T1542.004

ROMMONkit

توضیحات

مهاجمان ROM Monitor (ROMMON) دستگاه‌های شبکه Cisco را با firmware غیرمجاز جایگزین می‌کنند. ROMMON یک محیط بوت پایه برای دستگاه‌های Cisco است. با تغییر ROMMON، مهاجمان می‌توانند پایداری عمیقی در دستگاه‌های شبکه ایجاد کنند.

روش‌های شناسایی

بررسی یکپارچگی ROMMON. نظارت بر به‌روزرسانی firmware دستگاه‌های شبکه. استفاده از Cisco Secure Boot. تحلیل لاگ‌های دستگاه‌های شبکه.

روش‌های مقابله

فعال‌سازی Cisco Secure Boot. به‌روزرسانی firmware از منابع معتبر. محدود کردن دسترسی فیزیکی و مدیریتی. بررسی منظم یکپارچگی firmware. استفاده از AAA.

تکنیک اصلی

T1542Pre-OS Boot

بوت قبل از سیستم‌عامل

مهاجمان از مکانیزم‌های بوت قبل از سیستم‌عامل برای ایجاد پایداری سوءاستفاده می‌کنند. با نصب بدافزار در firmware یا bootloader، مهاجمان می‌توانند قبل از بارگذاری سیستم‌عامل کد اجرا کنند و از اکثر ابزارهای امنیتی مبتنی بر OS فرار کنند. این سطح از پایداری بسیار دشوار برای شناسایی و حذف است.

سایر زیرتکنیک‌ها (4)

T1542.001 · firmware سیستم T1542.002 · firmware کامپوننت T1542.003 · Bootkit T1542.005 · بوت TFTP