Матрица MITRE ATT&CK

Техника на mitre.org

T1542.002: Прошивка компонентов

Злоумышленники могут модифицировать прошивку компонентов с целью закрепления в системе. Некоторые злоумышленники могут использовать продвинутые средства компрометации компонентов компьютера и установить прошивку, которая будет выполнять вредоносный код, находясь вне операционной системы, основной прошивки системы или BIOS. Эта техника может быть похожа на компрометацию прошивки системы, но применяется к другим компонентам или устройствам системы, которые могут не обладать такими же возможностями для проверки целостности прошивки.

Вредоносные прошивки компонентов могут обеспечить постоянный доступ к системе, позволяя злоумышленникам не терять доступа даже после перезаписи образа жесткого диска, а также обходить защиту ПО и проверки целостности на хосте.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API, связанные с использованием драйверов устройств и (или) предоставляемые системой мониторинга дисков SMART (Self-Monitoring, Analysis and Reporting Technology), — это может помочь в выявлении вредоносных манипуляций с компонентами. В противном случае эту технику будет трудно обнаружить, так как вредоносная активность происходит в компонентах системы, которые могут не отслеживаться механизмами безопасности и целостности ОС.

ID	DS0001	Источник и компонент данных	Прошивка: Изменение прошивки	Описание	Отслеживайте изменения, которые могут служить индикаторами наличия вредоносной прошивки, например в строках. Также по возможности сравните компоненты, в том числе их поведение и хеши прошивок, с известными надежными образами.

ID	DS0027	Источник и компонент данных	Драйвер: Метаданные драйвера	Описание	Отслеживайте нетипичные записи в таблице разделов диска или необычные секторы памяти, требующие более глубокого исследования.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API, связанные с использованием драйверов устройств и (или) предоставляемые системой мониторинга дисков SMART (Self-Monitoring, Analysis and Reporting Technology), — это может помочь в выявлении вредоносных манипуляций с компонентами. В противном случае эту технику будет трудно обнаружить, так как вредоносная активность происходит в компонентах системы, которые могут не отслеживаться механизмами безопасности и целостности ОС.
DS0001	Прошивка: Изменение прошивки	Отслеживайте изменения, которые могут служить индикаторами наличия вредоносной прошивки, например в строках. Также по возможности сравните компоненты, в том числе их поведение и хеши прошивок, с известными надежными образами.
DS0027	Драйвер: Метаданные драйвера	Отслеживайте нетипичные записи в таблице разделов диска или необычные секторы памяти, требующие более глубокого исследования.

Меры противодействия

ID	M1051	Название	Обновление ПО	Описание	Регулярно обновляйте встроенное программное обеспечение, чтобы снизить риск эксплуатации и (или) злоупотреблений.

ID	Название	Описание
M1051	Обновление ПО	Регулярно обновляйте встроенное программное обеспечение, чтобы снизить риск эксплуатации и (или) злоупотреблений.