T1561.001: Удаление содержимого диска
Злоумышленники могут стереть содержимое устройств хранения данных в некоторых целевых системах в сети или массово с целью нарушения доступа к системным и сетевым ресурсам.
Злоумышленники могут частично или полностью перезаписать содержимое устройства хранения данных, что приведет к невозможности восстановления данных через интерфейс устройства. Вместо уничтожения конкретных файлов или структур диска злоумышленники могут стереть произвольные части содержимого диска. Для стирания содержимого диска злоумышленникам может потребоваться прямой доступ к жесткому диску, чтобы перезаписать его участки случайными данными. Также некоторые злоумышленники пользовались сторонними драйверами, такими как RawDisk, для прямого доступа к содержимому диска. Такое поведение отличается от уничтожения данных, поскольку вместо отдельных файлов стираются участки диска.
Чтобы причинить целевой организации максимальный ущерб и нарушить доступность всей сети, злоумышленники могут добавить во вредоносное ПО для удаления содержимого диска аналогичную червям функциональность для распространения по сети с использованием таких техник, как Существующие учетные записи, Получение дампа учетных данных и Общие SMB- и административные ресурсы Windows.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_impact: PT-CR-493: Disk_Wipe: Обнаружение попыток безвозвратно удалить данные или часть данных на жестком диске
Способы обнаружения
| ID | DS0016 | Источник и компонент данных | Накопитель: Изменения в накопителе | Описание | Отслеживайте изменения букв дисков или точек подключения устройств хранения данных, чтобы выявить попытки чтения критически важных секторов — загрузочного сектора раздела, главной загрузочной записи (MBR), таблицы разделов или блока/суперблока параметров BIOS. |
|---|
| ID | DS0016 | Источник и компонент данных | Накопитель: Доступ к накопителю | Описание | Отслеживайте появление новых букв дисков или точек подключения устройств хранения данных, чтобы выявить попытки записи в критически важные сектора — загрузочный сектор раздела, главную загрузочную запись (MBR), таблицу разделов или блок/суперблок параметров BIOS. |
|---|
| ID | DS0027 | Источник и компонент данных | Драйвер: Загрузка драйвера | Описание | Отслеживайте необычные действия по установке драйверов ядра, с помощью которых злоумышленники могут стереть содержимое устройств хранения данных на некоторых или многих системах в сети с целью нарушения доступа к системным и сетевым ресурсам. |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для очистки содержимого устройств хранения данных на некоторых системах в сети или массово с целью нарушения доступа к системным и сетевым ресурсам. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут стереть содержимое устройств хранения данных (как на отдельных системах в сети, так и массово) с целью нарушения доступа к системным и сетевым ресурсам. |
|---|
Меры противодействия
| ID | M1053 | Название | Создание резервной копии данных | Описание | По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления. |
|---|