T1542: Загрузка раньше ОС
Злоумышленники могут использовать возможности и функции ПО, загружаемого раньше операционной системы, для закрепления в системе. В процессе загрузки компьютера прошивка и различные автоматически запускаемые службы загружаются раньше операционной системы. Эти программы осуществляют управление потоком исполнения до того, как это управление возьмет на себя операционная система.
Злоумышленники могут перезаписать данные в загрузочных драйверах или ПО прошивки, например BIOS (Basic Input/Output System) и Unified Extensible Firmware Interface (UEFI), чтобы закрепиться в системе на уровне ниже ОС. Выявить такое закрепление бывает особенно сложно, поскольку вредоносные программы такого уровня не обнаруживаются программными средствами защиты хоста.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен детектировать и разбирать протокол TFTP, который в основном используется для первоначальной загрузки файла прошивки устройством по сети.
Примеры фильтров PT NAD
- app_proto == "tftp"
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0001 | Источник и компонент данных | Прошивка: Изменение прошивки | Описание | У специалистов по защите нет документированных способов обнаружить работу ПО ROMMON, кроме решений, предлагаемых производителем оборудования. Если есть подозрения, что сетевое устройство скомпрометировано, обратитесь к поставщику за помощью в дальнейшем расследовании инцидента. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно созданные конфигурации сетевых устройств и образы системы, сравнивая их известными надежными версиями — это позволит обнаружить несанкционированные изменения в порядке загрузке системы, конфигурации запуска или работающей ОС Для этого можно также выполнять сравнение с динамически выделяемой памятью, но это довольно сложная задача, которая может потребовать привлечения поставщика. |
---|
ID | DS0016 | Источник и компонент данных | Накопитель: Изменения в накопителе | Описание | Динамически отслеживайте изменения в MBR и VBR и анализируйте их на предмет подозрительной активности. Делайте снапшоты MBR и VBR и сравнивайте их с известными надежными образами. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых можно использовать возможности и функции ПО, загружаемого раньше операционной системы, для закрепления в системе. Проверка диска, утилиты криминалистического анализа и данные драйверов устройств (то есть вызовы API) могут выявить аномалии, требующие более глубокого исследования . |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте запущенные команды и их аргументы через историю команд, сохраненную в самой консоли или в оперативной памяти, чтобы выявить изменения конфигурации устройства, выполненные с помощью несанкционированных или подозрительных команд. |
---|
ID | DS0027 | Источник и компонент данных | Драйвер: Метаданные драйвера | Описание | Проверка диска, утилиты криминалистического анализа и данные драйверов устройств (то есть процессы и вызовы API) могут выявить аномалии, требующие более глубокого исследования. |
---|
Меры противодействия
ID | M1035 | Название | Ограничение доступа к ресурсам по сети | Описание | Ограничьте использование протоколов без механизмов шифрования и аутентификации. Ограничьте доступ к интерфейсам администрирования и управления из ненадежных сетевых источников. |
---|
ID | M1047 | Название | Аудит | Описание | Периодически проверяйте целостность образа системы, чтобы убедиться, что он не был изменен . |
---|
ID | M1051 | Название | Обновление ПО | Описание | Регулярно обновляйте встроенное программное обеспечение, чтобы снизить риск эксплуатации и (или) злоупотреблений. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Проследите, чтобы были в наличии соответствующие разрешения, чтобы предотвратить доступ злоумышленника к привилегированным учетным записям, необходимым для установки буткита. |
---|
ID | M1046 | Название | Проверка целостности загрузки | Описание | Включите функции безопасной загрузки для проверки цифровой подписи загрузочной среды и образа системы с помощью специального аппаратного устройства. Если проверка прошла неудачно, устройство не загрузится, предотвращая загрузку несанкционированного программного обеспечения . |
---|