jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Direct Volume Access

Direct Volume Access

Threat-actor 3 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Monitoreo de actividad de programas: Buscar herramientas no autorizadas que tengan permisos de acceso directo a volúmenes.
  • Auditoría de cambios en el sistema de archivos: Verificar modificaciones inusuales en estructuras como el MFT (Master File Table) o el BIT (Boot Image Tree).
  • Extracción de perfiles de usuarios: Analizar si hay actividades de acceso directo a volúmenes en sesiones de usuario no autorizadas.
  • Limitar acceso directo a volúmenes: Configurar políticas de permisos para evitar que aplicaciones no autorizadas tengan acceso directo al sistema de archivos.
  • Implementar monitoreo avanzado: Utilizar herramientas de seguridad que analicen patrones de acceso a volúmenes y alerten sobre actividades anómalas.

Direct Volume Access

Descripción de la Tecnica

Direct Volume Access es una técnica utilizada por actores maliciosos para obtener acceso directo a volúmenes de almacenamiento en sistemas Windows, permitiéndoles operar sobre estructuras de archivos sin depender de controles de acceso tradicionales. Esta metodología permite a los atacantes leer y escribir datos directamente desde el sistema de archivos, evadiendo mecanismos de monitoreo y restricciones de seguridad implementadas por el SO.

¿Cómo Funciona?

La técnica permite que programas con permisos específicos accedan a volúmenes lógicos directamente, sin pasar por la tradicional cadena de acceso a archivos. Esto significa que los atacantes pueden interactuar con estructuras de datos del sistema de archivos (como el MFT en NTFS) para realizar operaciones de lectura o escritura. Este método puede superar controles de acceso Windows como File and Directory Permissions, así como herramientas de monitoreo de sistemas de archivos.

Ejemplo: Herramientas como NinjaCopy en PowerShell pueden utilizarse para implementar esta técnica, permitiendo a un atacante acceder directamente a datos del sistema sin depender de la API estándar de archivos.

Actores que la Utilizan

No se registran actores específicos o grupos conocidos que utilicen esta técnica en contextos públicos. Sin embargo, es una metodología empleada por atacantes para evadir controles de seguridad en sistemas Windows, especialmente en entornos donde los controles tradicionales no están activados.

Detección

La detección de esta técnica implica monitorear comportamientos anómalos en el sistema de archivos, como acceso directo a volúmenes sin autorización. Se puede identificar mediante:

  • Monitoreo de actividad de programas: Buscar herramientas no autorizadas que tengan permisos de acceso directo a volúmenes.
  • Auditoría de cambios en el sistema de archivos: Verificar modificaciones inusuales en estructuras como el MFT (Master File Table) o el BIT (Boot Image Tree).
  • Extracción de perfiles de usuarios: Analizar si hay actividades de acceso directo a volúmenes en sesiones de usuario no autorizadas.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar el riesgo asociado a esta técnica, se recomiendan las siguientes acciones:

  • Limitar acceso directo a volúmenes: Configurar políticas de permisos para evitar que aplicaciones no autorizadas tengan acceso directo al sistema de archivos.
  • Implementar monitoreo avanzado: Utilizar herramientas de seguridad que analicen patrones de acceso a volúmenes y alerten sobre actividades anómalas.
  • Auditoría constante: Realizar revisiones periódicas de los permisos asignados a programas y usuarios, asegurando que no haya brechas en la seguridad.
← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable