T1006
دسترسی مستقیم به Volume
Direct Volume Accessتوضیحات
مهاجمان مستقیماً به volumeهای دیسک دسترسی پیدا میکنند تا از مکانیزمهای دسترسی فایل سیستمعامل عبور کنند. با دسترسی مستقیم به volume، مهاجمان میتوانند فایلهایی که توسط سیستمعامل قفل شدهاند را بخوانند، از آنتیویروس فرار کنند و آثار فعالیت خود را پنهان کنند.
روشهای شناسایی
نظارت بر دسترسی مستقیم به volume. شناسایی استفاده از APIهای سطح پایین دیسک. بررسی دسترسی به deviceهای raw disk. استفاده از EDR.
روشهای مقابله
محدود کردن دسترسی به deviceهای raw disk. پیادهسازی حداقل سطح دسترسی. نظارت بر دسترسی volume. استفاده از BitLocker. بهروزرسانی ویندوز.