Cancellazione delle Strutture Disco: Disk Structure Wipe (T1561.002)

La simulazione di un disk structure wipe in laboratorio richiede estrema cautela: un errore di target può distruggere l'host fisico. Lavora sempre su macchine virtuali con snapshot recente, e verifica tre volte il device path prima di eseguire qualsiasi operazione.

Ambiente Windows — Sovrascrittura MBR via PowerShell

Il principio è semplice: aprire un handle raw a \\.\PhysicalDrive0 e scrivere byte nulli sui primi 512 byte. In PowerShell, con privilegi SYSTEM, la logica operativa si basa sull'uso delle API .NET per ottenere un FileStream sul device fisico. Un approccio minimale prevede:

$disk = [System.IO.File]::Open('\.\PhysicalDrive0', 'Open', 'ReadWrite'); $disk.Write((New-Object byte[] 512), 0, 512); $disk.Close()

Questo comando apre il disco fisico zero, scrive 512 byte nulli a offset zero e chiude l'handle. È esattamente ciò che fanno DEADWOOD e MultiLayer Wiper secondo i dati analizzati. Per verificare l'avvenuta sovrascrittura senza riavviare, puoi leggere il settore appena scritto e controllare che sia tutto a zero.

Ambiente Linux — Classico dd

Su Linux la procedura è più immediata e storicamente sfruttata nelle kill chain reali:

sudo dd if=/dev/zero of=/dev/sda bs=512 count=1

Questo comando sovrascrive il primo settore del disco /dev/sda con zeri. Per simulare un attacco alla GPT, che occupa i primi 34 settori (LBA 0-33) su dischi moderni, estendi il count:

sudo dd if=/dev/zero of=/dev/sda bs=512 count=34

Per riprodurre il comportamento di BFG Agonizer, che apre un handle diretto al device fisico, puoi usare un semplice script Python con la libreria os per aprire /dev/sda in modalità raw write e scrivere byte nulli al settore zero.

Ambiente macOS

Su macOS il device raw si trova sotto /dev/rdiskN. Il comando equivalente è:

sudo dd if=/dev/zero of=/dev/rdisk0 bs=512 count=1

Attenzione: macOS con System Integrity Protection (SIP) attiva impedirà l'accesso raw al disco di boot. In laboratorio, disabilita SIP dalla Recovery Mode oppure opera su un disco esterno.

Network Devices

Per i dispositivi di rete, il comando distruttivo varia per vendor. Su Cisco IOS la formattazione del filesystem si ottiene con format flash: dalla CLI privilegiata. Simula questo scenario in un lab GNS3 (open source) o EVE-NG (freemium) per osservare il comportamento senza rischi.

Tool di supporto per red team: Atomic Red Team (open source) include il test T1561.002 con procedure pronte per Windows e Linux, ideali per validare i controlli difensivi senza scrivere codice custom. Lancia l'esecuzione tramite il modulo Invoke-AtomicTest di PowerShell specificando il codice tecnica.

La detection di un disk structure wipe ha una caratteristica peculiare: se l'alert scatta troppo tardi, il danno è già fatto e irreversibile. Per questo motivo, la strategia difensiva deve concentrarsi sui precursori dell'azione distruttiva, non sull'azione stessa.

Windows — Sysmon e Security Log

Il segnale più affidabile è l'accesso raw al disco fisico. Sysmon con configurazione adeguata genera eventi EventID 9 (RawAccessRead) quando un processo tenta di leggere settori raw. Tuttavia, il vero indicatore è la creazione di handle verso path come \\.\PhysicalDrive0 da parte di processi non autorizzati. Correla gli eventi dai log WinEventLog:Security e WinEventLog:Sysmon per identificare:

• Processi che accedono a \\.\PhysicalDrive0 e non appartengono a tool di imaging o gestione disco (escluire tramite whitelist tool come diskpart.exe, wmic.exe, software di backup)
• Escalation di privilegi (EventCode 4672 — assegnazione privilegi speciali) seguita da accesso raw al disco entro una finestra temporale breve
• Invocazione di DeviceIoControl con codice di controllo IOCTL_DISK_DELETE_DRIVE_LAYOUT, esattamente il pattern usato da DEADWOOD

Per il tuning, definisci un SectorRange che copra i settori critici (0 per MBR, 1-33 per GPT) e costruisci una whitelist dei processi legittimi di amministrazione disco. I falsi positivi principali provengono da software di clonazione e tool di forensic che accedono ai dischi in raw — contestualizzali verificando l'utente e l'orario di esecuzione.

