T1542.005
بوت TFTP
TFTP Bootتوضیحات
مهاجمان پیکربندی دستگاههای شبکه را تغییر میدهند تا سیستمعامل از یک سرور TFTP مخرب بارگذاری شود. این تکنیک به مهاجمان اجازه میدهد سیستمعامل دستگاه را با نسخه آلوده جایگزین کنند.
روشهای شناسایی
نظارت بر ترافیک TFTP. بررسی پیکربندی boot دستگاههای شبکه. شناسایی تغییرات در boot server. تحلیل لاگهای دستگاههای شبکه.
روشهای مقابله
محدود کردن ترافیک TFTP. نظارت بر پیکربندی boot. استفاده از Secure Boot. محدود کردن دسترسی به تغییر پیکربندی. بررسی منظم تنظیمات boot.
تکنیک اصلی
T1542Pre-OS Boot
بوت قبل از سیستمعامل
مهاجمان از مکانیزمهای بوت قبل از سیستمعامل برای ایجاد پایداری سوءاستفاده میکنند. با نصب بدافزار در firmware یا bootloader، مهاجمان میتوانند قبل از بارگذاری سیستمعامل کد اجرا کنند و از اکثر ابزارهای امنیتی مبتنی بر OS فرار کنند. این سطح از پایداری بسیار دشوار برای شناسایی و حذف است.