# T1680 - Local Storage Discovery ## Descrição A técnica T1680 - Local Storage Discovery descreve como adversários enumeram discos locais, volumes e partições de um sistema comprometido para coletar metadados de armazenamento, como espaço total disponível, espaço livre, número de série do volume e tipo de sistema de arquivos. Esse reconhecimento interno é frequentemente o passo imediatamente anterior à execução de [[t1486-data-encrypted-for-impact|ransomware]], à identificação de alvos para exfiltração ou à preparação de acesso direto ao volume via [[t1006-direct-volume-access|Direct Volume Access]]. A variedade de plataformas afetadas é ampla. Em sistemas Windows, os adversários utilizam `wmic lógicaldisk get`, `Get-PSDrive` (PowerShell) ou chamadas nativas à API do Windows como `GetDriveType`. Em Linux, comandos como `lsblk`, `fdisk`, `parted`, `df` e `lshw` revelam o mapa completo de partições. Em macOS, `diskutil list` e `system_profiler SPStorageDataType` cumprem a mesma função. Ambientes de virtualização ESXi expõem o dado via `esxcli storage` e listagem de arquivos `.vmdk`. Em ambientes de nuvem (IaaS), os adversários usam `describe-volumes` (AWS), `gcloud compute disks list` (GCP) e `az disk list` (Azure) para mapear volumes remotos. **Contexto Brasil/LATAM:** Operadores de ransomware como [[blackcat|ALPHV]] e grupos afiliados ao [[lockbit|LockBit]] documentadamente executam enumeração de storage como etapa de pré-criptografia antes de ataques a organizações brasileiras - especialmente em setores de [[_sectors|indústria, saúde e varejo]], onde sistemas legados com grandes volumes de dados NAS e SAN são alvos preferênciais. O grupo [[g0139-teamtnt|TeamTNT]], com histórico de atividade contra infraestrutura cloud no Brasil, também emprega essa técnica para identificar volumes montados antes de instalar mineradores de criptomoeda. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Execução de Comandos]) B --> C[**T1680 - Local Storage Discovery**]:::highlight C --> D([Seleção de Alvos para Exfiltração]) D --> E([Criptografia / Ransomware]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` ## Como Funciona ### 1. Preparação O adversário já possui acesso ao sistema (via shell reverso, RDP, implante ou credencial comprometida). Antes de agir, precisa entender a superfície de dados disponível - quantos discos existem, quais são seus tamanhos e quais pastas de valor estão acessíveis. Nessa fase, pode usar ferramentas nativas do SO para não gerar artefatos adicionais (living-off-the-land). ### 2. Execução Dependendo da plataforma, o adversário executa um ou mais dos seguintes comandos: - **Windows:** `wmic lógicaldisk get caption,size,freespace,volumeserialnumber` ou `Get-PSDrive -PSProvider FileSystem` - **Linux:** `lsblk -o NAME,SIZE,TYPE,MOUNTPOINT` ou `df -h` ou `fdisk -l` - **macOS:** `diskutil list` ou `system_profiler SPStorageDataType` - **ESXi:** `esxcli storage filesystem list` e listagem de `.vmdk` com `find /vmfs/volumes -name "*.vmdk"` - **Cloud:** `aws ec2 describe-volumes` / `gcloud compute disks list` / `az disk list` Os resultados são frequentemente redirecionados para um arquivo temporário ou enviados diretamente ao canal de C2. ### 3. Pós-execução Com o mapa de armazenamento em mãos, o adversário prioriza alvos: volumes com maior espaço ocupado (provavelmente dados críticos), shares de rede montadas localmente, ou volumes de backup (para destruição ou criptografia). A próxima etapa é tipicamente [[t1005-data-from-local-system|Data from Local System]], [[t1006-direct-volume-access|Direct Volume Access]] ou a execução do payload de [[t1486-data-encrypted-for-impact|ransomware]]. ## Detecção ### Event IDs Relevantes | Plataforma | Event ID | Canal | Descrição | |-----------|---------|-------|-----------| | Windows | 4688 | Security | Criação de processo - monitorar `wmic.exe`, `powershell.exe` com argumentos suspeitos | | Windows | 4103/4104 | PowerShell | Execução de script - detectar `Get-PSDrive`, `Get-Volume` | | Linux | - | auditd / syslog | Comandos `lsblk`, `fdisk`, `parted` executados por processos não-interativos | | ESXi | - | /var/log/shell.log | Comandos `esxcli storage` executados via SSH | ### Sigma Rule ```yaml title: Local Storage Discovery via WMIC or PowerShell id: b3c4d5e6-7f8a-9b0c-1d2e-3f4a5b6c7d8e status: experimental description: > Detecta enumeração de discos locais via wmic lógicaldisk ou Get-PSDrive, técnica usada por ransomware