Distruzione Strutture Disco: Disk Structure Wipe (T1561.002)

Per comprendere la meccanica dell'attacco, è fondamentale analizzare l'accesso diretto al disco fisico. Su Windows, l'apertura di un handle verso \\.\PhysicalDrive0 rappresenta il primo passo critico. Il comando PowerShell seguente dimostra la lettura del MBR:

$disk = [System.IO.File]::OpenRead("\\.\PhysicalDrive0")
$buffer = New-Object byte[] 512
$disk.Read($buffer, 0, 512)

La sovrascrittura avviene tipicamente azzerando i primi 512 byte del disco. Tools come RawDisk facilitano queste operazioni bypassando le protezioni del filesystem. Su Linux, il comando equivalente sfrutta dd:

sudo dd if=/dev/zero of=/dev/sda bs=512 count=1

La simulazione in laboratorio richiede macchine virtuali isolate con snapshot pre-attacco. DEADWOOD implementa questa logica aprendo handle multipli e inviando control code IOCTL_DISK_DELETE_DRIVE_LAYOUT per garantire la rimozione permanente.

Strumenti come HermeticWiper aggiungono sofisticazione corrompendo MBR, GPT e Master File Table simultaneamente. La replica etica deve includere:

1. Verifica privilegi amministrativi/root
2. Enumerazione dischi fisici disponibili
3. Backup del MBR originale per ripristino
4. Test su VM sacrificabili con monitoraggio completo

L'automazione via script PowerShell o Python permette di testare la resilienza dei controlli di sicurezza. Network devices richiedono comandi specifici come format flash: su Cisco IOS, sempre in ambiente controllato.

La detection efficace richiede correlazione multi-sorgente tra processi, privilegi e accessi raw al disco. Su Windows, Sysmon cattura l'apertura di handle verso \\.\PhysicalDrive tramite Event ID 11 (FileCreate).

Il pattern critico include processi non-standard che accedono ai primi settori del disco. La query base per Splunk:

index=windows EventCode=11 TargetFilename="\\PhysicalDrive" | stats count by Image

Auditd su Linux traccia syscalls write() con offset 0 su device block. La configurazione richiede:

-w /dev/sda -p w -k disk_structure_wipe
-w /dev/nvme0n1 -p w -k disk_structure_wipe

I falsi positivi derivano principalmente da software di imaging legittimi. CaddyWiper e WhisperGate mostrano pattern distintivi: creazione servizio temporaneo, escalation privilegi, accesso disco, terminazione rapida.

macOS richiede monitoring di diskutil e asr tramite unified log. La correlazione temporale tra elevazione privilegi e comandi distruttivi riduce il rumore. Network devices necessitano parsing dei comandi CLI per format, correlati con accessi privilegiati anomali.

Il tuning ottimale prevede:

• Whitelist processi amministrativi noti
• Focus su settori 0-63 (MBR/GPT)
• Correlazione con lateral movement precedente
• Alert immediato su pattern Shamoon-like (overwrite multipli simultanei)

La priorità massima va a sistemi critici e domain controller, dove anche un singolo wipe può paralizzare l'infrastruttura.

L'analisi post-mortem di un disk wipe richiede approcci creativi data la distruzione delle evidenze primarie. Il recupero del MBR originale potrebbe essere possibile da backup di volume shadow copies se non eliminate preventivamente.

Gli artefatti chiave includono Prefetch files che mostrano l'esecuzione di wiper prima della distruzione. KillDisk lascia tracce nel registro eventi di creazione servizi temporanei. La timeline tipica mostra:

1. Lateral movement verso sistemi target (ore/giorni prima)
2. Staging del malware in directory temporanee
3. Creazione scheduled task o servizio per persistenza
4. Esecuzione simultanea su multiple macchine
5. Overwrite MBR/partizioni in pochi secondi

MultiLayer Wiper implementa cancellazione multi-fase, permettendo potenziale recovery parziale tra le fasi. L'analisi della memoria RAM può rivelare IoC se il dump avviene prima del reboot fatale.

Su Linux, i log di auditd potrebbero sopravvivere se centralizzati. Pattern come dd verso /dev/sda con offset 0 sono inequivocabili. BFG Agonizer lascia handle aperti verso PhysicalDrive0 visibili in memory dump.

La ricostruzione richiede:

• Analisi di sistemi gemelli non colpiti
• Recovery da backup centralizzati dei log
• Correlazione con network traffic pre-wipe
• Identificazione del patient zero tramite timestamp

Le campagne Sandworm Team mostrano preparazione metodica con reconnaissance estesa prima del wipe coordinato.

Lazarus Group dimostra capacità MBR wiper dal 2009, evolvendosi con SHARPKNOT per campagne mirate. Il gruppo combina ransomware e wiping per massimizzare pressione negoziale, targeting primario settore finanziario e cryptocurrency.

Sandworm Team integra disk wiping in campagne multi-stadio. BlackEnergy KillDisk component evidenzia preparazione per conflitti cinetici, con focus su infrastrutture critiche ucraine. Pattern: infiltrazione lunga, movimento laterale esteso, detonazione coordinata.

APT37 possiede capacità MBR destruction principalmente per operazioni contro Corea del Sud. Il gruppo alterna spionaggio e sabotaggio basandosi su obiettivi geopolitici immediati.

APT38 con BOOTWRECK mira a istituzioni finanziarie per coprire tracce post-esfiltrazione. Pattern distintivo: cash-out seguito da wiping per ostacolare l'investigazione forense.

Ember Bear nella campagna WhisperGate ha dimostrato coordinazione con operazioni cinetiche in Ucraina. HomeLand Justice contro Albania mostra trend di wiping come ritorsione diplomatica, con persistenza di 14 mesi prima dell'attacco.

Tool overlap significativo: RawDisk condiviso tra campagne Shamoon, suggerendo proliferazione nel mercato nero. Trend emergente: integrazione con ransomware per "doppia estorsione" quando il pagamento fallisce.

Geograficamente, concentrazione in:

• Medio Oriente (conflitti regionali)
• Europa Orientale (tensioni geopolitiche)
• Asia-Pacifico (dispute territoriali)

Framework MITRE ATT&CK T1561.002. Campagne documentate: HomeLand Justice (Albania 2022), WhisperGate (Ukraine 2022), Shamoon (Middle East). Risorse detection: Sysmon Configuration Repository, Sigma Rules per MBR Overwrite, CISA Alert AA22-057A.