数据销毁

对手可能会销毁特定系统或网络上大量系统上的数据和文件，以中断系统、服务和网络资源的可用性。数据销毁可能通过覆盖本地和远程驱动器上的文件或数据，使存储的数据无法通过法医技术恢复。(引用: Symantec Shamoon 2012)(引用: FireEye Shamoon Nov 2016)(引用: Palo Alto Shamoon Nov 2016)(引用: Kaspersky StoneDrill 2017)(引用: Unit 42 Shamoon3 2018)(引用: Talos Olympic Destroyer 2018) 常见的操作系统文件删除命令如 del 和 rm 通常只删除文件的指针，而不擦除文件的内容，使文件可以通过适当的法医方法恢复。这种行为与 磁盘内容擦除 和 磁盘结构擦除 不同，因为单个文件被销毁，而不是存储磁盘的部分或磁盘的逻辑结构。 对手可能会尝试用随机生成的数据覆盖文件和目录，使其无法恢复。(引用: Kaspersky StoneDrill 2017)(引用: Unit 42 Shamoon3 2018) 在某些情况下，政治导向的图像文件已被用来覆盖数据。(引用: FireEye Shamoon Nov 2016)(引用: Palo Alto Shamoon Nov 2016)(引用: Kaspersky StoneDrill 2017) 为了最大限度地影响目标组织，在网络范围内中断可用性的操作中，设计用于销毁数据的恶意软件可能具有类似蠕虫的功能，通过利用其他技术如 有效账户、操作系统凭据转储 和 SMB/Windows 管理共享 在网络中传播。(引用: Symantec Shamoon 2012)(引用: FireEye Shamoon Nov 2016)(引用: Palo Alto Shamoon Nov 2016)(引用: Kaspersky StoneDrill 2017)(引用: Talos Olympic Destroyer 2018) 在云环境中，对手可能利用访问权限删除云存储对象、机器映像、数据库实例和其他对操作至关重要的基础设施，以损害组织或其客户。(引用: Data Destruction - Threat Post)(引用: DOJ - Cisco Insider)