# DC0046 — Drive Modification ## Descrição Drive Modification (DC0046) captura eventos de alteração em drives já existentes — incluindo mudanças na letra do drive, ponto de montagem, permissões, atributos, configurações de partição ou sistemas de arquivos. Este componente de dados cobre modificações tanto em drives físicos quanto em volumes virtuais e shares de rede mapeados. Adversários que obtêm acesso privilegiado a um sistema podem modificar configurações de drives como parte de técnicas de persistência de baixo nível, sabotagem de armazenamento ou preparação para ataques destrutivos. A modificação do setor de boot (MBR/VBR) via acesso direto ao disco é uma técnica usada por grupos APT sofisticados para implementar bootkits — capturada por este componente quando combinado com telemetria de acesso raw ao disco. Em ataques de ransomware, a modificação de permissões de drive (removendo o acesso de administradores a backups, por exemplo) é um passo preparatório antes da criptografia. O monitoramento de Drive Modification deve alertar especialmente para mudanças em permissões de volumes de backup e modificações em configurações de VHD/VHDX. A correlação entre Drive Modification e [[t1542-pre-os-boot|Pre-OS Boot]] é especialmente relevante para detectar implantes de nível firmware que persistem reinicializações e formatações. ## Telemetria | Plataforma | Fonte | Event ID / Evento | Informações Capturadas | |------------|-------|-------------------|------------------------| | Windows | System Log | Event ID 98 | Alteração de volume (reassignment de letra) | | Windows | System Log | Event ID 1006 | Modificação de permissões em armazenamento removível | | Windows | Sysmon | Event ID 9 — RawAccessRead | Leitura direta ao disco (possível acesso ao MBR) | | Windows | Storage Operational | `Microsoft-Windows-Storage-Tiering/Operational` | Eventos de modificação de tiering de armazenamento | | Linux | auditd | `mount`, `umount2`, `chmod` em mount point | Alteração de configurações de volume | | Linux | journald / udev | `udevadm monitor` | Mudanças em atributos de dispositivo de bloco | | macOS | Unified Log | `diskarbitrationd` | Modificações em volumes e partições | | macOS | Terminal | `diskutil list` | Verificação de configuração atual | ## Queries de Detecção **KQL (Microsoft Sentinel / Defender)** ```kql // Acesso raw ao disco — possível modificação de MBR/VBR DeviceEvents | where ActionType == "RawDiskRead" or ActionType == "StorageVolumeModification" | where not(InitiatingProcessFileName in~ ("defrag.exe", "chkdsk.exe", "sfc.exe")) | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, AdditionalFields | order by Timestamp desc ``` **SPL (Splunk)** ```spl index=sysmon EventCode=9 | where NOT match(Image, "(?i)(defrag|chkdsk|diskpart|sfc)") | stats count by Image, Device, host, _time | where count < 5 | sort - _time ``` ## Técnicas Relacionadas - [[t1014-rootkit|T1014 — Rootkit]] — modificação de estruturas de armazenamento para ocultar presença - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] — modificação de MBR/VBR para bootkit de persistência - [[t1561-disk-wipe|T1561 — Disk Wipe]] — limpeza destrutiva de conteúdo do drive - [[t1070-indicator-removal|T1070 — Indicator Removal]] — modificação de permissões para dificultar acesso a logs ## Contexto LATAM > [!warning] Bootkits e Wiper Malware no Brasil > Embora menos comuns que ransomware convencional, ataques com wiper malware e bootkits foram documentados em infraestruturas críticas na América Latina. O componente Drive Modification é essencial para detectar ataques do tipo [[t1542-pre-os-boot|Pre-OS Boot]] antes que causem dano irreversível. Organizações do [[energy|setor de energia]] e [[financial|financeiro]] no Brasil devem monitorar acesso raw ao disco por processos não pertencentes ao sistema operacional como indicador de alta prioridade. ## Referências - [MITRE ATT&CK — DS0016 Drive](https://attack.mitre.org/datasources/DS0016/) - [T1542 — Pre-OS Boot](https://attack.mitre.org/techniques/T1542/) - [Sysmon Event ID 9 — RawAccessRead](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon)