det0316-detection-strategy-for-disk-content-wipe-via-direct-access-and-overwrite

# DET0316 — Detection Strategy for Disk Content Wipe via Direct Access and Overwrite ## Descrição Esta estratégia detecta ataques de wipe de conteúdo de disco que sobrescrevem dados de arquivos diretamente via acesso raw ao dispositivo de armazenamento, contornando o sistema de arquivos e tornando a recuperação de dados extremamente difícil ou impossível. Diferente do DET0297 que foca em estruturas de boot, esta estratégia foca no wipe do conteúdo de dados em si — arquivos, diretórios e espaço livre do disco — usando escrita direta em dispositivos de bloco. Os mecanismos de wipe incluem abertura de handle para `\\.\PhysicalDriveN` ou `\\.\C:` (volume direto) e escrita de padrões nulos ou aleatórios sobre setores do disco, uso de `DeviceIoControl` com `IOCTL_DISK_FORMAT_TRACKS` ou equivalentes, e ferramentas como `sdelete`, `cipher /w`, `shred` (Linux) ou worms com capacidade de wipe como [[whispergaté|WhisperGaté]] e [[s0693-caddywiper|CaddyWiper]]. O wipe de arquivos individuais com sobrescrita é capturado por monitoramento de I/O de alto volume, enquanto o wipe via handle de volume requer monitoramento de acesso raw a dispositivos. Em resposta a incidentes de ransomware onde o pagamento não ocorre ou como sabotagem em conflitos geopolíticos (ex: ataques à Ucrânia em 2022), wipers como [[s0697-hermeticwiper|HermeticWiper]] combinam wipe de MBR (DET0297) com wipe de conteúdo (DET0316) para maximizar o impacto destrutivo. A detecção precoce desta combinação é crítica para ativação de procedimentos de resposta a incidentes destrutivos. ## Indicadores de Detecção - Handle aberto para `\\.\PhysicalDrive*` ou `\\.\C:` (volume) com acesso de escrita por processo não administrativo legítimo - Processo executando `WriteFile` em loop sobre handle de dispositivo de bloco (padrão de sobrescrita de setores) - `sdelete.exe` ou `cipher /w` executado sobre diretórios de documentos ou dados críticos por processo automatizado - `shred` ou `dd if=/dev/zero of=/dev/sda` em sistemas Linux por processo não pertencente a manutenção programada - Volume de operações de I/O de escrita excepcional em curto período (> 100MB/s por processo único, sem contexto de backup) - `DeviceIoControl` com `FSCTL_SET_ZERO_DATA` ou `IOCTL_STORAGE_SET_HOTSPOT_INFORMATION` por processo não-sistema ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] ## Analytics Relacionadas - [[an0882-analytic-0882|AN0882 — Analytic 0882]] - [[an0883-analytic-0883|AN0883 — Analytic 0883]] - [[an0884-analytic-0884|AN0884 — Analytic 0884]] - [[an0885-analytic-0885|AN0885 — Analytic 0885]] --- *Fonte: [MITRE ATT&CK — DET0316](https://attack.mitre.org/detectionstrategies/DET0316)*