Linux — Auditd

Configura regole auditd per intercettare le syscall open e write su device block specifici:

-w /dev/sda -p wa -k disk_wipe_monitor

Più granularmente, monitora le syscall SYSCALL ed EXECVE nei log auditd per catturare l'esecuzione di dd, hdparm o sgdisk con argomenti che puntano a device raw. Definisci i TargetDevices da sorvegliare (/dev/sda, /dev/nvme0n1) e concentra l'attenzione sulle scritture a offset zero.

macOS — Unified Log

Monitora invocazioni anomale di diskutil e asr che modificano tabelle delle partizioni o inizializzano device raw. Le operazioni legittime di re-partizionamento avvengono durante provisioning — inserisci in whitelist questi contesti operativi.

Network Devices

Correla i log AAA che mostrano accesso privilegiato con l'esecuzione immediata di comandi distruttivi come format flash: o equivalenti vendor-specific. Un alert efficace scatta quando un comando di formattazione segue un login privilegiato fuori dalle finestre di manutenzione programmate.

Come misura preventiva, implementa un piano di Data Backup (M1053) con backup immutabili in storage WORM, crittografati con AES-256 e conservati offsite. Testa regolarmente il ripristino: un backup mai verificato è solo un'illusione di sicurezza.

Quando arrivi su un sistema colpito da un disk structure wipe, il disco di boot è per definizione inaccessibile tramite il filesystem. La prima sfida è acquisire l'evidenza prima che qualcuno tenti un ripristino che distruggerebbe gli artefatti residui.

Acquisizione e primo triage

Collega il disco compromesso a una workstation forense in modalità write-blocked e acquisisci un'immagine raw completa con dc3dd (open source) o FTK Imager (gratuito). Anche se il filesystem è distrutto, il contenuto raw dei settori potrebbe rivelare pattern riconducibili al malware specifico.

Analizza i primi 512 byte del disco: se sono tutti a 0x00, il comportamento è coerente con KillDisk e DEADWOOD, che sovrascrivono il settore zero con zeri. Se invece trovi codice eseguibile a 16 bit nel MBR, potresti trovarti davanti a WhisperGate, che sostituisce il bootloader legittimo con un loader malevolo che mostra una finta richiesta di riscatto. CaddyWiper distrugge sia MBR sia GPT sia le entry delle partizioni — in questo caso troverai corruzione estesa ben oltre il primo settore.

Artefatti su sistemi non colpiti nella stessa rete

La propagazione laterale è una caratteristica chiave dei wiper. Sui sistemi sopravvissuti o parzialmente compromessi, cerca:

Nei log Security di Windows, sequenze di autenticazione anomale (EventCode 4624, logon type 3) provenienti da host già compromessi, seguite da accesso a share amministrative (C$, ADMIN$). I wiper con capacità worm sfruttano credenziali rubate tramite credential dumping per propagarsi via SMB.

Nei log Sysmon, cerca eventi di creazione processo (EventID 1) per binari sconosciuti eseguiti da percorsi temporanei, seguiti da tentativi di accesso raw ai dischi fisici. La timeline tra deployment del binario e inizio della sovrascrittura è spesso brevissima — nell'ordine dei secondi.

