Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Техника Прошивка компонентов
Каталоги
MITRE ATT@CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
EN
Риски
Каталоги
MITRE ATT&CK
Техника
Прошивка компонентов
Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Подробнее
Наш канал

Pre-OS Boot:  Прошивка компонентов

ID Название
.001 Прошивка системы
.002 Прошивка компонентов
.003 Буткит
.004 ROMMONkit
.005 Загрузка по TFTP

Adversaries may modify component firmware to persist on systems. Some adversaries may employ sophisticated means to compromise computer components and install malicious firmware that will execute adversary code outside of the operating system and main system firmware or BIOS. This technique may be similar to System Firmware but conducted upon other system components/devices that may not have the same capability or level of integrity checking. Malicious component firmware could provide both a persistent level of access to systems despite potential typical failures to maintain access and hard disk re-images, as well as a way to evade host software-based defenses and integrity checks.

ID: T1542.002
Относится к технике:  T1542
Тактика(-и): Defense Evasion, Persistence
Платформы: Linux, macOS, Windows
Требуемые разрешения: SYSTEM
Источники данных: Driver: Driver Metadata, Firmware: Firmware Modification, Process: OS API Execution
Версия: 1.1
Дата создания: 19 Dec 2019
Последнее изменение: 01 Apr 2022

Примеры процедур
Название Описание
Equation

Equation is known to have the capability to overwrite the firmware on hard drives from some manufacturers.(Citation: Kaspersky Equation QA)

Cyclops Blink

Cyclops Blink has maintained persistence by patching legitimate device firmware when it is downloaded, including that of WatchGuard devices.(Citation: NCSC Cyclops Blink February 2022)

Контрмеры
Контрмера Описание
Component Firmware Mitigation

Prevent adversary access to privileged accounts or access necessary to perform this technique. Consider removing and replacing system components suspected of being compromised.
Update Software

Perform regular software updates to mitigate exploitation risk.

Обнаружение

Data and telemetry from use of device drivers (i.e. processes and API calls) and/or provided by SMART (Self-Monitoring, Analysis and Reporting Technology) disk monitoring may reveal malicious manipulations of components.(Citation: SanDisk SMART)(Citation: SmartMontools) Otherwise, this technique may be difficult to detect since malicious activity is taking place on system components possibly outside the purview of OS security and integrity mechanisms. Disk check and forensic utilities may reveal indicators of malicious firmware such as strings, unexpected disk partition table entries, or blocks of otherwise unusual memory that warrant deeper investigation.(Citation: ITWorld Hard Disk Health Dec 2014) Also consider comparing components, including hashes of component firmware and behavior, against known good images.

Ссылки

  1. Pinola, M. (2014, December 14). 3 tools to check your hard drive's health and make sure it's not already dying on you. Retrieved October 2, 2018.
  2. smartmontools. (n.d.). smartmontools. Retrieved October 2, 2018.
  3. NCSC. (2022, February 23). Cyclops Blink Malware Analysis Report. Retrieved March 3, 2022.
  4. Kaspersky Lab's Global Research and Analysis Team. (2015, February). Equation Group: Questions and Answers. Retrieved December 21, 2015.
Навигация

Связанные риски

КЦД
STRIDE
Иное
Риск Угроза Уязвимость Тип актива Связи
Закрепление злоумышленника в ОС из-за возможности модификации BIOS/UEFI в микропрограммном обеспечении
Повышение привилегий НСД
Закрепление злоумышленника в ОС
Повышение привилегий НСД
Возможность модификации BIOS/UEFI
Микропрограммное обеспечение
Обход систем защиты из-за возможности модификации BIOS/UEFI в микропрограммном обеспечении
Повышение привилегий Целостность
Обход систем защиты
Повышение привилегий Целостность
Возможность модификации BIOS/UEFI
Микропрограммное обеспечение
Физическое повреждение оборудования из-за возможности модификации BIOS/UEFI в микропрограммном обеспечении
Доступность Отказ в обслуживании
Физическое повреждение оборудования
Доступность Отказ в обслуживании
Возможность модификации BIOS/UEFI
Микропрограммное обеспечение
Неработоспособность операционной системы из-за возможности модификации BIOS/UEFI в микропрограммном обеспечении
Доступность Отказ в обслуживании
Неработоспособность операционной системы
Доступность Отказ в обслуживании
Возможность модификации BIOS/UEFI
Микропрограммное обеспечение