# DS0016 — Drive ## Descrição **Drive** representa dispositivos de armazenamento não volátil — discos rígidos (HDD/SSD), disquetes e unidades flash USB — que possuem ao menos uma partição formatada, tipicamente montada no sistema de arquivos e/ou à qual é atribuída uma letra de unidade. Essa fonte de dados cobre o ciclo de vida completo de volumes de armazenamento: sua criação (montagem de novos volumes), modificação (formatação, reparticionamento, alteração de permissões) e acesso (leitura/escrita de dados). Do ponto de vista de ameaças, drives são alvos centrais em múltiplas fases do ciclo de ataque. Adversários utilizam armazenamento externo para exfiltração de dados — conectando dispositivos USB infectados em sistemas comprometidos — ou para introduzir malware via autorun. Grupos como [[g0007-apt28]] e atores de espionagem patrocinados pelo Estado já utilizaram drives criptografados e partições ocultas para persistência e ocultação de ferramentas. No contexto LATAM, campanhas de roubo de dados bancários frequentemente utilizam pen drives como vetor de entrega inicial em ambientes sem acesso à internet, como terminais de ponto de venda (POS). Monitorar criação e acesso a drives também é essencial para detectar técnicas de destruição de dados ([[t1561-disk-wipe|T1561]]) e exfiltração por mídia removível ([[t1052-exfiltration-over-physical-medium|T1052]]), que continuam sendo vetores relevantes em organizações industriais e do setor público brasileiro onde políticas de DLP são frequentemente ausentes. ```mermaid graph TB A["💾 Dispositivo de Armazenamento<br/>HDD / SSD / USB / Volume"] --> B["🖥️ Sistema Operacional<br/>Windows / Linux / macOS"] B --> C["📋 Telemetria de Drive<br/>EID 6416, Sysmon ID 9<br/>auditd mount / udev"] C --> D["🛡️ EDR / DLP<br/>CrowdStrike / Defender<br/>Symantec DLP"] C --> E["📥 SIEM<br/>Ingestão e correlação"] D --> E E --> F{"⚡ Detecção<br/>USB não autorizado?<br/>RawAccessRead?"} F -->|"Suspeito"| G["🚨 Alerta<br/>T1561 / T1052 / T1091"] ``` ## Componentes de Dados | Componente | ID | Descrição | |------------|----|-----------| | Drive Creation | [[dc0042-drive-creation\|DC0042]] | Montagem ou criação de novo volume de armazenamento | | Drive Modification | [[dc0046-drive-modification\|DC0046]] | Formatação, reparticionamento ou alteração de metadados do volume | | Drive Access | [[dc0054-drive-access\|DC0054]] | Leitura ou escrita em partições e volumes de armazenamento | ## Como Coletar ### Windows — Event IDs e Sysmon | Fonte | Event ID | Descrição | |-------|---------|-----------| | System | 4226 | Limite de conexões TCP atingido (indício de worm em rede compartilhada) | | Security | 4656 | Requisição de handle para objeto (arquivo ou dispositivo) | | Security | 4663 | Tentativa de acesso a objeto (arquivo) — requer SACL configurada | | Security | 6416 | Novo dispositivo de armazenamento externo reconhecido pelo sistema | | Security | 6419/6420 | Requisição para desabilitar/desabilitar dispositivo | | System | 7045 | Novo serviço instalado — comum em drivers de dispositivo maliciosos | | Sysmon (ID 9) | — | `RawAccessRead` — leitura direta de disco sem passar pelo filesystem | Habilitar auditoria de objetos para detectar acesso a drives: ```powershell # Habilitar auditoria de acesso a objetos auditpol /set /subcategory:"File System" /success:enable /failure:enable auditpol /set /subcategory:"Removable Storage" /success:enable /failure:enable # Verificar status atual auditpol /get /subcategory:"Removable Storage" ``` Configurar SACL em volumes sensíveis: ```powershell # Auditoria de leitura/escrita em diretório crítico $acl = Get-Acl "D:\DadosCriticos" $rule = New-Object System.Security.AccessControl.FileSystemAuditRule( "Everyone", "Read,Write", "ContainerInherit,ObjectInherit", "None", "Success,Failure") $acl.AddAuditRule($rule) Set-Acl "D:\DadosCriticos" $acl ``` ### Linux — auditd e udev ```bash # Monitorar montagem de dispositivos via auditd auditctl -a always,exit -F arch=b64 -S mount -k drive_mount auditctl -a always,exit -F arch=b64 -S umount2 -k drive_umount # Monitorar acesso raw a dispositivos de bloco auditctl -w /dev/sdb -p rwxa -k raw_drive_access auditctl -w /dev/sdc -p rwxa -k raw_drive_access # udev rules para notificar conexão de USB cat /etc/udev/rules.d/99-usb-monitor.rules # ACTION=="add", SUBSYSTEM=="usb", RUN+="/usr/local/bin/log-usb.sh %k" # journald — eventos de montagem journalctl -u systemd-udevd --since "1 hour ago" | grep -i "block\|usb\|disk" ``` ### macOS ```bash # Detecção de novas montagens via log unificado log show --predicaté 'subsystem == "com.apple.DiskArbitration"' --last 1h # FSEvents para monitorar acesso a volumes montados # Ferramentas: fseventer, osquery osquery> SELECT * FROM disk_events WHERE action = 'add'; osquery> SELECT * FROM mounts WHERE device LIKE '/dev/disk%'; ``` ### Ferramentas EDR / DLP | Ferramenta | Capacidade | |-----------|-----------| | **CrowdStrike Falcon** | Detecção de `RawDiskAccess`; política de controle de dispositivos USB | | **Microsoft Defender for Endpoint** | Device Control — bloquear/auditar USB; alertas de acesso a disco raw | | **Carbon Black** | Monitoramento de montagem de volumes e acesso de processos a dispositivos | | **Symantec DLP** | Prevenção de cópia para mídia removível com fingerprinting de conteúdo | | **Wazuh** | Módulo FIM (File Integrity Monitoring) + regras de detecção USB | ## Técnicas Detectadas | Técnica | ID | Descrição | |---------|-----|-----------| | Disk Wipe | [[t1561-disk-wipe\|T1561]] | Formatação ou sobrescrita de partições para destruição de dados | | Exfiltration over Physical Medium | [[t1052-exfiltration-over-physical-medium\|T1052]] | Cópia de dados para drives USB para exfiltração física | | Data Destruction | [[t1485-data-destruction\|T1485]] | Deleção de arquivos e volumes como sabotagem | | Replication Through Removable Media | [[t1091-replication-through-removable-media\|T1091]] | Propagação de malware via USB/drives removíveis | | Hide Artifacts — Hidden File System | [[t1564-005-hidden-file-system\|T1564.005]] | Criação de partições ou filesystems ocultos para persistência | ## Gaps de Cobertura Brasil/LATAM **Gaps comuns identificados em organizações brasileiras:** 1. **Portas USB não desabilitadas em endpoints críticos:** Organizações do setor público e industrial no Brasil frequentemente não aplicam políticas de controle de dispositivos USB. Terminais de caixa, estações de trabalho de operadores industriais e computadores de saúde muitas vezes permitem qualquer dispositivo USB sem auditoria. 2. **Auditoria de `Removable Storage` desabilitada por padrão:** As políticas de auditoria Windows padrão não incluem eventos de armazenamento removível (Event ID 6416). A maioria dos ambientes corporativos brasileiros não ativa essa subcategoria, resultando em ausência total de telemetria de USB. 3. **Sysmon Event ID 9 (RawAccessRead) ignorado:** Ferramentas de ransomware e wipers como o [[petya-notpetya]] utilizam acesso raw ao disco para sobrescrever MBR/VBR. Sem monitoramento desse evento, a destruição de dados passa despercebida até que sejá tarde demais. 4. **Ausência de DLP em setores regulados:** Apesar da LGPD exigir controles de proteção de dados, bancos e operadoras de saúde de médio porte no Brasil raramente implantam DLP com controle de mídia removível, expondo-se a exfiltração física por insiders. **Recomendações:** - Habilitar `auditpol /set /subcategory:"Removable Storage" /success:enable /failure:enable` via GPO - Bloquear USB em endpoints críticos via Group Policy (`Computer Configuration → Policies → Administrative Templates → System → Removable Storage Access`) - Monitorar Sysmon Event ID 9 com alerta imediato para processos que não sejam de backup conhecidos - Implantar solução DLP com controle de dispositivos nos setores financeiro e de saúde ## Referências - [[dc0042-drive-creation|DC0042 — Drive Creation]] — criação e montagem de volumes - [[dc0046-drive-modification|DC0046 — Drive Modification]] — modificação de drives - [[dc0054-drive-access|DC0054 — Drive Access]] — acesso a armazenamento - [[ds0017-command|DS0017 — Command]] — comandos executados em contexto de operações de disco - [[t1561-disk-wipe|T1561 — Disk Wipe]] — destruição de dados via formatação - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration over Physical Medium]] — exfiltração USB - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] — propagação via USB --- *Fonte: [MITRE ATT&CK — DS0016](https://attack.mitre.org/datasources/DS0016)*