Cancellazione del Disco: Disk Content Wipe (T1561.001)

La simulazione di un disk wipe in laboratorio richiede estrema cautela: ogni comando va eseguito esclusivamente su macchine virtuali dedicate, con snapshot preventivi e volumi sacrificabili. L'obiettivo è verificare che i controlli difensivi — EDR, Sysmon, auditd — rilevino effettivamente l'attività distruttiva prima che sia troppo tardi.

Windows — cipher.exe come strumento nativo. La campagna APT28 Nearest Neighbor Campaign (C0051) dimostra che anche un utility di sistema può diventare un'arma. Il comando usato in quella campagna è un punto di partenza perfetto per il red team:

cmd.exe /c cipher /W:C

Questo comando sovrascrive lo spazio libero del volume C: con pattern 0x00, 0xFF e dati pseudocasuali. Non è distruttivo per i file esistenti, ma elimina ogni possibilità di recupero dei dati cancellati. Per simulare un impatto più aggressivo, si può lavorare su un volume di test dedicato.

Windows — accesso raw al disco. Per replicare il comportamento di malware come WhisperGate o HermeticWiper, serve accesso diretto al physical drive. In PowerShell con privilegi elevati:

$disk = [System.IO.File]::Open("\.\PhysicalDrive1", 'Open', 'ReadWrite'); $buffer = New-Object byte[] 65536; (New-Object Random).NextBytes($buffer); $disk.Write($buffer, 0, $buffer.Length); $disk.Close()

Questo frammento sovrascrive i primi 64 KB del disco fisico 1 con dati casuali, simulando il comportamento di WhiskeyAlfa del Lazarus Group, che sovrascriveva i primi 64 MB di ogni drive con buffer statici e random.

Linux — dd e shred su block device. Per replicare il comportamento di AcidRain e AcidPour, che iterano sui device file del target:

sudo dd if=/dev/urandom of=/dev/sdb bs=1M count=64 conv=notrunc

Questo sovrascrive i primi 64 MB di /dev/sdb con dati casuali. L'utility shred (open source, inclusa in coreutils) offre un'alternativa con sovrascrittura multi-pass:

sudo shred -n 3 -v /dev/sdb

macOS — diskutil per test controllati. Per attivare le detection su Unified Log:

diskutil zeroDisk /dev/disk2

Ogni comando va correlato con la verifica degli alert attesi: Sysmon EventCode 9 (RawAccessRead) su Windows, auditd SYSCALL su Linux, macOS Unified Log per le invocazioni di diskutil. Lo strumento Atomic Red Team (open source) include test specifici per T1561.001 che automatizzano queste simulazioni in modo sicuro e ripetibile.

Il disk wipe è una tecnica ad altissimo impatto e bassa frequenza: quando scatta un alert legittimo, probabilmente sei già in una situazione critica. La sfida non è tanto costruire regole complesse, quanto garantire che le poche regole necessarie siano affidabili e resistenti ai falsi positivi.

Windows — tre log source fondamentali. La detection si basa su WinEventLog:Security e WinEventLog:Sysmon. Il primo segnale è il Sysmon EventCode 9 (RawAccessRead), che cattura ogni tentativo di lettura raw su \\.\PhysicalDrive. Qualsiasi processo che non sia un tool di backup o imaging forense che accede a quel percorso merita un alert ad alta severità.

Il secondo pilastro è il monitoraggio del caricamento di driver sospetti. RawDisk, il driver di EldoS documentato in questa tecnica, compare come EventCode 6 (DriverLoad) in Sysmon. Una regola efficace correla il caricamento di driver non firmati o firmati da entità non standard con l'accesso successivo ai device fisici, il tutto entro una finestra temporale ristretta — tipicamente 60-120 secondi.

Per cipher.exe, un alert su EventCode 1 (ProcessCreate) con CommandLine contenente /W: è sufficiente. Questo comando ha pochissimi usi legittimi al di fuori della manutenzione IT pianificata; nella campagna C0051, APT28 lo usava esattamente con la sintassi cmd.exe /c cipher /W:C.

Linux — auditd come colonna portante. I log auditd:SYSCALL e auditd:EXECVE sono le fonti primarie. Configura regole audit per intercettare scritture dirette sui block device:

-w /dev/sda -p w -k disk_wipe

Monitora l'esecuzione di dd, shred e wipe con target su /dev/sd* o /dev/nvme*. Il tuning critico riguarda l'esclusione dei dispositivi rimovibili e delle partizioni soggette a manutenzione ordinaria. Un indicatore comportamentale potente è la combinazione di entropia elevata nei dati scritti con l'accesso diretto ai block device: i wiper scrivono dati pseudocasuali, non pattern ripetitivi.

macOS e dispositivi di rete. Su macOS, il Unified Log cattura le invocazioni di diskutil e asr con flag distruttivi (eraseDisk, zeroDisk). Su dispositivi di rete, monitora i log CLI e syslog per comandi come erase flash:, format disk o erase nvram:, correlando con gli eventi di autenticazione nella stessa sessione privilegiata.

Gestione dei falsi positivi. I tool di backup, imaging forense e provisioning sono le fonti principali di rumore. Costruisci whitelist basate su contesto — utente, sistema, fascia oraria di manutenzione — mai solo sul nome del processo.

Quando arrivi sulla scena di un disk wipe, il paradosso è evidente: la tecnica stessa distrugge le prove che dovresti raccogliere. La strategia forense si basa quindi su ciò che sopravvive alla distruzione — log remoti, artefatti periferici e tracce di esecuzione che il wiper non ha raggiunto.

