# RawDisk > Tipo: **tool** · S0364 · [MITRE ATT&CK](https://attack.mitre.org/software/S0364) ## Descrição [[s0364-rawdisk|RawDisk]] (também conhecido como EldoS RawDisk) é um driver de kernel comercial legítimo desenvolvido pela EldoS Corporation (agora parte da Callback Technologies), utilizado por desenvolvedores de software para criar aplicações que necessitam acesso direto a discos, volumes e arquivos sem passar pelo sistema de arquivos do Windows. Ferramentas de backup, recuperação de dados e criptografia de disco legítimas utilizam drivers similares. O [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte) reutilizou o driver RawDisk da EldoS em operações de wiper destrutivo, incorporando-o em malware como DESTOVER e em ataques atribuídos ao ataque à Sony Pictures (2014). O driver permite que código em modo usuário (user-mode) escreva diretamente nos setores do disco rígido, contornando proteções do sistema de arquivos Windows, o que possibilita sobrescrever o MBR (Master Boot Record), apagar estruturas críticas do sistema de arquivos e destruir dados de forma irreversível sem permissões de administrador no sistema de arquivos. A utilização de um driver comercial assinado digitalmente para fins destrutivos é uma forma sofisticada de evasão: soluções de segurança que confiam em drivers assinados pela Microsoft ou por fornecedores certificados não bloqueiam automaticamente o RawDisk, permitindo que o wiper opere com alta eficácia. A Kaspersky, Cylance e outros vendors identificaram o uso malicioso do RawDisk em múltiplos incidentes de destruição de dados atribuídos ao Lazarus Group. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1561-002-disk-structure-wipe|T1561.002 - Disk Structure Wipe]] - [[t1561-001-disk-content-wipe|T1561.001 - Disk Content Wipe]] - [[t1485-data-destruction|T1485 - Data Destruction]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 6 (DriverLoad):** Carregamento do driver RawDisk (`rawdsk3.sys` ou variantes) por processo não pertencente a software de backup/recovery legítimo - **Windows Event ID 7045:** Instalação de novo serviço de driver com características do RawDisk - verificar se o serviço foi instalado por um processo esperado - **EDR:** Comportamento de escrita em setores de disco via IOCTL para `\\.\PhysicalDriveN` por processos não reconhecidos como legítimos **Regras de detecção:** - YARA: Hash SHA256 e strings do driver EldoS RawDisk em amostras de malware (referências Kaspersky/Mandiant/CrowdStrike sobre campanhas Lazarus) - Sigma: `driver_load_win_eldos_rawdisk.yml` - detecta carregamento do driver RawDisk fora de contextos legítimos ## Relevância LATAM/Brasil [[g0032-lazarus-group|Lazarus Group]], operador primário de RawDisk em ataques destrutivos, representa ameaça real para instituições financeiras brasileiras - o grupo tem histórico de roubo de bilhões via SWIFT (Bangladesh Bank, 2016) e outras operações contra bancos globalmente. Além do impacto financeiro, o Lazarus emprega capacidades de wiper como contingência ou represália em alvos de alto valor. Organizações brasileiras do setor financeiro que processam transações internacionais via SWIFT devem considerar RawDisk em seu modelo de ameaças e garantir backups offline inacessíveis a partir da rede comprometida. ## Referências - [MITRE ATT&CK - S0364](https://attack.mitre.org/software/S0364)