T1485: Уничтожение данных
Злоумышленники могут уничтожать данные и файлы (как в отдельных системах в сети, так и массово) с целью нарушения доступа к системам, службам и сетевым ресурсам. Как правило, файлы и данные на локальных и удаленных дисках, уничтоженные путем перезаписи, невозможно восстановить с помощью криминалистических техник. Команды операционной системы, которые обычно используются для удаления файлов (такие как del
и rm
), как правило, удаляют только указатели на файлы, не стирая их содержимое; такие файлы можно восстановить с помощью соответствующих криминалистических техник. Эта техника отличается от удаления содержимого диска и нарушения структуры диска, поскольку вместо разделов или логической структуры диска уничтожаются отдельные файлы.
Чтобы исключить возможность восстановления файлов и каталогов, злоумышленники могут попытаться перезаписать их случайными данными. В некоторых случаях злоумышленники перезаписывали данные изображениями с политической тематикой.
Чтобы причинить целевой организации максимальный ущерб и нарушить доступность всей сети, злоумышленники могут добавить во вредоносное ПО для уничтожения данных аналогичную червям функциональность для распространения по сети с использованием таких техник, как Существующие учетные записи, Получение дампа учетных данных и Общие SMB- и административные ресурсы Windows.
Злоумышленники могут воспользоваться доступом к облачным средам для удаления облачных хранилищ, учетных записей облачных хранилищ, образов виртуальных машин и другой критически важной инфраструктуры, чтобы причинить ущерб организации или ее клиентам.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
grafana_labs: PT-CR-2329: Grafana_Organization_removed: Удалена организация в Grafana, что может привести к потере критически важных данных
supply_chain: PT-CR-1773: SupplyChain_Important_Branch_Remove: Пользователь удалил отслеживаемую ветку
hashicorp: PT-CR-2139: Hashicorp_Vault_Important_Engines_Manipulation: Злоумышленники могут удалять или изменять параметры важных хранилищ (engines) для получения доступа к ним
hashicorp: PT-CR-2142: Hashicorp_Vault_Important_Secrets_Deleted: Злоумышленники могут удалять важные секреты для нарушения доступности или работоспособности отдельных систем
apache_cassandra_database: PT-CR-2089: Apache_cassandra_drop_keyspace: Попытка удалить пространство ключей. Это может быть действием злоумышленника с целью нарушить целостность данных
network_devices_compromise: PT-CR-1819: S_Terra_Gate_Delete_files: Удалены файл или папка
mongo_database: PT-CR-527: MongoDB_drop_database: Попытка удалить базу данных
mongo_database: PT-CR-531: MongoDB_mass_drop_table: Попытка массового удаления таблиц в базе данных
clickhouse: PT-CR-1577: ClickHouse_drop_multiple_tables: Обнаружена попытка удаления нескольких таблиц базы данных
clickhouse: PT-CR-1578: ClickHouse_drop_database: Обнаружена попытка удаления базы данных
acronis: PT-CR-2239: Acronis_Mass_Drop_Machine_or_Backup_Plan: Попытка массового удаления резервных копий
Способы обнаружения
ID | DS0020 | Источник и компонент данных | Снапшот: Удаление снапшота | Описание | Отслеживайте нетипичные случаи удаления снапшота (например, с помощью команды |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Удаление экземпляра | Описание | Отслеживайте неожиданное удаление экземпляра (например, instance.delete в журналах аудита GCP). |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых бинарных файлов, которые могут использоваться для уничтожения данных, например SDelete. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте неожиданные изменения во множестве файлов в пользовательских каталогах и в каталоге C:\Windows\System32. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска бинарных файлов, предназначенных для уничтожения данных, например |
---|
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте случаи нетипичного удаления файлов (например, события Sysmon с идентификатором 23). |
---|
ID | DS0007 | Источник и компонент данных | Образ: Удаление образа | Описание | Отслеживайте неожиданное удаление образа виртуальной машины (например, запросы DELETE для образов в службе Azure Compute) |
---|
ID | DS0034 | Источник и компонент данных | Том: Удаление тома | Описание | Отслеживайте нетипичные случаи удаления облачного тома (например, с помощью команды |
---|
ID | DS0010 | Источник и компонент данных | Облачное хранилище: Удаление облачного хранилища | Описание | Отслеживайте нетипичные случаи удаления инфраструктуры облачного хранилища, в частности события |
---|
Меры противодействия
ID | M1053 | Название | Создание резервной копии данных | Описание | По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления. |
---|