det0137-detection-strategy-for-disk-wipe-via-direct-disk-access-and-destructive-

# DET0137 — Detection Strategy for Disk Wipe via Direct Disk Access and Destructive Commands ## Descrição Esta estratégia detecta ataques de disk wipe (T1561) onde adversários sobrescrevem ou destroem o conteúdo de discos para causar impacto ou encobrir rastros. Wiper malwares como WhisperGaté, HermeticWiper, NotPetya e DoubleZero utilizam acesso direto ao disco bruto (via `\\.\PhysicalDrive`, `dd`, `shred`) ou APIs destrutivas para tornar o sistema inoperante, frequentemente antes ou durante operações de ransomware. Em Windows, o acesso a `\\.\PhysicalDrive0` ou `\\.\HardDisk0` por processos não-administrativos do sistema, uso de `DeviceIoControl` com `IOCTL_DISK_WIPE` e manipulação do MBR/VBR são indicadores críticos. Em Linux, o uso de `dd if=/dev/zero of=/dev/sda`, `shred -z /dev/sda`, ou wipefs destrutivo por processo não-autorizado constitui a assinatura comportamental. A telemetria abrange Windows Event ID 4656/4663 para acesso a objetos de disco físico, Sysmon Event ID 11 para criação de arquivos em caminhos de dispositivo, EDR para chamadas de API de baixo nível ao disco, e auditd em Linux para syscalls `open` em `/dev/sd*`. Dado o impacto potencial irreversível, a prioridade de resposta deve ser máxima. ## Indicadores de Detecção - Processo acessando `\\.\PhysicalDrive[0-9]` ou `\\.\HardDisk[0-9]` com modo de escrita - `dd` com destino `/dev/sda`, `/dev/nvme0n1` ou similar executado por processo não-root - `wipefs -a`, `shred -z` ou `wipe` em dispositivo de disco inteiro - Gravação no setor 0 (MBR) por processo diferente do bootloader ou gerenciador de boot - DeviceIoControl com código IOCTL destrutivo a partir de processo em caminho temporário ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[T1529-system-shutdown-reboot|T1529 — System Shutdown/Reboot]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] ## Analytics Relacionadas - [[an0384-analytic-0384|AN0384 — Analytic 0384]] - [[an0385-analytic-0385|AN0385 — Analytic 0385]] - [[an0386-analytic-0386|AN0386 — Analytic 0386]] - [[an0387-analytic-0387|AN0387 — Analytic 0387]] --- *Fonte: [MITRE ATT&CK — DET0137](https://attack.mitre.org/detectionstrategies/DET0137)*