بوت قبل از سیستمعامل
Pre-OS Bootتوضیحات
مهاجمان از مکانیزمهای بوت قبل از سیستمعامل برای ایجاد پایداری سوءاستفاده میکنند. با نصب بدافزار در firmware یا bootloader، مهاجمان میتوانند قبل از بارگذاری سیستمعامل کد اجرا کنند و از اکثر ابزارهای امنیتی مبتنی بر OS فرار کنند. این سطح از پایداری بسیار دشوار برای شناسایی و حذف است.
زیرتکنیکها (5)
مهاجمان firmware سیستم مانند BIOS و UEFI را تغییر میدهند تا پایداری در سطح پایینتر از سیستمعامل ایجاد کنند. بدافزار firmware میتواند حتی پس از نصب مجدد سیستمعامل باقی بماند. گروههایی مانند Equation Group از این تکنیک استفاده کردهاند.
مهاجمان firmware کامپوننتهای سختافزاری مانند هارد دیسک، کارت شبکه و سایر دستگاههای جانبی را تغییر میدهند. firmware کامپوننت میتواند برای ذخیره payloadهای مخرب در مناطقی که توسط سیستمعامل قابل دسترسی نیستند استفاده شود.
مهاجمان Master Boot Record (MBR) یا Volume Boot Record (VBR) را با کد مخرب جایگزین میکنند. Bootkitها قبل از بارگذاری سیستمعامل اجرا میشوند و میتوانند سیستمعامل را تغییر دهند، rootkit نصب کنند و از اکثر ابزارهای امنیتی فرار کنند.
مهاجمان ROM Monitor (ROMMON) دستگاههای شبکه Cisco را با firmware غیرمجاز جایگزین میکنند. ROMMON یک محیط بوت پایه برای دستگاههای Cisco است. با تغییر ROMMON، مهاجمان میتوانند پایداری عمیقی در دستگاههای شبکه ایجاد کنند.
روشهای شناسایی
استفاده از ابزارهای بررسی یکپارچگی firmware. نظارت بر تغییرات BIOS/UEFI. استفاده از TPM برای تأیید بوت. بررسی لاگهای Secure Boot.
روشهای مقابله
فعالسازی Secure Boot. استفاده از TPM. بهروزرسانی firmware. محدود کردن دسترسی به تنظیمات BIOS/UEFI. پیادهسازی Boot Integrity.