Техника на mitre.org

T1561.002: Нарушение структуры диска

Злоумышленники могут повредить или стереть структуры данных на жестком диске, от которых зависит загрузка системы, на отдельных критически важных системах в сети или массово с целью нарушения доступа к системным и сетевым ресурсам.

Злоумышленники могут попытаться саботировать загрузку системы, перезаписав важные данные в таких структурах, как главная загрузочная запись (MBR) или таблица разделов. Данные в этих структурах диска могут содержать исполняемый код для начальной загрузки операционной системы или информацию о расположении разделов файловой системы. Без этой информации компьютер не сможет загрузить операционную систему во время запуска, в результате чего им нельзя будет пользоваться. Нарушение структуры диска может выполняться в отдельности или одновременно с удалением содержимого диска, если стираются все сектора диска.

На сетевых устройствах злоумышленники могут отформатировать файловую систему, используя такие команды интерпретаторов командной строки сетевых устройств, как format.

Чтобы причинить целевой организации максимальный ущерб, злоумышленники могут добавить во вредоносное ПО для нарушения структуры диска аналогичную червям функциональность для распространения по сети с использованием таких техник, как Существующие учетные записи, Получение дампа учетных данных и Общие SMB- и административные ресурсы Windows.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_impact: PT-CR-493: Disk_Wipe: Обнаружение попыток безвозвратно удалить данные или часть данных на жестком диске

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для повреждения или очистки структуры данных на жестком диске, от которых зависит загрузка системы, на отдельных системах или массово с целью нарушения доступа к системным и сетевым ресурсам.

ID	DS0016	Источник и компонент данных	Накопитель: Изменения в накопителе	Описание	Отслеживайте изменения букв дисков или точек подключения устройств хранения данных, чтобы выявить попытки чтения критически важных секторов — загрузочного сектора раздела, главной загрузочной записи (MBR), таблицы разделов или блока/суперблока параметров BIOS.

ID	DS0016	Источник и компонент данных	Накопитель: Доступ к накопителю	Описание	Отслеживайте появление новых букв дисков или точек подключения устройств хранения данных, чтобы выявить попытки записи в критически важные сектора — загрузочный сектор раздела, главную загрузочную запись (MBR), таблицу разделов или блок/суперблок параметров BIOS.

ID	DS0027	Источник и компонент данных	Драйвер: Загрузка драйвера	Описание	Отслеживайте необычные действия по установке драйверов ядра, с помощью которых злоумышленники могут повредить или стереть структуры данных на жестком диске, от которых зависит загрузка системы, на отдельных системах или на большей части устройств в сети с целью нарушения доступа к системным и сетевым ресурсам.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут повредить или стереть структуры данных на жестком диске, от которых зависит загрузка системы (как на отдельных системах в сети, так и массово), с целью нарушения доступа к системным и сетевым ресурсам.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для повреждения или очистки структуры данных на жестком диске, от которых зависит загрузка системы, на отдельных системах или массово с целью нарушения доступа к системным и сетевым ресурсам.
DS0016	Накопитель: Изменения в накопителе	Отслеживайте изменения букв дисков или точек подключения устройств хранения данных, чтобы выявить попытки чтения критически важных секторов — загрузочного сектора раздела, главной загрузочной записи (MBR), таблицы разделов или блока/суперблока параметров BIOS.
DS0016	Накопитель: Доступ к накопителю	Отслеживайте появление новых букв дисков или точек подключения устройств хранения данных, чтобы выявить попытки записи в критически важные сектора — загрузочный сектор раздела, главную загрузочную запись (MBR), таблицу разделов или блок/суперблок параметров BIOS.
DS0027	Драйвер: Загрузка драйвера	Отслеживайте необычные действия по установке драйверов ядра, с помощью которых злоумышленники могут повредить или стереть структуры данных на жестком диске, от которых зависит загрузка системы, на отдельных системах или на большей части устройств в сети с целью нарушения доступа к системным и сетевым ресурсам.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут повредить или стереть структуры данных на жестком диске, от которых зависит загрузка системы (как на отдельных системах в сети, так и массово), с целью нарушения доступа к системным и сетевым ресурсам.

Меры противодействия

ID	M1053	Название	Создание резервной копии данных	Описание	По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления.

ID	Название	Описание
M1053	Создание резервной копии данных	По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления.