Обнаружение локального хранилища

Злоумышленники могут перечислять локальные диски, дисковые устройства и/или тома и их атрибуты, такие как общий или свободный объем и серийный номер тома. Это может быть сделано для подготовки к шифрованию, связанному с программой-вымогателем, для выполнения Горизонтального перемещения или в качестве предшественника Прямого доступа к тому. В системах ESXi злоумышленники могут использовать команды CLI гипервизора, такие как `esxcli`, для перечисления хранилища, подключенного к хосту, а также файлов `.vmdk`. В системах Windows злоумышленники могут использовать `wmic logicaldisk get` для поиска информации о локальных сетевых дисках. Они также могут использовать `Get-PSDrive` в PowerShell для получения дисков и дополнительно могут использовать функции Windows API, такие как `GetDriveType`. Linux имеет команды, такие как `parted`, `lsblk`, `fdisk`, `lshw` и `df`, которые могут перечислять информацию о разделах дисков, такую как размер, тип, типы файловых систем и свободное пространство. Команда `diskutil` в macOS может использоваться для перечисления дисков, в то время как `system_profiler SPStorageDataType` может дополнительно показывать информацию, такую как путь монтирования тома, файловую систему и тип диска в системе. Облачные провайдеры инфраструктуры как услуги (IaaS) также имеют команды для обнаружения хранилища, такие как `describe volume` в AWS, `gcloud compute disks list` в GCP и `az disk list` в Azure.