MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1485: Уничтожение данных

Злоумышленники могут уничтожать данные и файлы (как в отдельных системах в сети, так и массово) с целью нарушения доступа к системам, службам и сетевым ресурсам. Как правило, файлы и данные на локальных и удаленных дисках, уничтоженные путем перезаписи, невозможно восстановить с помощью криминалистических техник. Команды операционной системы, которые обычно используются для удаления файлов (такие как del и rm), как правило, удаляют только указатели на файлы, не стирая их содержимое; такие файлы можно восстановить с помощью соответствующих криминалистических техник. Эта техника отличается от удаления содержимого диска и нарушения структуры диска, поскольку вместо разделов или логической структуры диска уничтожаются отдельные файлы.

Чтобы исключить возможность восстановления файлов и каталогов, злоумышленники могут попытаться перезаписать их случайными данными. В некоторых случаях злоумышленники перезаписывали данные изображениями с политической тематикой.

Чтобы причинить целевой организации максимальный ущерб и нарушить доступность всей сети, злоумышленники могут добавить во вредоносное ПО для уничтожения данных аналогичную червям функциональность для распространения по сети с использованием таких техник, как Существующие учетные записи, Получение дампа учетных данных и Общие SMB- и административные ресурсы Windows.

Злоумышленники могут воспользоваться доступом к облачным средам для удаления облачных хранилищ, учетных записей облачных хранилищ, образов виртуальных машин и другой критически важной инфраструктуры, чтобы причинить ущерб организации или ее клиентам.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

grafana_labs: PT-CR-2329: Grafana_Organization_removed: Удалена организация в Grafana, что может привести к потере критически важных данных
supply_chain: PT-CR-1773: SupplyChain_Important_Branch_Remove: Пользователь удалил отслеживаемую ветку
hashicorp: PT-CR-2139: Hashicorp_Vault_Important_Engines_Manipulation: Злоумышленники могут удалять или изменять параметры важных хранилищ (engines) для получения доступа к ним
hashicorp: PT-CR-2142: Hashicorp_Vault_Important_Secrets_Deleted: Злоумышленники могут удалять важные секреты для нарушения доступности или работоспособности отдельных систем
apache_cassandra_database: PT-CR-2089: Apache_cassandra_drop_keyspace: Попытка удалить пространство ключей. Это может быть действием злоумышленника с целью нарушить целостность данных
network_devices_compromise: PT-CR-1819: S_Terra_Gate_Delete_files: Удалены файл или папка
mongo_database: PT-CR-527: MongoDB_drop_database: Попытка удалить базу данных
mongo_database: PT-CR-531: MongoDB_mass_drop_table: Попытка массового удаления таблиц в базе данных
clickhouse: PT-CR-1577: ClickHouse_drop_multiple_tables: Обнаружена попытка удаления нескольких таблиц базы данных
clickhouse: PT-CR-1578: ClickHouse_drop_database: Обнаружена попытка удаления базы данных
acronis: PT-CR-2239: Acronis_Mass_Drop_Machine_or_Backup_Plan: Попытка массового удаления резервных копий

Способы обнаружения

IDDS0020Источник и компонент данныхСнапшот: Удаление снапшотаОписание

Отслеживайте нетипичные случаи удаления снапшота (например, с помощью команды delete-snapshot в AWS).

IDDS0030Источник и компонент данныхЭкземпляр: Удаление экземпляраОписание

Отслеживайте неожиданное удаление экземпляра (например, instance.delete в журналах аудита GCP).

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых бинарных файлов, которые могут использоваться для уничтожения данных, например SDelete.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте неожиданные изменения во множестве файлов в пользовательских каталогах и в каталоге C:\Windows\System32.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска бинарных файлов, предназначенных для уничтожения данных, например SDelete.

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Отслеживайте случаи нетипичного удаления файлов (например, события Sysmon с идентификатором 23).

IDDS0007Источник и компонент данныхОбраз: Удаление образаОписание

Отслеживайте неожиданное удаление образа виртуальной машины (например, запросы DELETE для образов в службе Azure Compute)

IDDS0034Источник и компонент данныхТом: Удаление томаОписание

Отслеживайте нетипичные случаи удаления облачного тома (например, с помощью команды delete-volume в AWS).

IDDS0010Источник и компонент данныхОблачное хранилище: Удаление облачного хранилищаОписание

Отслеживайте нетипичные случаи удаления инфраструктуры облачного хранилища, в частности события DeleteDBCluster и DeleteGlobalCluster в AWS, а также большое количество событий удаления данных, например DeleteBucket. Большое число таких событий в течение короткого периода может быть признаком вредоносной активности.

Меры противодействия

IDM1053НазваниеСоздание резервной копии данныхОписание

По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления.