Матрица MITRE ATT&CK

Техника на mitre.org

T1542.001: Прошивка системы

Для закрепления в системе злоумышленники могут модифицировать ее прошивку. BIOS (Basic Input/Output System), Unified Extensible Firmware Interface (UEFI) и Extensible Firmware Interface (EFI) являются примерами системных прошивок, которые работают как программный интерфейс между операционной системой и аппаратным обеспечением компьютера.

Системные прошивки, такие как BIOS, UEFI и EFI, обеспечивают функционирование компьютера и могут быть изменены злоумышленником для выполнения вредоносных действий или во вспомогательных целях. Существуют возможности для перезаписи встроенных прошивок систем, и продвинутые злоумышленники могут воспользоваться этим для установки вредоносных обновлений прошивки в качестве средства закрепления в системе. Обнаружить такое средство может быть весьма трудно.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

ID	DS0001	Источник и компонент данных	Прошивка: Изменение прошивки	Описание	Отслеживайте изменения в прошивке . Делайте дампы и проверяйте образы BIOS на уязвимых системах, сравнивая их с известными надежными образами . Анализируйте различия, чтобы определить, не появились ли вредоносные изменения. Фиксируйте в журнале попытки чтения/записи данных в BIOS и сравнивайте их с известным поведением исправлений. Аналогичным образом можно собрать модули EFI и сравнить их с известным списком надежных исполняемых бинарных файлов EFI, чтобы обнаружить потенциально вредоносные модули. Для анализа прошивок на предмет наличия в них изменений можно использовать фреймворк CHIPSEC .

ID	Источник и компонент данных	Описание
DS0001	Прошивка: Изменение прошивки	Отслеживайте изменения в прошивке . Делайте дампы и проверяйте образы BIOS на уязвимых системах, сравнивая их с известными надежными образами . Анализируйте различия, чтобы определить, не появились ли вредоносные изменения. Фиксируйте в журнале попытки чтения/записи данных в BIOS и сравнивайте их с известным поведением исправлений. Аналогичным образом можно собрать модули EFI и сравнить их с известным списком надежных исполняемых бинарных файлов EFI, чтобы обнаружить потенциально вредоносные модули. Для анализа прошивок на предмет наличия в них изменений можно использовать фреймворк CHIPSEC .

Меры противодействия

ID	M1051	Название	Обновление ПО	Описание	Внесите необходимые исправления в BIOS и EFI.

ID	M1046	Название	Проверка целостности загрузки	Описание	Проверьте целостность прошивок BIOS или EFI, чтобы определить, мог ли злоумышленник изменить их. Используйте доверенные платформенные модули (TPM) . Перенесите корень доверия системы на аппаратное обеспечение, чтобы предотвратить вмешательство во флэш-память SPI. В этом могут помочь такие технологии, как Intel Boot Guard .

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Предотвратите доступ злоумышленника к привилегированным учетным записям или доступ, необходимый для выполнения этой техники.

ID	Название	Описание
M1051	Обновление ПО	Внесите необходимые исправления в BIOS и EFI.
M1046	Проверка целостности загрузки	Проверьте целостность прошивок BIOS или EFI, чтобы определить, мог ли злоумышленник изменить их. Используйте доверенные платформенные модули (TPM) . Перенесите корень доверия системы на аппаратное обеспечение, чтобы предотвратить вмешательство во флэш-память SPI. В этом могут помочь такие технологии, как Intel Boot Guard .
M1026	Управление привилегированными учетными записями	Предотвратите доступ злоумышленника к привилегированным учетным записям или доступ, необходимый для выполнения этой техники.