Cancellazione Dischi: Disk Content Wipe (T1561.001)

Per comprendere la meccanica di cancellazione disco, iniziamo con approcci legittimi che possono essere weaponizzati. Su Windows, il comando più semplice utilizza cipher.exe già presente nel sistema:

cmd.exe /c cipher /W:C

Questo comando sovrascrive lo spazio libero del disco C: con pattern casuali, rendendo irrecuperabili i dati precedentemente eliminati. Per accesso diretto al disco fisico, gli attaccanti utilizzano path speciali come \\.\PhysicalDrive0 che bypassano il filesystem.

Su Linux, i comandi nativi offrono capacità distruttive immediate. Il classico approccio utilizza dd per sovrascrivere l'intero disco:

dd if=/dev/urandom of=/dev/sda bs=4M

Per cancellazioni più sofisticate, shred implementa multiple passate con pattern variabili:

shred -vfz -n 3 /dev/sda

Il parametro -n specifica il numero di sovrascritture, mentre -z aggiunge una passata finale di zeri. Su macOS, diskutil fornisce funzionalità native:

diskutil eraseDisk JHFS+ CleanDisk /dev/disk2

Per simulazioni in laboratorio, create sempre VM isolate con snapshot prima di testare. Tools come DBAN (Darik's Boot and Nuke) permettono test controllati di cancellazione completa. Per emulare comportamenti APT più sofisticati, considerate l'implementazione di wiping selettivo dei primi MB del disco, tecnica usata da Lazarus Group con WhiskeyAlfa che sovrascrive i primi 64MB di ogni drive.

La propagazione worm-like richiede combinazione con altre tecniche. Utilizzate PsExec per esecuzione remota dopo aver ottenuto credenziali valide, simulando la catena d'attacco completa in ambiente controllato.

La detection efficace richiede correlazione multi-evento piuttosto che singoli indicatori. Il primo layer di monitoring deve catturare accessi diretti al disco attraverso path anomali.

Su Windows, configurate Sysmon per catturare ProcessCreate events con CommandLine contenente \\.\PhysicalDrive o caricamento di driver non firmati. L'EventCode 4663 nel Security log registra tentativi di accesso a oggetti, inclusi device fisici.

Per Linux, auditd deve monitorare syscall critiche. Configurate regole per intercettare:

-w /dev/sd -p w -k disk_wipe*

Questo cattura scritture dirette ai block device. Correlate con EXECVE events per processi che invocano dd, shred o wipe entro finestre temporali di 30 secondi.

La gestione dei falsi positivi richiede whitelisting intelligente. Backup software e forensic tools generano pattern simili ma in contesti autorizzati. Create baseline per:

• Processi di backup schedulati con accesso raw disk
• Utility di imaging disco usate dall'IT
• Manutenzione programmata con tool di sanitizzazione

Per network devices, monitorate comandi CLI distruttivi come erase flash: o format disk. Correlate con eventi di autenticazione privilegiata nella stessa sessione per ridurre il rumore.

L'approccio comportamentale più efficace combina:

• Elevazione privilegi + accesso raw disk entro 5 minuti
• Volume scritture anomalo su device files
• Entropy analysis dei dati scritti (pattern casuali vs strutturati)

Implementate alerting a severità scalare: low per singoli indicatori, critical per correlazioni multiple.

La ricostruzione post-wipe presenta sfide uniche poiché gli artefatti primari sono stati intenzionalmente distrutti. Focus su evidenze periferiche e metadati di sistema sopravvissuti.

Su Windows, esaminate i Prefetch files che possono sopravvivere se non specificamente targetizzati. La presenza di *.pf per cipher.exe o tool custom fornisce timestamp di esecuzione. Il Registry mantiene tracce in HKLM\SYSTEM\CurrentControlSet\Services per driver installati come RawDisk.

Event logs potrebbero essere parzialmente recuperabili se il wipe non ha completato tutti i settori. Cercate EventID 4663 per object access e EventID 7045 per nuovi servizi installati. Volume Shadow Copies, se presenti su altri drive, possono contenere snapshot pre-attacco.

Su Linux, /var/log/secure e auth.log spesso risiedono su partizioni separate che potrebbero sopravvivere. Cercate pattern di sudo usage anomalo o su verso root poco prima dell'incidente. Il journal di systemd (journalctl) può contenere frammenti se memorizzato su partizione dedicata.

Per casi come HermeticWiper, l'analisi deve includere artefatti di corruzione del MBR. Utilizzate tools come TestDisk per tentare recovery parziale di partition tables. La timeline tipica mostra:

1. Initial compromise (giorni/settimane prima)
2. Privilege escalation e lateral movement
3. Deployment del wiper (spesso schedulato)
4. Esecuzione simultanea su multiple macchine

Memory dumps catturati prima del wipe sono goldmine forensi. Cercate processi con handle aperti verso PhysicalDrive o loaded drivers sospetti. Correlate con network traffic per identificare C2 pre-wipe.

Lazarus Group rimane l'attore più prolifico nell'uso di disk wipers distruttivi. Il loro toolkit WhiskeyAlfa/Bravo/Delta mostra evoluzione tattica: da sovrascrittura completa a wiping selettivo dei primi MB per massimizzare velocità e impatto. Pattern geografico: targeting primario in Corea del Sud, espansione verso financial sector globale.

Gamaredon Group adotta approccio più mirato, cancellando selettivamente file da desktop e profili utente piuttosto che wipe completo. Indicatore di targeting più chirurgico, probabilmente per mantenere persistenza mentre degrada capacità operative della vittima.

L'evoluzione del malware mostra trend verso modularità. WhisperGate implementa offset periodici per corrompere dati mantenendo parziale funzionalità sistema. BlackCat targetta specificamente VM snapshots, indicando comprensione sofisticata delle strategie di recovery moderne. AcidRain e AcidPour rappresentano espansione verso dispositivi IoT e embedded systems.

Overlap significativo nei tool: HermeticWiper, WhisperGate e AcidRain condividono tecniche di partition corruption, suggerendo possibile condivisione di codice o sviluppatori comuni nel mercato criminale.

APT28 Nearest Neighbor Campaign dimostra innovazione tattica: uso di cipher.exe nativo elimina necessità di custom malware, riducendo detection footprint. Tecnica del Wi-Fi hopping per initial access suggerisce planning sofisticato e reconnaissance fisico.

Previsioni basate su trend osservati:

• Shift verso living-off-the-land con tool nativi OS
• Targeting crescente di backup cloud e immutable storage
• Integrazione con ransomware per doppia estorsione
• Focus su supply chain per massimizzare propagazione

Framework MITRE ATT&CK T1561.001 documenta tecniche disk wipe utilizzate da APT28, Lazarus Group e Gamaredon. APT28 Nearest Neighbor Campaign (C0051) esemplifica uso di living-off-the-land techniques. Risorse detection includono Sysmon per Windows, auditd per Linux, strategie comportamentali multi-evento.