t1561-001-disk-content-wipe

# T1561.001 - Disk Wipe: Disk Content Wipe > [!critical] Destruicao de conteudo de disco > Adversarios sobrescrevem ou apagam o conteudo de arquivos e particoes de disco para destruir dados de forma irreversivel, causando impacto operacional catastrofico e impedindo a recuperacao forense. ## Visão Geral **Disk Content Wipe** e uma sub-técnica de [[t1561-disk-wipe|Disk Wipe (T1561)]] onde adversarios destroem o conteudo armazenado em disco, incluindo arquivos, diretorios e particoes inteiras, sem necessáriamente corromper a estrutura do disco em si (MBR/GPT). Diferente da sub-técnica [[t1561-002-disk-structure-wipe|Disk Structure Wipe (T1561.002)]] que visa a estrutura de boot, esta técnica foca na destruicao dos dados propriamente ditos. O método mais comum envolve a sobrescrita direta de setores do disco com zeros, dados aleatorios ou padroes específicos, tornando a recuperacao de dados impossível ou extremamente dificil. Ferramentas nativas do sistema operacional como `dd` (Linux), `format` e `cipher /w` (Windows), e `shred` (Linux) podem ser utilizadas, assim como malware customizado projetado específicamente para destruicao massiva. O caso mais emblematico de Disk Content Wipe e o ataque **Shamoon** ([[s0140-shamoon|Shamoon]]) em 2012, atribuido ao [[g0064-apt33|APT33]] (Iran), que sobrescreveu os discos de mais de 35.000 workstations da Saudi Aramco com uma imagem de bandeira americana em chamas. O malware foi projetado para enumerar e sobrescrever arquivos em massa antes de corromper o MBR, maximizando a destruicao. Em 2022, o [[g0034-sandworm|Sandworm]] implantou múltiplos wipers contra a Ucrania, incluindo **CaddyWiper**, **IsaacWiper** e **HermeticWiper**, todos empregando variantes de Disk Content Wipe. Esta técnica e frequentemente executada em coordenacao com outras técnicas de impacto, como [[t1486-data-encrypted-for-impact|criptografia de dados (T1486)]] e [[t1529-system-shutdown-reboot|reinicializacao do sistema (T1529)]], para maximizar o dano e dificultar a resposta a incidentes. ## Attack Flow ```mermaid graph TB A["🎯 Initial Access Comprometimento inicial"] B["🔄 Lateral Movement Propagação interna"] C["📋 Discovery Enumeracao de alvos e volumes"] D["💾 Collection Exfiltração previa opcional"] E["🔴 Impact - Content Wipe Sobrescrita de dados e arquivos"] F["💀 Disruption Interrupcao total de operações"] A --> B --> C --> D --> E --> F classDef neutral fill:#3498db,stroke:#2980b9,color:#ecf0f1 classDef current fill:#e74c3c,stroke:#c0392b,color:#ecf0f1,stroke-width:3px class A,B,C,D neutral class E current class F neutral ``` **Legenda:** [[t1021-remote-services|T1021]] (Lateral Movement) - [[t1083-file-and-directory-discovery|T1083]] (Discovery) - **T1561.001 (Impact)** - Técnica-pai: [[t1561-disk-wipe|T1561]] ## Como Funciona ### Métodos de sobrescrita | Método | Plataforma | Comando/Ferramenta | Recuperacao | |--------|-----------|-------------------|-------------| | Sobrescrita com zeros | Linux | `dd if=/dev/zero of=/dev/sda` | Impossível | | Sobrescrita aleatoria | Linux | `shred -vfz -n 3 /dev/sda` | Impossível | | Cipher wipe | Windows | `cipher /w:C:\` | Impossível | | Format rapido | Windows | `format C: /Q` | Possível (dados não sobrescritos) | | API direta de disco | Windows | `CreateFile("\\\\.\\PhysicalDrive0")` + `WriteFile` | Impossível | | Malware customizado | Todos | Shamoon, CaddyWiper, HermeticWiper | Impossível | ### Sequencia operacional tipica 1. **Enumeracao** - malware enumera todos os drives lógicos e compartilhamentos de rede 2. **Priorizacao** - arquivos de maior valor sao priorizados (.docx, .xlsx, .pdf, .pst, databases) 3. **Sobrescrita** - conteudo e sobrescrito com zeros, dados aleatorios ou padroes fixos 4. **Propagação** - wiper se distribui para outros hosts via SMB, GPO ou PsExec 5. **Finalizacao** - após sobrescrita completa, sistema pode ser reiniciado ou desligado ### Wipers com Disk Content Wipe | Wiper | Método de sobrescrita | Alvos de arquivo | |-------|-----------------------|-----------------| | Shamoon | Sobrescrita com imagem/zeros via driver RawDisk | Todos os arquivos + MBR | | CaddyWiper | Sobrescrita com zeros via API de disco | Todos os arquivos + particoes | | WhisperGate | Corrompe arquivos com dados lixo, renomeia extensoes | Arquivos selecionados por extensao | | IsaacWiper | Sobrescrita com zeros em blocos de 64KB | Todos os drives lógicos | | HermeticWiper | Corrompe MFT e particoes