det0146-detection-of-data-destruction-across-platforms-via-mass-overwrite-and-de

# DET0146 — Detection of Data Destruction Across Platforms via Mass Overwrite and Deletion Patterns ## Descrição Esta estratégia detecta destruição massiva de dados (T1485) por padrões de sobrescrita e deleção em lote, distinguindo de backups ou limpezas legítimas pelo contexto, velocidade e tipo de arquivo alvo. Wiper malwares como WhisperGaté, HermeticWiper, Shamoon e CaddyWiper operam sobrescrevendo arquivos com dados nulos ou aleatórios antes ou sem criptografia, tornando a recuperação impossível. Os padrões comportamentais incluem: sobrescrita de grandes volumes de arquivos em curto período, recurso a APIs de baixo nível para escrita direta (`CreateFile` + `WriteFile` em loop sobre múltiplos arquivos de sistema), e deleção de shadow copies (`vssadmin delete shadows /all /quiet`, `wmic shadowcopy delete`) que é um indicador canônico de ransomware e wiper. Em Linux, uso de `rm -rf /` por processo não-root ou sobrescrita com `dd if=/dev/urandom`. A telemetria envolve Sysmon Event ID 11/23 (FileCreate/FileDelete em alto volume), Event ID 524 (tentativa de deleção de shadow copies), Windows Event Log para `vssadmin` e `wmic shadowcopy`, EDR com telemetria de I/O de arquivo, e auditd em Linux para `unlink`/`rename` syscalls em massa. Thresholds de volume (ex: >1000 arquivos deletados em 60s) devem acionar alerta automático de severidade crítica. ## Indicadores de Detecção - `vssadmin delete shadows /all` ou `wmic shadowcopy delete` executado por qualquer processo - Sobrescrita de >1000 arquivos com conteúdo nulo/aleatório em menos de 5 minutos - `rm -rf /home`, `/var`, `/etc` por processo não-root em Linux - Processo iterando sobre tree de diretório com `FindFirstFile/FindNextFile` + `WriteFile` sequencial - Arquivos do sistema (`.dll`, `.exe`, `.sys`) sendo sobrescritos por processo em caminho de usuário ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] ## Analytics Relacionadas - [[an0411-analytic-0411|AN0411 — Analytic 0411]] - [[an0412-analytic-0412|AN0412 — Analytic 0412]] - [[an0413-analytic-0413|AN0413 — Analytic 0413]] - [[an0414-analytic-0414|AN0414 — Analytic 0414]] - [[an0415-analytic-0415|AN0415 — Analytic 0415]] - [[an0416-analytic-0416|AN0416 — Analytic 0416]] --- *Fonte: [MITRE ATT&CK — DET0146](https://attack.mitre.org/detectionstrategies/DET0146)*