Ricostruzione della timeline

Per la campagna HomeLand Justice (C0038), il pattern documentato mostra un gap di 14 mesi tra l'accesso iniziale (maggio 2021) e l'esecuzione distruttiva (luglio 2022). Usa ZeroCleare come indicatore: cerca hash noti e artefatti di staging nei sistemi colpiti. L'analisi dei metadati NTFS ($MFT) su dischi secondari non wipati può rivelare timestamp di creazione dei file del wiper, fornendo il momento esatto del deployment.

Su Linux, i log journalctl e i record auditd EXECVE conservano traccia dell'esecuzione di dd o binari custom con argomenti che puntano a /dev/sda. Se il sistema usava un volume manager LVM, i metadati LVM su dischi secondari potrebbero sopravvivere e fornire informazioni sulla struttura originale delle partizioni.

Il panorama dei gruppi che impiegano disk structure wipe rivela una netta polarizzazione geopolitica: gli attori coinvolti sono quasi esclusivamente legati a operazioni distruttive state-sponsored, con motivazioni che spaziano dalla ritorsione politica alla guerra cibernetica.

Lazarus Group (G0032) rappresenta il pioniere di questa tecnica, con capacità MBR wiper documentate fin dal 2009. Il malware SHARPKNOT sovrascrive e cancella l'MBR, ma il gruppo ha sviluppato un intero arsenale di tool distruttivi nel corso di oltre un decennio. Lazarus opera sotto l'egida nordcoreana con obiettivi che oscillano tra sabotaggio e finanziamento illecito — la componente distruttiva serve spesso a coprire le tracce dopo esfiltrazione finanziaria.

Sandworm Team (G0034), attribuito al GRU russo, ha integrato la distruzione MBR nel componente KillDisk di BlackEnergy, impiegato contro infrastrutture critiche. Il pattern operativo di Sandworm prevede l'uso del wiper come colpo finale dopo aver stabilito persistenza e condotto ricognizione interna — la distruzione è chirurgica e temporizzata per massimizzare l'impatto.

APT38 (G0082), legato alla Corea del Nord con focus su istituzioni finanziarie, utilizza il wiper custom BOOTWRECK per rendere i sistemi inoperabili. La peculiarità di APT38 è l'uso del wiper come tecnica di copertura post-intrusione: dopo aver trasferito fondi, distrugge le evidenze rendendo impossibile il boot e complicando significativamente la forensic.

Ember Bear (G1003) ha condotto operazioni distruttive in Ucraina utilizzando WhisperGate, un malware che si maschera da ransomware ma è in realtà un wiper puro. WhisperGate sovrascrive l'MBR con un bootloader malevolo a 16 bit che mostra una nota di riscatto fittizia — la chiave di decrittazione non esiste. Questo approccio di "ransomware fasullo" rappresenta un'evoluzione nell'inganno operativo.

APT37 (G0067), attribuito alla Corea del Nord, dispone di malware distruttivo capace di sovrascrivere l'MBR, ampliando il cluster nordcoreano con capacità wiper a tre gruppi distinti.

Il pattern comune è l'uso di tool dedicati per ciascun gruppo: nessun wiper viene condiviso tra attori diversi, a differenza dei tool di ricognizione. Questo suggerisce che i wiper vengano sviluppati internamente come capacità strategica. La campagna HomeLand Justice (C0038) — in cui attori iraniani hanno impiegato ZeroCleare contro reti governative albanesi come ritorsione politica — conferma che il disk structure wipe è l'arma prescelta per operazioni di punizione geopolitica. Il trend indica un'espansione verso target governativi di paesi che ospitano dissidenti o gruppi di opposizione, con staging prolungato (fino a 14 mesi) prima dell'esecuzione distruttiva.

Framework MITRE ATT&CK v16 — Tecnica T1561.002 (Disk Structure Wipe), Tattica TA0040 (Impact). Campagna C0038 (HomeLand Justice). Mitigazione M1053 (Data Backup). Detection: Sysmon, auditd, macOS Unified Log, AAA/Syslog per network devices. Tool citati: Atomic Red Team, dc3dd, FTK Imager, GNS3, EVE-NG. Integrato con conoscenza professionale per tool e procedure operative.