T1006: Прямой доступ к тому
Злоумышленники могут получить прямой доступ к логическому тому, чтобы обойти контроль доступа к файлам и средства мониторинга файловой системы. Windows позволяет программам получать прямой доступ к логическим томам. Программы с прямым доступом могут читать файлы непосредственно с диска и записывать файлы непосредственно на диск, анализируя структуры данных файловой системы. Эта техника позволяет обойти контроль доступа к файлам Windows, а также средства мониторинга файловой системы .
Существуют утилиты для выполнения этих действий в PowerShell, например NinjaCopy
. Злоумышленники также могут использовать встроенные или сторонние утилиты (например, vssadmin
, wbadmin
и esentutl) для создания теневых или резервных копий данных с системных томов.
Способы обнаружения
ID | DS0016 | Источник и компонент данных | Накопитель: Доступ к накопителю | Описание | Отслеживайте открытые дескрипторы томов, созданные процессами, чтобы выявить случаи их использования для сбора данных с логических дисков . |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для копирования файлов с логических дисков и обхода традиционных механизмов защиты файловой системы. Поскольку эта техника может выполняться через PowerShell, рекомендуется включить дополнительное журналирование сценариев PowerShell. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание теневых копий тома и резервных копий, обращая особое внимание на нетипичную деятельность (нестандартное время, пользователь и т. п.). |
---|
Меры противодействия
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Некоторые решения для защиты конечных точек могут быть настроены на блокирование некоторых типов поведения, связанных с попытками злоумышленников создать резервные копии, например, выполнение команд или предотвращение вызовов API для служб, связанных с резервным копированием. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Проверьте, что привилегии управления резервными копиями есть только у нужных учетных записей. Обращайте внимание на несанкционированные операции с резервными копиями. |
---|