Техники: T1561 , T1561.001 , T1561.002
Злоумышленники могут стирать содержимое устройств хранения данных на определенных системах или в большом количестве в сети, чтобы прервать доступ к системным и сетевым ресурсам.
Злоумышленники могут частично или полностью перезаписывать содержимое устройства хранения данных, делая их невозможными для восстановления через интерфейс хранения.(Цитата: Novetta Blockbuster)(Цитата: Novetta Blockbuster Destructive Malware)(Цитата: DOJ Lazarus Sony 2018) Вместо стирания определенных структур диска или файлов злоумышленники с разрушительными намерениями могут стирать произвольные части содержимого диска. Для стирания содержимого диска злоумышленники могут получить прямой доступ к жесткому диску, чтобы перезаписать произвольные участки диска случайными данными.(Цитата: Novetta Blockbuster Destructive Malware) Также было замечено, что злоумышленники используют сторонние драйверы, такие как RawDisk, для прямого доступа к содержимому диска.(Цитата: Novetta Blockbuster)(Цитата: Novetta Blockbuster Destructive Malware) Такое поведение отличается от Data Destruction, поскольку стираются участки диска, а не отдельные файлы.
Для максимального воздействия на целевую организацию в операциях, целью которых является прерывание доступности всей сети, вредоносное ПО, используемое для стирания содержимого диска, может иметь червеподобные функции для распространения по сети с использованием дополнительных методов, таких как Valid Accounts, OS Credential Dumping и SMB/Windows Admin Shares.(Цитата: Novetta Blockbuster Destructive Malware)
https://attack.mitre.org/techniques/T1561/001
Визуализация смежных техник для T1561.001
| № | Техника |
|---|
