Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Повреждение прошивки

Adversaries may overwrite or corrupt the flash memory contents of system BIOS or other firmware in devices attached to a system in order to render them inoperable or unable to boot, thus denying the availability to use the devices and/or the system.(Citation: Symantec Chernobyl W95.CIH) Firmware is software that is loaded and executed from non-volatile memory on hardware devices in order to initialize and manage device functionality. These devices may include the motherboard, hard drive, or video cards. In general, adversaries may manipulate, overwrite, or corrupt firmware in order to deny the use of the system or devices. For example, corruption of firmware responsible for loading the operating system for network devices may render the network devices inoperable.(Citation: dhs_threat_to_net_devices)(Citation: cisa_malware_orgs_ukraine) Depending on the device, this attack may also result in Data Destruction.

ID: T1495
Тактика(-и): Impact
Платформы: Linux, macOS, Network, Windows
Источники данных: Firmware: Firmware Modification
Тип влияния: Availability
Версия: 1.2
Дата создания: 12 Apr 2019
Последнее изменение: 31 Aug 2022

Примеры процедур

Название Описание
Bad Rabbit

Bad Rabbit has used an executable that installs a modified bootloader to prevent normal boot-up.(Citation: Secure List Bad Rabbit)

TrickBot

TrickBot module "Trickboot" can write or erase the UEFI/BIOS firmware of a compromised device.(Citation: Eclypsium Trickboot December 2020)

Контрмеры

Контрмера Описание
Update Software

Perform regular software updates to mitigate exploitation risk.

Privileged Account Management

Manage the creation, modification, use, and permissions associated to privileged accounts, including SYSTEM and root.

Firmware Corruption Mitigation

Prevent adversary access to privileged accounts or access necessary to perform this technique. Check the integrity of the existing BIOS and device firmware to determine if it is vulnerable to modification. Patch the BIOS and other firmware as necessary to prevent successful use of known vulnerabilities.

Boot Integrity

Use secure methods to boot a system and verify the integrity of the operating system and loading mechanisms.

Обнаружение

System firmware manipulation may be detected.(Citation: MITRE Trustworthy Firmware Measurement) Log attempts to read/write to BIOS and compare against known patching behavior.

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Закрепление злоумышленника в ОС из-за возможности модификации BIOS/UEFI в микропрограммном обеспечении
Повышение привилегий НСД
Закрепление злоумышленника в ОС
Повышение привилегий НСД
Возможность модификации BIOS/UEFI
Обход систем защиты из-за возможности модификации BIOS/UEFI в микропрограммном обеспечении
Повышение привилегий Целостность
Обход систем защиты
Повышение привилегий Целостность
Возможность модификации BIOS/UEFI
Физическое повреждение оборудования из-за возможности модификации BIOS/UEFI в микропрограммном обеспечении
Доступность Отказ в обслуживании
Физическое повреждение оборудования
Доступность Отказ в обслуживании
Возможность модификации BIOS/UEFI
Неработоспособность операционной системы из-за возможности модификации BIOS/UEFI в микропрограммном обеспечении
Доступность Отказ в обслуживании
Неработоспособность операционной системы
Доступность Отказ в обслуживании
Возможность модификации BIOS/UEFI