MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1561.002: Нарушение структуры диска

Злоумышленники могут повредить или стереть структуры данных на жестком диске, от которых зависит загрузка системы, на отдельных критически важных системах в сети или массово с целью нарушения доступа к системным и сетевым ресурсам.

Злоумышленники могут попытаться саботировать загрузку системы, перезаписав важные данные в таких структурах, как главная загрузочная запись (MBR) или таблица разделов. Данные в этих структурах диска могут содержать исполняемый код для начальной загрузки операционной системы или информацию о расположении разделов файловой системы. Без этой информации компьютер не сможет загрузить операционную систему во время запуска, в результате чего им нельзя будет пользоваться. Нарушение структуры диска может выполняться в отдельности или одновременно с удалением содержимого диска, если стираются все сектора диска.

На сетевых устройствах злоумышленники могут отформатировать файловую систему, используя такие команды интерпретаторов командной строки сетевых устройств, как format.

Чтобы причинить целевой организации максимальный ущерб, злоумышленники могут добавить во вредоносное ПО для нарушения структуры диска аналогичную червям функциональность для распространения по сети с использованием таких техник, как Существующие учетные записи, Получение дампа учетных данных и Общие SMB- и административные ресурсы Windows.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_impact: PT-CR-493: Disk_Wipe: Обнаружение попыток безвозвратно удалить данные или часть данных на жестком диске

Способы обнаружения

IDDS0027Источник и компонент данныхДрайвер: Загрузка драйвераОписание

Monitor for unusual kernel driver installation activity may corrupt or wipe the disk data structures on a hard drive necessary to boot a system; targeting specific critical systems or in large numbers in a network to interrupt availability to system and network resources.

IDDS0016Источник и компонент данныхНакопитель: Изменения в накопителеОписание

Monitor for changes made to drive letters or mount points of data storage devices for attempts to read to sensitive locations like the partition boot sector, master boot record, disk partition table, or BIOS parameter block/superblock.

IDDS0016Источник и компонент данныхНакопитель: Доступ к накопителюОписание

Monitor for newly constructed drive letters or mount points to a data storage device for attempts to write to sensitive locations like the partition boot sector, master boot record, disk partition table, or BIOS parameter block/superblock.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may corrupt or wipe the disk data structures on a hard drive necessary to boot a system; targeting specific critical systems or in large numbers in a network to interrupt availability to system and network resources.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may corrupt or wipe the disk data structures on a hard drive necessary to boot a system; targeting specific critical systems or in large numbers in a network to interrupt availability to system and network resources.

Меры противодействия

IDM1053НазваниеСоздание резервной копии данныхОписание

Consider implementing IT disaster recovery plans that contain procedures for taking regular data backups that can be used to restore organizational data. Ensure backups are stored off system and is protected from common methods adversaries may use to gain access and destroy the backups to prevent recovery.