирование некоторых типов поведения, связанных с попытками злоумышленников создать резервные копии, например, выполнение команд или предотвращение вызовов API для служб, связанных с резервным копированием.

IDM1018НазваниеУправление учетными записямиОписание

Проверьте, что привилегии управления резервными копиями есть только у нужных учетных записей. Обращайте внимание на несанкционированные операции с резервными копиями.