det0426-detection-of-direct-volume-access-for-file-system-evasion

# DET0426 — Detection of Direct Volume Access for File System Evasion ## Descrição O acesso direto a volumes (Direct Volume Access) contorna as APIs de sistema de arquivos do Windows, interagindo diretamente com o disco por meio de `\\.\PhysicalDrive0` ou `\\.\C:` via `CreateFile` com acesso raw. Essa técnica permite que malware leia e escreva dados sem passar pelas camadas de auditoria e monitoramento do sistema de arquivos, contornando ferramentas de segurança que interceptam operações de arquivo na camada do kernel. Ransomware como [[blackcat]] e [[lockbit]] utilizam acesso direto a volumes para reescrever o MBR (Master Boot Record) ou para criptografar setores de disco de forma mais eficiente, impedindo que ferramentas de recuperação baseadas em snapshots VSS funcionem. Ferramentas de extração forense e stealers avançados também empregam essa técnica para ler o arquivo SAM ou o banco de dados ntds.dit sem acionar alertas de acesso a arquivos protegidos. A detecção requer monitoramento de handles abertos para dispositivos de volume raw. O Sysmon, com configuração adequada, pode registrar criação de handles para `\\.\PhysicalDrive*` e `\\.\Volume{*}`. Processos legítimos que regularmente fazem isso incluem softwares de backup (Veeam, Acronis) e ferramentas de disco — qualquer processo fora dessa lista deve gerar alerta imediato. ## Indicadores de Detecção - `CreateFile` com caminho `\\.\PhysicalDrive0` ou `\\.\C:` por processo não relacionado a backup ou defragmentação - Sysmon Event ID 9 (RawAccessRead) — leitura raw de disco por processo não autorizado - Acesso a `\\.\Volume{GUID}` por processo de linha de comando (cmd, powershell) ou script - Processo com handle aberto para volume raw correlacionado com alta atividade de I/O de disco - Tentativa de acesso a `\\.\PHYSICALDRIVE*` por processo sem assinatura de fornecedor de backup conhecido ## Técnicas Relacionadas - [[t1006-direct-volume-access|T1006 — Direct Volume Access]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] ## Analytics Relacionadas - [[an1193-analytic-1193|AN1193 — Analytic 1193]] - [[an1194-analytic-1194|AN1194 — Analytic 1194]] --- *Fonte: [MITRE ATT&CK — DET0426](https://attack.mitre.org/detectionstrategies/DET0426)*