T1542.004: ROMMONkit
Злоумышленники могут эксплуатировать ПО ROM Monitor (ROMMON), загружая неавторизованные прошивки с вредоносным кодом, чтобы обеспечить постоянный доступ к системе и скрытно вмешиваться в работу устройства .
ROMMON — это встроенное ПО сетевых устройств Cisco, которое работает в качестве загрузчика, загрузочного образа или вспомогательного загрузчика и осуществляет инициализацию аппаратного и программного обеспечения при включении или перезагрузке платформы. Аналогично технике Загрузка по TFTP злоумышленник может внедрить вредоносный код в образ ROMMON локально или удаленно (например, через TFTP) и перезагрузить устройство, чтобы перезаписать существующий образ ROMMON. Это дает злоумышленникам возможность изменить ROMMON и закрепиться в системе таким образом, что обнаружить это будет сложно.
Способы обнаружения
ID | DS0001 | Источник и компонент данных | Прошивка: Изменение прошивки | Описание | У специалистов по защите нет документированных способов обнаружить работу ПО ROMMON, кроме решений, предлагаемых производителем оборудования. Если есть подозрения, что сетевое устройство скомпрометировано, обратитесь к поставщику за помощью в дальнейшем расследовании инцидента. |
---|
Меры противодействия
ID | M1046 | Название | Проверка целостности загрузки | Описание | Включите функции безопасной загрузки, проверяющие цифровую подпись загрузочной среды и образа системы с помощью специального физического устройства. Если проверка прошла неудачно, устройство не загрузится, предотвращая загрузку несанкционированного программного обеспечения . |
---|
ID | M1047 | Название | Аудит | Описание | Периодически проверяйте целостность образа системы, чтобы убедиться, что он не был изменен . |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для идентификации трафика определенных протоколов, таких как TFTP, могут использоваться для защиты от связанной с этим трафиком активности на сетевом уровне. Подписи часто служат для уникальных индикаторов в протоколах и могут быть основаны на специфической технике, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных конфигурациях сети. |
---|