e APTs antes de criptografia ou exfiltração (T1680). references: - T1680 author: RunkIntel daté: 2026-03-24 tags: - attack.discovery - attack.t1680 logsource: category: process_creation product: windows detection: selection_wmic: CommandLine|contains: - 'lógicaldisk get' - 'lógicaldisk list' selection_powershell: Image|endswith: '\powershell.exe' CommandLine|contains: - 'Get-PSDrive' - 'Get-Volume' - 'Get-Disk' condition: selection_wmic or selection_powershell falsepositives: - Scripts legítimos de inventário de TI - Ferramentas de monitoramento (Zabbix, SCCM) level: medium ``` ## Mitigação | Controle | Ação Recomendada | Prioridade | |---------|-----------------|-----------| | Monitoramento de processos | Alertar para execução de `wmic lógicaldisk`, `lsblk` e `fdisk` por processos não-interativos ou fora do horário comercial | Alta | | Restrição de ferramentas | Bloquear via AppLocker/WDAC o uso de `wmic.exe` por usuários não-administradores em estações de trabalho | Alta | | Auditoria de PowerShell | Habilitar Script Block Logging (Event 4104) e enviar para SIEM - detectar `Get-PSDrive` e `Get-Volume` | Alta | | Segmentação de storage | Não montar volumes de backup ou NAS diretamente em servidores de aplicação - usar acesso indireto via API | Média | | EDR/XDR | Configurar regra de comportamento para sequência: enumeração de disco → gravação em arquivo temporário → comunicação de rede | Alta | | Ambientes ESXi | Restringir acesso SSH ao hypervisor; usar vSphere com MFA; auditar logs de `esxcli` | Alta | | Cloud (IaaS) | Habilitar CloudTrail/Cloud Audit Logs; alertar para `DescribeVolumes` executado por roles não-autorizadas | Média | ## Threat Actors Diversos grupos de ameaça com relevância para o Brasil e LATAM documentaram o uso desta técnica: - [[g0139-teamtnt|TeamTNT]] - grupo especializado em ataques a ambientes cloud e containers; usa enumeração de storage para identificar volumes antes de instalar mineradores ou exfiltrar credenciais - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês com foco em infraestrutura crítica; usa comandos nativos (living-off-the-land) para enumerar storage sem gerar alertas - [[g0032-lazarus-group|Lazarus Group]] - APT norte-coreano com histórico de ataques financeiros no Brasil; emprega enumeração como precursor de ransomware ou destruição de dados - [[g0094-kimsuky|Kimsuky]] - grupo norte-coreano focado em espionagem; usa enumração para identificar documentos de interesse antes de exfiltração seletiva - [[g1022-toddycat|ToddyCat]] - APT ativo na Ásia com campanhas documentadas contra setores governamentais; usa enumeração como parte do reconhecimento pós-comprometimento - [[g0081-tropic-trooper|Tropic Trooper]] - grupo focado em Ásia mas com TTPs reutilizadas por afiliados em LATAM - [[g0114-chimera|Chimera]] - APT com foco em indústria e supply chain; enumera storage para identificar propriedade intelectual - [[g0142-confucius|Confucius]] - grupo de espionagem sul-asiático; usa técnica para localizar documentos sensíveis - [[g0126-higaisa|Higaisa]] - APT com campanhas contra alvos governamentais e corporativos - [[g0040-patchwork|Patchwork]] - grupo de espionagem com foco em alvos diplomáticos e acadêmicos ## Software Associado Diversas famílias de malware implementam Local Storage Discovery como módulo de reconhecimento: - [[slothfulmedia|SLOTHFULMEDIA]] - RAT com capacidade de enumeração de drives e envio de inventário ao C2 - [[s1151-zerocleare|ZeroCleare]] - wiper iraniano que enumera storage antes de sobrescrever setores do disco - [[s1049-sugarush|SUGARUSH]] - backdoor que coleta informações de sistema incluindo mapeamento de drives - [[cuba|Cuba]] - ransomware que executa enumeração extensiva antes de criptografar volumes selecionados - [[s0253-runningrat|RunningRAT]] - RAT que coleta inventário de sistema como parte do reconhecimento inicial - [[s0678-torisma|Torisma]] - implante do Lazarus Group com módulo de descoberta de armazenamento - [[s0248-yty|yty]] - framework de malware do grupo Patchwork com capacidade de enumeração de discos - [[s1048-macososaminer|macOS.OSAMiner]] - minerador para macOS que usa `diskutil` para mapear volumes disponíveis - [[s0564-blackmould|BlackMould]] - malware destrutivo com fase de enumeração de storage - [[s0472-downnew|down_new]] - downloader que coleta fingerprint do sistema incluindo informações de disco --- *Fonte: [MITRE ATT&CK - T1680](https://attack.mitre.org/techniques/T1680)*