T1561: Уничтожение диска
Злоумышленники могут стереть или повредить данные на дисках в некоторых целевых системах в сети или массово с целью нарушения доступа к системным и сетевым ресурсам. Имея прямой доступ к диску, злоумышленники могут попытаться перезаписать данные на нем. Злоумышленники могут стереть произвольные фрагменты данных на диске и (или) такие структуры диска, как основная загрузочная запись (MBR). Также они могут попытаться полностью стереть все сектора диска.
Чтобы причинить целевой организации максимальный ущерб и нарушить доступность всей сети, злоумышленники могут добавить во вредоносное ПО для стирания данных на дисках аналогичную червям функциональность для распространения по сети с использованием таких техник, как Существующие учетные записи, Получение дампа учетных данных и Общие SMB- и административные ресурсы Windows.
На сетевых устройствах злоумышленники могут стереть файлы конфигурации и другие данные с устройства с помощью таких команд интерпретаторов командной строки сетевых устройств, как erase.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Способы обнаружения
| ID | DS0027 | Источник и компонент данных | Драйвер: Загрузка драйвера | Описание | Отслеживайте необычные действия по установке драйверов ядра, с помощью которых злоумышленники могут стереть содержимое устройств хранения данных на некоторых или многих системах в сети с целью нарушения доступа к системным и сетевым ресурсам. |
|---|
| ID | DS0016 | Источник и компонент данных | Накопитель: Доступ к накопителю | Описание | Отслеживайте появление новых букв дисков или точек подключения устройств хранения данных, чтобы выявить попытки записи в критически важные сектора — загрузочный сектор раздела, главную загрузочную запись (MBR), таблицу разделов или блок/суперблок параметров BIOS. |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для очистки содержимого устройств хранения данных на некоторых системах в сети или массово с целью нарушения доступа к системным и сетевым ресурсам. |
|---|
| ID | DS0016 | Источник и компонент данных | Накопитель: Изменения в накопителе | Описание | Отслеживайте изменения букв дисков или точек подключения устройств хранения данных, чтобы выявить попытки чтения критически важных секторов — загрузочного сектора раздела, главной загрузочной записи (MBR), таблицы разделов или блока/суперблока параметров BIOS. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут стереть содержимое устройств хранения данных (как на отдельных системах в сети, так и массово) с целью нарушения доступа к системным и сетевым ресурсам. |
|---|
Меры противодействия
| ID | M1053 | Название | Создание резервной копии данных | Описание | По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые могут использовать злоумышленники для получения доступа и уничтожения резервных копий для предотвращения восстановления. |
|---|