Artefatti Windows — cosa cercare prima che scompaia tutto. Se il sistema è ancora parzialmente operativo, la priorità è acquisire i log Sysmon e Security da remoto o dalla loro copia nel Windows Event Forwarding. Il EventCode 9 di Sysmon documenta gli accessi raw ai dischi fisici, con PID del processo responsabile e timestamp preciso. Cerca anche EventCode 6 per il caricamento di driver come RawDisk: questi eventi sopravvivono spesso nei log centralizzati anche quando il disco locale è compromesso.

La MFT (Master File Table) è un artefatto critico. Se il wiper ha colpito solo porzioni del disco — come faceva WhiskeyAlfa di Lazarus Group con i primi 64 MB — la MFT potrebbe essere parzialmente intatta nelle aree non sovrascritte. Tool come MFTECmd di Eric Zimmerman (open source) consentono il parsing della MFT da immagini disco parziali, ricostruendo nomi file, timestamp e dimensioni anche dopo la cancellazione.

Prefetch e AmCache forniscono prove dell'esecuzione. Il file Prefetch di cipher.exe, se presente, conferma l'invocazione dell'utility e il timestamp dell'ultima esecuzione — esattamente il pattern osservato nella campagna APT28 Nearest Neighbor Campaign (C0051). L'AmCache registra invece gli hash SHA1 degli eseguibili lanciati, potenzialmente includendo il wiper stesso.

Artefatti Linux — auditd e journal. Su sistemi Linux colpiti da malware come AcidRain o AcidPour, i log auditd sono la fonte primaria se configurati per monitorare i device file. Il journal di systemd, se persistente e su partizione separata, può contenere le tracce di esecuzione dei processi distruttivi. Cerca record EXECVE con riferimenti a dd, shred o accessi diretti a /dev/sd*.

Ricostruzione della timeline. La sequenza tipica di un'operazione di disk wipe segue un pattern riconoscibile: compromissione iniziale → escalation dei privilegi → disabilitazione dei servizi di recovery (Volume Shadow Copy, backup agent) → esecuzione del wiper → eventuale propagazione laterale. Correla i timestamp degli eventi di autenticazione anomala (credential dumping, accessi SMB laterali) con il primo evento di accesso raw al disco. Il delta temporale tra propagazione e wipe è spesso brevissimo — nell'ordine dei minuti — indicando automazione piuttosto che azione manuale.

Per i firmware di dispositivi di rete colpiti da malware come VPNFilter, il confronto hash del firmware attuale con quello vendor-certified è l'unico metodo affidabile per verificare l'integrità.

Il panorama degli attori che impiegano Disk Content Wipe rivela due profili molto diversi, uniti dalla volontà di infliggere danno irreversibile piuttosto che monetizzare l'accesso.

Lazarus Group (G0032) rappresenta l'archetipo dell'attore state-sponsored con capacità distruttive avanzate. La famiglia di malware WhiskeyAlfa/WhiskeyBravo/WhiskeyDelta mostra un'evoluzione tecnica deliberata: WhiskeyAlfa sovrascrive i primi 64 MB di ogni drive, WhiskeyBravo si limita a 4.9 MB dei drive fisici, mentre WhiskeyDelta alterna tra 132 MB e 1.5 MB usando dati random dalla heap memory. Questa variabilità non è casuale — suggerisce che il gruppo adatta il payload al contesto operativo, bilanciando velocità di distruzione e profondità della sovrascrittura. La presenza di tre varianti indica anche una catena di sviluppo attiva con capacità di iterazione rapida.

Gamaredon Group (G0047) opera con un approccio meno sofisticato ma non per questo meno efficace, utilizzando strumenti per eliminare file e cartelle dai desktop e dai profili delle vittime. Il profilo è coerente con operazioni di sabotaggio mirate più che con campagne di distruzione su larga scala.

La campagna C0051 — APT28 Nearest Neighbor Campaign aggiunge una dimensione cruciale: anche un attore noto per spionaggio come APT28 può incorporare capacità di wipe nella propria catena operativa. L'uso di cipher.exe, un'utility nativa Windows, per sovrascrivere i dati cancellati dimostra che la distruzione non richiede necessariamente malware custom — le tecniche living-off-the-land sono sufficienti per l'anti-forensics.

Pattern software e convergenze. I 13 software associati a questa tecnica coprono uno spettro ampio: dal ransomware evoluto come BlackCat (che cancella le snapshot VM) ai wiper puri come HermeticWiper e StoneDrill, fino a minacce IoT come VPNFilter che colpiscono il firmware dei dispositivi di rete. AcidRain e AcidPour mostrano l'estensione della superficie d'attacco ai dispositivi embedded e ai modemi satellite, un trend da monitorare con attenzione crescente.

La mitigazione ufficiale — Data Backup (M1053) — sottolinea un punto strategico: contro il disk wipe, la prevenzione è necessaria ma la resilienza è decisiva. Backup immutabili, storage WORM, copie offsite e test regolari di ripristino sono l'unica garanzia contro una tecnica progettata per essere irreversibile. Il threat intelligence officer deve assicurarsi che queste contromisure siano proporzionate al profilo di rischio specifico dell'organizzazione — chi opera in contesti geopolitici sensibili legati a Ucraina o Corea del Nord è esposto a rischi significativamente più elevati.

Framework MITRE ATT&CK: tecnica T1561.001 (Disk Content Wipe), tattica TA0040 (Impact), campagna C0051 (APT28 Nearest Neighbor Campaign), mitigazione M1053 (Data Backup). Tool di detection: Sysmon, auditd, macOS Unified Log. Integrato con conoscenza professionale per tool e procedure operative.