via driver EaseUS | Estrutura de arquivos NTFS | | BiBi Wiper | Sobrescrita com string "BiBi" repetida | Todos os arquivos exceto .exe/.dll | ## Detecção | Fonte de dados | Método | Eficacia | |----------------|--------|----------| | [[ds0016-drive\|Drive Access]] | Acesso direto a raw disk (PhysicalDrive, /dev/sd*) por processos não autorizados | Alta | | [[ds0009-process\|Process Creation]] | Processos executando dd, shred, cipher com parametros de wipe | Alta | | [[ds0022-file\|File Deletion]] | Volume anomalo de exclusoes ou modificacoes de arquivos em curto intervalo | Alta | | [[ds0017-command\|Command Execution]] | Comandos de formatacao ou escrita direta em disco | Alta | | Performance counters | Pico anormal de atividade de I/O de disco (escrita massiva) | Media | ### Regra Sigma ```yaml title: Disk Content Wipe - Mass File Destruction Indicators id: runk-t1561001-contentwipe status: experimental description: Detecta atividades indicativas de sobrescrita massiva de conteudo de disco references: - https://attack.mitre.org/techniques/T1561/001/ logsource: category: process_creation product: windows detection: selection_wipe_cmd: CommandLine|contains: - 'cipher /w:' - 'format /Q' - 'Clean-Disk' - 'Clear-Disk' selection_raw_disk: CommandLine|contains: - '\\.\PhysicalDrive' - '\\.\HarddiskVolume' - 'DeviceIoControl' selection_linux_wipe: Image|endswith: - '/dd' - '/shred' - '/wipe' CommandLine|contains: - 'of=/dev/sd' - 'of=/dev/nvme' - '/dev/zero' - '/dev/urandom' condition: selection_wipe_cmd or selection_raw_disk or selection_linux_wipe falsepositives: - Sanitizacao autorizada de disco em fim de ciclo de vida - Operacoes de decommissioning de servidores level: critical tags: - attack.impact - attack.t1561.001 ``` ## Mitigação - **Backups offline e imutaveis** - manter backups em midia offline (air-gapped) ou em storage imutavel (WORM), testados regularmente com exercicios de restauracao - **Proteção de disco** - restringir acesso raw a disco (PhysicalDrive) apenas a processos autorizados via politica de controle de aplicação - **Segmentacao critica** - isolar sistemas criticos (banco de dados, controladores de dominio) em segmentos de rede dedicados - **Monitoramento de I/O** - alertar sobre picos anomalos de atividade de escrita em disco que possam indicar sobrescrita massiva - **Snapshots e replicacao** - utilizar snapshots de storage e replicacao geografica para sistemas criticos - **Resposta rapida** - ter playbook de isolamento de rede pronto para execução em caso de detecção de wiper (desconectar segmentos afetados em minutos) Mitigacoes MITRE relacionadas: [[m1053-data-backup\|M1053]] - [[m1030-network-segmentation\|M1030]] ## Relevância LATAM/Brasil > [!latam] Contexto Regional > Wipers de conteudo representam risco crescente para organizacoes latino-americanas, especialmente considerando a baixa maturidade em processos de backup e recuperacao de desastres. Fatores de risco para o Brasil e América Latina: - **Backups inadequados** - pesquisas do [[cert-br|CERT.br]] indicam que grande parcela de organizacoes brasileiras não testa regularmente seus backups, tornando-as vulneraveis a destruicao permanente de dados - **Impacto NotPetya** - o wiper NotPetya (2017) afetou operações de multinacionais no Brasil, demonstrando que ataques destrutivos originados em conflitos geopoliticos distantes podem causar impacto local - **Ransomware evoluindo para wipers** - tendencia de grupos de ransomware (como ex-Conti) adotarem capacidades destrutivas sem oferecer recuperacao, especialmente contra alvos que se recusam a pagar - **Setor financeiro** - bancos brasileiros ([[financial|setor financeiro]]) processam volumes massivos de transações diarias; destruicao de dados nesse setor causaria impacto economico significativo - **Dependência de dados digitais** - a crescente digitalizacao de servicos públicos no Brasil (gov.br, e-saúde, receita federal) amplia o impacto potencial de ataques destrutivos contra infraestrutura governamental ## Referências - [MITRE ATT&CK - T1561.001](https://attack.mitre.org/techniques/T1561/001/) - [ESET - HermeticWiper Analysis](https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/) - [SentinelOne - CaddyWiper Technical Analysis](https://www.sentinelone.com/labs/) - [Mandiant - Shamoon Attacks Against Saudi Arabia](https://www.mandiant.com/resources/blog) - [Microsoft - WhisperGate Destructive Malware](https://www.microsoft.com/en-us/security/blog/)