T1542.001

firmware سیستم

System Firmware

توضیحات

مهاجمان firmware سیستم مانند BIOS و UEFI را تغییر می‌دهند تا پایداری در سطح پایین‌تر از سیستم‌عامل ایجاد کنند. بدافزار firmware می‌تواند حتی پس از نصب مجدد سیستم‌عامل باقی بماند. گروه‌هایی مانند Equation Group از این تکنیک استفاده کرده‌اند.

روش‌های شناسایی

استفاده از ابزارهای بررسی یکپارچگی firmware. نظارت بر به‌روزرسانی‌های firmware. استفاده از TPM برای تأیید firmware. بررسی لاگ‌های Secure Boot.

روش‌های مقابله

فعال‌سازی Secure Boot و UEFI Secure Boot. استفاده از TPM. به‌روزرسانی firmware از منابع معتبر. محدود کردن دسترسی به تنظیمات BIOS/UEFI. پیاده‌سازی Boot Integrity.

تکنیک اصلی

T1542Pre-OS Boot

بوت قبل از سیستم‌عامل

مهاجمان از مکانیزم‌های بوت قبل از سیستم‌عامل برای ایجاد پایداری سوءاستفاده می‌کنند. با نصب بدافزار در firmware یا bootloader، مهاجمان می‌توانند قبل از بارگذاری سیستم‌عامل کد اجرا کنند و از اکثر ابزارهای امنیتی مبتنی بر OS فرار کنند. این سطح از پایداری بسیار دشوار برای شناسایی و حذف است.

سایر زیرتکنیک‌ها (4)

T1542.002 · firmware کامپوننت T1542.003 · Bootkit T1542.004 · ROMMONkit T1542.005 · بوت TFTP