T1561.001: Удаление содержимого диска
Злоумышленники могут стереть содержимое устройств хранения данных в некоторых целевых системах в сети или массово с целью нарушения доступа к системным и сетевым ресурсам.
Злоумышленники могут частично или полностью перезаписать содержимое устройства хранения данных, что приведет к невозможности восстановления данных через интерфейс устройства. Вместо уничтожения конкретных файлов или структур диска злоумышленники могут стереть произвольные части содержимого диска. Для стирания содержимого диска злоумышленникам может потребоваться прямой доступ к жесткому диску, чтобы перезаписать его участки случайными данными. Также некоторые злоумышленники пользовались сторонними драйверами, такими как RawDisk, для прямого доступа к содержимому диска. Такое поведение отличается от уничтожения данных, поскольку вместо отдельных файлов стираются участки диска.
Чтобы причинить целевой организации максимальный ущерб и нарушить доступность всей сети, злоумышленники могут добавить во вредоносное ПО для удаления содержимого диска аналогичную червям функциональность для распространения по сети с использованием таких техник, как Существующие учетные записи, Получение дампа учетных данных и Общие SMB- и административные ресурсы Windows.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_impact: PT-CR-493: Disk_Wipe: Обнаружение попыток безвозвратно удалить данные или часть данных на жестком диске
Способы обнаружения
ID | DS0027 | Источник и компонент данных | Драйвер: Загрузка драйвера | Описание | Monitor for unusual kernel driver installation activity may erase the contents of storage devices on specific systems or in large numbers in a network to interrupt availability to system and network resources. |
---|
ID | DS0016 | Источник и компонент данных | Накопитель: Изменения в накопителе | Описание | Monitor for changes made to drive letters or mount points of data storage devices for attempts to read to sensitive locations like the partition boot sector, master boot record, disk partition table, or BIOS parameter block/superblock. |
---|
ID | DS0016 | Источник и компонент данных | Накопитель: Доступ к накопителю | Описание | Monitor for newly constructed drive letters or mount points to a data storage device for attempts to write to sensitive locations like the partition boot sector, master boot record, disk partition table, or BIOS parameter block/superblock. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes that may erase the contents of storage devices on specific systems or in large numbers in a network to interrupt availability to system and network resources. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may erase the contents of storage devices on specific systems or in large numbers in a network to interrupt availability to system and network resources. |
---|
Меры противодействия
ID | M1053 | Название | Создание резервной копии данных | Описание | Consider implementing IT disaster recovery plans that contain procedures for taking regular data backups that can be used to restore organizational data. Ensure backups are stored off system and is protected from common methods adversaries may use to gain access and destroy the backups to prevent recovery. |
---|