T1542.003: Буткит

Злоумышленники могут использовать буткиты для закрепления в системе. Буткиты находятся на более низком уровне, чем операционная система, и могут затруднить полное восстановление после атаки, если организация не подозревает об их наличии и не может принять соответствующие меры.

Буткит — это вариант вредоносного ПО, которое модифицирует загрузочные сектора жесткого диска, включая главную загрузочную запись (MBR) и загрузочную запись тома (VBR) . MBR — это раздел диска, который загружается первым после завершения аппаратной инициализации BIOS. В нем располагается загрузчик. Злоумышленник, имеющий прямой доступ к загрузочному диску, может перезаписать эту область так, чтобы во время загрузки системы выполнялся не код стандартного загрузчика, а вредоносный код .

Из MBR управление процессом загрузки передается в VBR. Как и в случае с MBR, злоумышленник, имеющий прямой доступ к загрузочному диску, может перезаписать область VBR так, чтобы во время загрузки системы выполнялся вредоносный код.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0016Источник и компонент данныхНакопитель: Изменения в накопителеОписание

Динамически отслеживайте изменения в MBR и VBR и анализируйте их на предмет подозрительной активности. Делайте снапшоты MBR и VBR и сравнивайте их с известными надежными образами.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Проследите, чтобы были установлены надлежащие разрешения, которые предотвращают доступ злоумышленников к привилегированным учетным записям, необходимым для установки буткита.

IDM1046НазваниеПроверка целостности загрузкиОписание

Используйте доверенные платформенные модули (TPM) и безопасный или доверенный процесс загрузки, чтобы предотвратить нарушение целостности системы .