Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1485 - Уничтожение данных

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1485 , T1485.001

Злоумышленники могут уничтожать данные и файлы на определенных системах или в большом количестве в сети, чтобы нарушить доступность систем, служб и сетевых ресурсов. Уничтожение данных, скорее всего, сделает сохраненные данные невосстановимыми с помощью методов криминалистики за счет перезаписи файлов или данных на локальных и удаленных дисках. (Цитата: Symantec Shamoon 2012)(Цитата: FireEye Shamoon Nov 2016)(Цитата: Palo Alto Shamoon Nov 2016)(Цитата: Kaspersky StoneDrill 2017)(Цитата: Unit 42 Shamoon3 2018)(Цитата: Talos Olympic Destroyer 2018) Обычные команды удаления файлов операционной системы, такие как del и rm, часто удаляют только указатели на файлы, не стирая содержимое самих файлов, что делает файлы восстанавливаемыми с помощью надлежащей криминалистической методологии. Это поведение отличается от Disk Content Wipe и Disk Structure Wipe, поскольку уничтожаются отдельные файлы, а не разделы диска или его логическая структура.

Злоумышленники могут попытаться перезаписать файлы и каталоги случайно сгенерированными данными, чтобы сделать их невосстановимыми.(Цитата: Kaspersky StoneDrill 2017)(Цитата: Unit 42 Shamoon3 2018) В некоторых случаях для перезаписи данных использовались политически ориентированные файлы изображений.(Цитата: FireEye Shamoon Nov 2016)(Цитата: Palo Alto Shamoon Nov 2016)(Цитата: Kaspersky StoneDrill 2017)

Для максимального воздействия на целевую организацию в операциях, целью которых является прерывание доступности всей сети, вредоносное ПО, предназначенное для уничтожения данных, может иметь червеподобные функции для распространения по сети с использованием дополнительных техник, таких как Valid Accounts, OS Credential Dumping и SMB/Windows Admin Shares.(Цит. по: Symantec Shamoon 2012)(Цит. по: FireEye Shamoon Nov 2016)(Цит. по: Palo Alto Shamoon Nov 2016)(Цит. по: Kaspersky StoneDrill 2017)(Цит. по: Talos Olympic Destroyer 2018).

В облачных средах злоумышленники могут использовать доступ к удалению объектов облачного хранения, образов машин, экземпляров баз данных и другой инфраструктуры, имеющей решающее значение для операций, чтобы нанести ущерб организации или ее клиентам.(Цитата: Data Destruction - Threat Post)(Цитата: DOJ - Cisco Insider)

https://attack.mitre.org/techniques/T1485

← Назад

Визуализация смежных техник для T1485

Отрасль:
 с подтехниками
Техника

Закрыть