# T1561.002 - Disk Structure Wipe ## Descrição Adversários podem corromper ou apagar as estruturas de dados de disco de um sistema, tornando-o incapaz de inicializar o sistema operacional. Esta técnica é categorizada dentro da tática de **Impacto** no framework [[mitre-attack|MITRE ATT&CK]] e representa uma das formas mais destrutivas de ataque disponíveis a agentes de ameaça sofisticados. O ataque tem como alvo estruturas críticas como o **Master Boot Record (MBR)** ou a **tabela de partições**, que contêm as instruções iniciais necessárias para que o sistema encontre e carregue o sistema operacional. Quando essas estruturas são sobrescritas ou corrompidas, o computador entra em um estado de falha de boot irreversível sem intervenção manual - geralmente exigindo reinstalação completa do sistema operacional ou, em casos graves, substituição de hardware. Em ambientes de rede, adversários podem explorar interfaces de gerenciamento de dispositivos de rede para reformatar sistemas de arquivos usando comandos de [[t1059-008-network-device-cli|Network Device CLI]] como `format`, afetando roteadores, switches e outros equipamentos de infraestrutura crítica. [[t1561-002-disk-structure-wipe|Disk Structure Wipe]] frequentemente é utilizada em combinação com [[t1561-001-disk-content-wipe|Disk Content Wipe]] para maximizar o impacto destrutivo - enquanto o Content Wipe destrói dados individuais de arquivos, o Structure Wipe garante que o sistema inteiro não consiga mais ser iniciado, dificultando qualquer recuperação forense ou operacional. Esta técnica é característica de operações de destruição em larga escala conduzidas por grupos patrocinados por estados-nação, especialmente em contextos de conflito geopolítico ou espionagem industrial avançada. O objetivo primário não é roubo de dados, mas sim **negação de serviço permanente** e destruição de capacidade operacional do alvo. --- ## Como Funciona A técnica opera sobrescrevendo regiões específicas e críticas do disco rígido que não fazem parte do sistema de arquivos convencional, mas são essenciais para o processo de boot: ### 1. Sobrescrita do Master Boot Record (MBR) O MBR é o primeiro setor do disco (setor 0, LBA 0), com exatamente 512 bytes. Ele contém: - **Bootstrap code**: código executável que inicializa o carregamento do sistema operacional - **Partition table**: mapeamento de até 4 partições primárias - **Boot signature**: os bytes `0x55 0xAA` que sinalizam disco inicializável Adversários sobrescrevem este setor com dados nulos, valores aleatórios, ou - em casos mais sofisticados - com payloads de wiper que exibem mensagens ao usuário durante tentativas de boot. ### 2. Corrupção da Tabela de Partições GPT Em sistemas modernos com UEFI, a tabela de partições GUID (GPT) substitui o MBR tradicional. A GPT possui cópias primária (início do disco) e de backup (fim do disco). Wipers avançados destroem ambas as cópias para impedir recuperação automática pelo firmware UEFI. ### 3. Destruição do VBR (Volume Boot Record) O Volume Boot Record localiza-se no primeiro setor de cada partição e contém código necessário para localizar e carregar o bootloader do sistema operacional (como `BOOTMGR` no Windows ou `GRUB` no Linux). A corrupção do VBR impede o carregamento mesmo que o MBR estejá intacto. ### 4. Propagação em Rede Para maximizar impacto organizacional, wipers modernos implementam capacidades de propagação automática usando: - [[t1078-valid-accounts|Valid Accounts]] - reutilização de credenciais roubadas - [[t1003-os-credential-dumping|OS Credential Dumping]] - extração de hashes para movimento lateral - [[Windows Admin Shares]] - distribuição via compartilhamentos administrativos - Exploração de vulnerabilidades de execução remota para alcançar sistemas sem credenciais válidas --- --- ## Attack Flow ```mermaid graph TB A[Acesso Inicial<br/>Phishing / Exploit RCE] --> B[Estabelecimento de Persistência<br/>Backdoor / Serviço Malicioso] B --> C[Escalada de Privilégios<br/>Acesso a SYSTEM / root] C --> D[Movimento Lateral<br/>SMB Admin Shares / Credenciais] D --> E[Reconhecimento Interno<br/>Mapeamento de alvos críticos] E --> F[Preparação do Payload Wiper<br/>Deploy via shares ou GPO] F --> G[Execução Sincronizada<br/>Gatilho por hora / evento] G --> H[Sobrescrita do MBR/GPT/VBR<br/>RawDisk / dd / WriteFile] H --> I[Propagação para Outros Hosts<br/>Worm-like via rede interna] I --> J[Impacto: Sistema Inoperável<br/>Boot failure em toda a rede] J --> K[Exfiltração Prévia<br/>Dados já enviados antes do wipe] ``` > **Técnica pai:** [[t1561-disk-wipe|T1561 - Disk Wipe]] > **Sub-técnica irmã:** [[t1561-001-disk-content-wipe|T1561.001 - Disk Content Wipe]] ## Exemplos de Uso ### Sandworm Team - Ataques à Ucrânia (2022) O grupo [[g0034-sandworm|Sandworm Team]], vinculado ao GRU russo (Unidade 74455), implantou o wiper [[s0697-hermeticwiper|HermeticWiper]] horas antes da invasão terrestre da Ucrânia em fevereiro de 2022. O malware corrompeu o MBR de centenas de sistemas em organizações governamentais e financeiras ucranianas, operando em conjunto com o [[whispergaté|WhisperGaté]] que havia sido detectado semanas antes. O [[s0697-hermeticwiper|HermeticWiper]] utilizava drivers legítimos da empresa ELDOS (EaseUS Partition Master) para acessar o disco diretamente via Raw Disk access, contornando proteções do sistema operacional. ### Lazarus Group - Operação Contra Sony Pictures (2014) O [[g0032-lazarus-group|Lazarus Group]] (DPRK) utilizou o malware [[s0140-shamoon|Shamoon]]-inspirado para destruir mais de 3.000 computadores na Sony Pictures Entertainment. A operação incluiu sobrescrita de MBR e exfiltração prévia de dados confidenciais, servindo tanto para silenciar a empresa quanto para demonstrar capacidade destrutiva do regime norte-coreano. O malware exibia uma imagem de esqueleto durante tentativas de boot. ### APT38 - Ataques a Bancos SWIFT O [[g0082-apt38|APT38]], subgrupo financeiro do Lazarus, utilizou [[s0607-killdisk|KillDisk]] como componente de cobertura em ataques a instituições financeiras. Após exfiltrar fundos via transferências SWIFT fraudulentas, o grupo destruía evidências forenses usando wipers de MBR, complicando investigações pós-incidente e atribuição. ### Ember Bear - Ataque NotPetya (2017) O [[g1003-ember-bear|Ember Bear]] (também atribuído ao Sandworm) foi responsável pelo ataque [[s0368-notpetya|NotPetya]], que se propagou globalmente através de um updaté malicioso do software de contabilidade ucraniano MeDoc. O NotPetya sobrescrevia o MBR com um falso ransomware que na verdade era um wiper puro - as chaves de criptografia nunca foram armazenadas, tornando a recuperação impossível. O ataque causou mais de US$ 10 bilhões em danos globais. --- ## Detecção ### Monitoramento de Acesso Raw ao Disco ```yaml title: Suspicious Raw Disk Write to MBR/Boot Sector status: experimental logsource: category: process_access product: windows detection: selection_handle: TargetObject|contains: - '\\Device\\HarddiskVolume' - '\\\\.\\PhysicalDrive' - '\\\\.\\GLOBALROOT\\Device\\Harddisk' selection_flags: GrantedAccess|contains: - '0x80100000' - '0xd0100000' filter_legit: Image|contains: - 'defrag.exe' - 'chkdsk.exe' condition: selection_handle and selection_flags and not filter_legit level: critical tags: - attack.impact - attack.t1561.002 ``` ### Indicadores Comportamentais - **Abertura de handles para `\\.\PhysicalDrive0`** por processos não-sistema: acesso direto ao disco físico é extremamente incomum em operações legítimas - **Uso de `WriteFile` ou `DeviceIoControl` com IOCTL_DISK_COPY_DATA** em offsets zero do disco: indica tentativa de sobrescrever setor de boot - **Drivers de terceiros carregados com acesso a disco raw**: wipers frequentemente abusam de drivers assinados legítimos (EaseUS, Paragon) para contornar proteções - **Processos com nome genérico (svchost, taskhost) abrindo discos físicos**: mascaramento de identidade do processo wiper - **Desativação do Windows Recovery Environment (WinRE)**: adversários podem executar `reagentc /disable` antes do wipe para impedir recuperação automática ### Fontes de Dados Recomendadas | Fonte | Detalhe | |-------|---------| | Windows Security Logs | Event 4656/4663 - Object Access para objetos de disco | | Sysmon Event ID 9 | RawAccessRead - leitura raw de disco | | EDR Telemetry | Hooks de kernel para DeviceIoControl e WriteFile | | MBR Integrity Monitor | Hash periódico do setor 0 vs. baseline conhecido | | Process Monitoring | Auditoria de processos abrindo handles para PhysicalDrive | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1053 | [[m1053-data-backup\|M1053 - Data Backup]] | Manter backups offline e imutáveis dos sistemas críticos. Backups em rede podem ser igualmente destruídos pelo wiper. Estrategia 3-2-1: 3 cópias, 2 mídias diferentes, 1 offsite/offline. | | - | Secure Boot | Habilitar Secure Boot no firmware UEFI para verificar integridade do bootloader antes da execução. Impede alguns wipers de sobrescrever o boot chain. | | - | Least Privilege | Restringir acesso a dispositivos de disco físico (\\\\.