T1542.003

Bootkit

توضیحات

مهاجمان Master Boot Record (MBR) یا Volume Boot Record (VBR) را با کد مخرب جایگزین می‌کنند. Bootkit‌ها قبل از بارگذاری سیستم‌عامل اجرا می‌شوند و می‌توانند سیستم‌عامل را تغییر دهند، rootkit نصب کنند و از اکثر ابزارهای امنیتی فرار کنند.

روش‌های شناسایی

بررسی یکپارچگی MBR و VBR. استفاده از ابزارهای تشخیص bootkit. نظارت بر تغییرات در بخش‌های بوت. استفاده از Secure Boot.

روش‌های مقابله

فعال‌سازی Secure Boot. استفاده از TPM. پیاده‌سازی Boot Integrity. محدود کردن دسترسی به بخش‌های بوت. استفاده از ابزارهای بررسی MBR.

تکنیک اصلی

T1542Pre-OS Boot

بوت قبل از سیستم‌عامل

مهاجمان از مکانیزم‌های بوت قبل از سیستم‌عامل برای ایجاد پایداری سوءاستفاده می‌کنند. با نصب بدافزار در firmware یا bootloader، مهاجمان می‌توانند قبل از بارگذاری سیستم‌عامل کد اجرا کنند و از اکثر ابزارهای امنیتی مبتنی بر OS فرار کنند. این سطح از پایداری بسیار دشوار برای شناسایی و حذف است.

سایر زیرتکنیک‌ها (4)

T1542.001 · firmware سیستم T1542.002 · firmware کامپوننت T1542.004 · ROMMONkit T1542.005 · بوت TFTP