MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1561.001: Удаление содержимого диска

Злоумышленники могут стереть содержимое устройств хранения данных в некоторых целевых системах в сети или массово с целью нарушения доступа к системным и сетевым ресурсам.

Злоумышленники могут частично или полностью перезаписать содержимое устройства хранения данных, что приведет к невозможности восстановления данных через интерфейс устройства. Вместо уничтожения конкретных файлов или структур диска злоумышленники могут стереть произвольные части содержимого диска. Для стирания содержимого диска злоумышленникам может потребоваться прямой доступ к жесткому диску, чтобы перезаписать его участки случайными данными. Также некоторые злоумышленники пользовались сторонними драйверами, такими как RawDisk, для прямого доступа к содержимому диска. Такое поведение отличается от уничтожения данных, поскольку вместо отдельных файлов стираются участки диска.

Чтобы причинить целевой организации максимальный ущерб и нарушить доступность всей сети, злоумышленники могут добавить во вредоносное ПО для удаления содержимого диска аналогичную червям функциональность для распространения по сети с использованием таких техник, как Существующие учетные записи, Получение дампа учетных данных и Общие SMB- и административные ресурсы Windows.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_impact: PT-CR-493: Disk_Wipe: Обнаружение попыток безвозвратно удалить данные или часть данных на жестком диске

Способы обнаружения

IDDS0027Источник и компонент данныхДрайвер: Загрузка драйвераОписание

Monitor for unusual kernel driver installation activity may erase the contents of storage devices on specific systems or in large numbers in a network to interrupt availability to system and network resources.

IDDS0016Источник и компонент данныхНакопитель: Изменения в накопителеОписание

Monitor for changes made to drive letters or mount points of data storage devices for attempts to read to sensitive locations like the partition boot sector, master boot record, disk partition table, or BIOS parameter block/superblock.

IDDS0016Источник и компонент данныхНакопитель: Доступ к накопителюОписание

Monitor for newly constructed drive letters or mount points to a data storage device for attempts to write to sensitive locations like the partition boot sector, master boot record, disk partition table, or BIOS parameter block/superblock.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may erase the contents of storage devices on specific systems or in large numbers in a network to interrupt availability to system and network resources.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may erase the contents of storage devices on specific systems or in large numbers in a network to interrupt availability to system and network resources.

Меры противодействия

IDM1053НазваниеСоздание резервной копии данныхОписание

Consider implementing IT disaster recovery plans that contain procedures for taking regular data backups that can be used to restore organizational data. Ensure backups are stored off system and is protected from common methods adversaries may use to gain access and destroy the backups to prevent recovery.