det0297-detection-strategy-for-disk-structure-wipe-via-bootpartition-overwrite

# DET0297 — Detection Strategy for Disk Structure Wipe via Boot/Partition Overwrite ## Descrição Esta estratégia detecta ataques de wipe destrutivo que sobrescrevem estruturas críticas de disco como o Master Boot Record (MBR), a tabela de partições GPT ou o boot sector de volumes individuais. Este tipo de ataque, utilizado por wipers como [[s0697-hermeticwiper|HermeticWiper]], [[s0368-notpetya|NotPetya]] e [[whispergaté|WhisperGaté]], torna o sistema inoperável ao destruir as estruturas necessárias para o boot, mesmo que o restante dos dados permaneça intacto. Os indicadores primários incluem escrita direta em dispositivos de disco raw (`\\.\PhysicalDrive0` no Windows, `/dev/sda` no Linux) por processos que não são ferramentas de gerenciamento legítimas, modificação dos primeiros 512 bytes (MBR) ou da área de GPT, e uso de funções de I/O de baixo nível (`DeviceIoControl` com `IOCTL_DISK_SET_PARTITION_INFO`, `WriteFile` em handle de disco físico). A escrita direta em disco físico por processos de usuário é extremamente incomum em operações legítimas. A detecção precoce é crítica pois o impacto é imediato e irreversível. Backlogs de telemetria de EDR e correlação com outros indicadores de wiper (enumeração massiva de arquivos, encerramento de processos de banco de dados) aumentam a confiança e permitem resposta antes da destruição completa. ## Indicadores de Detecção - `WriteFile` ou `DeviceIoControl` com handle para `\\.\PhysicalDrive*` por processo não-sistema - Processo com acesso a `/dev/sda`, `/dev/nvme0` ou equivalente em Linux sem contexto de manutenção - Modificação dos primeiros 512 bytes de disco físico detectada por driver de monitoramento - `bcdedit /set {default} safeboot minimal` ou deleção de entradas de boot em sequência rápida - Volume Shadow Copies deletados seguido de escrita em disco físico (padrão wiper/ransomware) - Processo com nome aleatório de baixa integridade abrindo handle exclusivo para disco físico ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] ## Analytics Relacionadas - [[an0827-analytic-0827|AN0827 — Analytic 0827]] - [[an0828-analytic-0828|AN0828 — Analytic 0828]] - [[an0829-analytic-0829|AN0829 — Analytic 0829]] - [[an0830-analytic-0830|AN0830 — Analytic 0830]] --- *Fonte: [MITRE ATT&CK — DET0297](https://attack.mitre.org/detectionstrategies/DET0297)*