\\PhysicalDrive) apenas a processos de sistema necessários via ACLs e políticas de segurança. | | - | EDR com Proteção de Boot Sector | Soluções EDR modernas possuem módulos específicos para detecção e bloqueio de acesso não autorizado ao MBR. Habilitar proteção proativa. | | - | Segmentação de Rede | Limitar propagação lateral via SMB através de segmentação e microsegmentação de rede, reduzindo superfície de impacto de wipers com capacidade worm. | | - | Monitoramento de Integridade | Implementar verificações periódicas de integridade do MBR via ferramentas como AIDE, Tripwire ou soluções de EDR com capacidade de baseline de boot sector. | --- ## Threat Actors que Usam - [[g0082-apt38|APT38]] - subgrupo financeiro/destrutivo do Lazarus, Coreia do Norte - [[g0034-sandworm|Sandworm Team]] - GRU Unidade 74455, Rússia, especialista em sabotagem de infraestrutura - [[g0032-lazarus-group|Lazarus Group]] - operações destrutivas e financeiras, DPRK - [[g1003-ember-bear|Ember Bear]] - GRU, responsável pelo NotPetya e ataques à Ucrânia - [[g0067-apt37|APT37]] - Reaper/ScarCruft, operações de espionagem e destruição, Coreia do Norte --- ## Software Associado - [[s0140-shamoon|Shamoon]] - wiper que destrói MBR, atribuído a grupos iranianos - [[s0697-hermeticwiper|HermeticWiper]] - wiper usado horas antes da invasão da Ucrânia em 2022 - [[s0364-rawdisk|RawDisk]] - driver legítimo abusado para acesso raw a disco - [[s1136-bfg-agonizer|BFG Agonizer]] - wiper iraniano com capacidade de destruição de MBR - [[whispergaté|WhisperGaté]] - wiper disfarçado de ransomware, usado contra Ucrânia - [[s0607-killdisk|KillDisk]] - wiper multifuncional com componente de destruição de MBR - [[s0380-stonedrill|StoneDrill]] - wiper com técnicas anti-sandbox, atribuído a grupos iranianos - [[s1135-multilayer-wiper|MultiLayer Wiper]] - wiper com múltiplas camadas de destruição - [[s1134-deadwood|DEADWOOD]] - wiper com capacidade de propagação em rede - [[s1151-zerocleare|ZeroCleare]] - wiper iraniano que abusa do driver EldoS RawDisk --- ## Contexto Brasil/LATAM Embora [[t1561-002-disk-structure-wipe|Disk Structure Wipe]] sejá mais frequentemente associada a conflitos geopolíticos entre grandes potências (Rússia-Ucrânia, DPRK vs. ocidente), a América Latina não está imune a esta ameaça. Grupos de ransomware como [[lockbit|LockBit]] e [[blackcat|ALPHV]] adotaram componentes de wiper em suas operações mais recentes - quando a vítima não paga, o wiper é ativado para destruição total em vez de simples criptografia reversível. No Brasil, o setor energético e de infraestrutura crítica (Petrobras, distribuidoras regionais de energia, Eletrobras) representa alvo de alto valor para ataques destrutivos estatais em cenários de escalada geopolítica. A [[anatel|ANATEL]] e o CTIR.gov mantêm alertas sobre este vetor desde o início do conflito russo-ucraniano em 2022. Operações de ransomware que afetaram empresas brasileiras como o grupo [[g1004-lapsus|LAPSUS$]] demonstraram sofisticação crescente de atores da região, indicando que capacidades de wiper podem migrar para o cenário local. O CERT.br emitiu alertas sobre wipers em 2022-2023, recomendando que organizações de infraestrutura crítica nacional revisassem estrategias de backup offline e planos de recuperação de desastres. Organizações brasileiras nos setores [[financial|financeiro]], [[government|governo]] e [[energy|energia]] devem tratar esta técnica como ameaça prioritária em seus modelos de ameaças, especialmente dado o crescente envolvimento de atores patrocinados por estados na região LATAM. --- ## Referências - [MITRE ATT&CK - T1561.002](https://attack.mitre.org/techniques/T1561/002) - [CISA Alert AA22-057A - Destructive Malware Targeting Ukraine](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-057a) - [ESET Research - HermeticWiper Analysis](https://www.welivesecurity.com/2022/02/24/hermeticwiper-new-data-wiping-malware-hits-ukraine/) - [Mandiant - NotPetya Attribution to Sandworm](https://www.mandiant.com/resources/blog/not-petya-no-way-to-stop-cyberweapon) - [Microsoft MSTIC - WhisperGaté Wiper](https://www.microsoft.com/en-us/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/) - [CERT.br - Alertas sobre Wipers em Infraestrutura Crítica](https://www.cert.br/) --- *Fonte: [MITRE ATT&CK - T1561.002](https://attack.mitre.org/techniques/T1561/002)*