T1542.003: Буткит
Злоумышленники могут использовать буткиты для закрепления в системе. Буткиты находятся на более низком уровне, чем операционная система, и могут затруднить полное восстановление после атаки, если организация не подозревает об их наличии и не может принять соответствующие меры.
Буткит — это вариант вредоносного ПО, которое модифицирует загрузочные сектора жесткого диска, включая главную загрузочную запись (MBR) и загрузочную запись тома (VBR) . MBR — это раздел диска, который загружается первым после завершения аппаратной инициализации BIOS. В нем располагается загрузчик. Злоумышленник, имеющий прямой доступ к загрузочному диску, может перезаписать эту область так, чтобы во время загрузки системы выполнялся не код стандартного загрузчика, а вредоносный код .
Из MBR управление процессом загрузки передается в VBR. Как и в случае с MBR, злоумышленник, имеющий прямой доступ к загрузочному диску, может перезаписать область VBR так, чтобы во время загрузки системы выполнялся вредоносный код.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0016 | Источник и компонент данных | Накопитель: Изменения в накопителе | Описание | Динамически отслеживайте изменения в MBR и VBR и анализируйте их на предмет подозрительной активности. Делайте снапшоты MBR и VBR и сравнивайте их с известными надежными образами. |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Проследите, чтобы были установлены надлежащие разрешения, которые предотвращают доступ злоумышленников к привилегированным учетным записям, необходимым для установки буткита. |
---|
ID | M1046 | Название | Проверка целостности загрузки | Описание | Используйте доверенные платформенные модули (TPM) и безопасный или доверенный процесс загрузки, чтобы предотвратить нарушение целостности системы . |
---|