T1542.004: ROMMONkit

Злоумышленники могут эксплуатировать ПО ROM Monitor (ROMMON), загружая неавторизованные прошивки с вредоносным кодом, чтобы обеспечить постоянный доступ к системе и скрытно вмешиваться в работу устройства .

ROMMON — это встроенное ПО сетевых устройств Cisco, которое работает в качестве загрузчика, загрузочного образа или вспомогательного загрузчика и осуществляет инициализацию аппаратного и программного обеспечения при включении или перезагрузке платформы. Аналогично технике Загрузка по TFTP злоумышленник может внедрить вредоносный код в образ ROMMON локально или удаленно (например, через TFTP) и перезагрузить устройство, чтобы перезаписать существующий образ ROMMON. Это дает злоумышленникам возможность изменить ROMMON и закрепиться в системе таким образом, что обнаружить это будет сложно.

Способы обнаружения

IDDS0001Источник и компонент данныхПрошивка: Изменение прошивкиОписание

У специалистов по защите нет документированных способов обнаружить работу ПО ROMMON, кроме решений, предлагаемых производителем оборудования. Если есть подозрения, что сетевое устройство скомпрометировано, обратитесь к поставщику за помощью в дальнейшем расследовании инцидента.

Меры противодействия

IDM1046НазваниеПроверка целостности загрузкиОписание

Включите функции безопасной загрузки, проверяющие цифровую подпись загрузочной среды и образа системы с помощью специального физического устройства. Если проверка прошла неудачно, устройство не загрузится, предотвращая загрузку несанкционированного программного обеспечения .

IDM1047НазваниеАудитОписание

Периодически проверяйте целостность образа системы, чтобы убедиться, что он не был изменен .

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для идентификации трафика определенных протоколов, таких как TFTP, могут использоваться для защиты от связанной с этим трафиком активности на сетевом уровне. Подписи часто служат для уникальных индикаторов в протоколах и могут быть основаны на специфической технике, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных конфигурациях сети.