PT Network Attack Discovery

Помогает восстановить хронологию атаки, определить источник и масштаб угрозы

T1542: Загрузка раньше ОС

Злоумышленники могут использовать возможности и функции ПО, загружаемого раньше операционной системы, для закрепления в системе. В процессе загрузки компьютера прошивка и различные автоматически запускаемые службы загружаются раньше операционной системы. Эти программы осуществляют управление потоком исполнения до того, как это управление возьмет на себя операционная система.

Злоумышленники могут перезаписать данные в загрузочных драйверах или ПО прошивки, например BIOS (Basic Input/Output System) и Unified Extensible Firmware Interface (UEFI), чтобы закрепиться в системе на уровне ниже ОС. Выявить такое закрепление бывает особенно сложно, поскольку вредоносные программы такого уровня не обнаруживаются программными средствами защиты хоста.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен детектировать и разбирать протокол TFTP, который в основном используется для первоначальной загрузки файла прошивки устройством по сети.

Примеры фильтров PT NAD

  • app_proto == "tftp"

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0001Источник и компонент данныхПрошивка: Изменение прошивкиОписание

У специалистов по защите нет документированных способов обнаружить работу ПО ROMMON, кроме решений, предлагаемых производителем оборудования. Если есть подозрения, что сетевое устройство скомпрометировано, обратитесь к поставщику за помощью в дальнейшем расследовании инцидента.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные конфигурации сетевых устройств и образы системы, сравнивая их известными надежными версиями — это позволит обнаружить несанкционированные изменения в порядке загрузке системы, конфигурации запуска или работающей ОС Для этого можно также выполнять сравнение с динамически выделяемой памятью, но это довольно сложная задача, которая может потребовать привлечения поставщика.

IDDS0016Источник и компонент данныхНакопитель: Изменения в накопителеОписание

Динамически отслеживайте изменения в MBR и VBR и анализируйте их на предмет подозрительной активности. Делайте снапшоты MBR и VBR и сравнивайте их с известными надежными образами.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, с помощью которых можно использовать возможности и функции ПО, загружаемого раньше операционной системы, для закрепления в системе. Проверка диска, утилиты криминалистического анализа и данные драйверов устройств (то есть вызовы API) могут выявить аномалии, требующие более глубокого исследования .

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте запущенные команды и их аргументы через историю команд, сохраненную в самой консоли или в оперативной памяти, чтобы выявить изменения конфигурации устройства, выполненные с помощью несанкционированных или подозрительных команд.

IDDS0027Источник и компонент данныхДрайвер: Метаданные драйвераОписание

Проверка диска, утилиты криминалистического анализа и данные драйверов устройств (то есть процессы и вызовы API) могут выявить аномалии, требующие более глубокого исследования.

Меры противодействия

IDM1035НазваниеОграничение доступа к ресурсам по сетиОписание

Ограничьте использование протоколов без механизмов шифрования и аутентификации. Ограничьте доступ к интерфейсам администрирования и управления из ненадежных сетевых источников.

IDM1047НазваниеАудитОписание

Периодически проверяйте целостность образа системы, чтобы убедиться, что он не был изменен .

IDM1051НазваниеОбновление ПООписание

Регулярно обновляйте встроенное программное обеспечение, чтобы снизить риск эксплуатации и (или) злоупотреблений.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Проследите, чтобы были в наличии соответствующие разрешения, чтобы предотвратить доступ злоумышленника к привилегированным учетным записям, необходимым для установки буткита.

IDM1046НазваниеПроверка целостности загрузкиОписание

Включите функции безопасной загрузки для проверки цифровой подписи загрузочной среды и образа системы с помощью специального аппаратного устройства. Если проверка прошла неудачно, устройство не загрузится, предотвращая загрузку несанкционированного программного обеспечения .