# DS0001 — Firmware ## Descrição Firmware é o software de baixo nível que fornece controle direto sobre o hardware e dispositivos de um host, como BIOS ou UEFI/EFI. Diferentemente do sistema operacional ou aplicações, o firmware opera abaixo do kernel e persiste mesmo após formatação de disco ou reinstalação do sistema operacional, tornando-o um vetor de ataque extremamente persistente e difícil de detectar. A importância desta fonte de dados para detecção reside justamente na sua natureza invisível para ferramentas de segurança convencionais. Adversários sofisticados — especialmente grupos de espionagem patrocinados por estados — exploram o firmware para implantar rootkits que sobrevivem a qualquer reinstalação de software. Monitorar modificações em firmware de UEFI, BIOS, periféricos (controladores de rede, teclados, armazenamento) e firmware de dispositivos de rede representa uma capacidade de detecção avançada capaz de revelar comprometimentos que passariam completamente despercebidos por soluções de segurança tradicionais. No contexto LATAM, ataques ao firmware têm sido documentados em campanhas de espionagem contra governos, telecomúnicações e setor financeiro. A coleta desta fonte requer maturidade técnica elevada, mas é essencial para organizações que lidam com dados sensíveis e são alvos prováveis de atores com capacidade de ameaça avançada. ## Visão Geral **Principais gaps identificados:** 1. **Ausência de baseline de firmware:** A maioria das organizações nunca documenta as versões de firmware dos dispositivos, impossibilitando detecção por desvio de baseline. 2. **UEFI sem Secure Boot habilitado:** Mesmo em hardware compatível, Secure Boot frequentemente está desabilitado por problemas de compatibilidade com softwares legados, especialmente em ambientes industriais (ICS/SCADA) e governo. 3. **Ausência de CHIPSEC ou equivalente:** Poucos SOCs brasileiros executam varreduras periódicas de integridade de firmware. O CHIPSEC tem uso quase nulo fora de grandes bancos e telcos. 4. **Cobertura limitada em dispositivos de rede:** Roteadores, switches e firewalls raramente têm seu firmware monitorado, representando superfície de ataque significativa — especialmente relevante dado o uso de equipamentos Cisco, Juniper e Fortinet em infraestruturas críticas brasileiras. 5. **Recomendações para contexto LATAM:** - Implementar inventário de firmware com `fwupdmgr` e `dmidecode` como ponto de partida de baixo custo - Habilitar CHIPSEC em amostragem mensal nos ativos mais críticos - Priorizar monitoramento de firmware em dispositivos de borda (firewalls, VPN concentrators) - Incluir verificação de versão de firmware em processos de vulnerability management ## Pipeline de Coleta ```mermaid graph TB A["🖥️ Hardware — UEFI/BIOS<br/>Periféricos, NICs, HDD"] --> B["🔐 TPM 2.0<br/>Medições PCR / Secure Boot"] A --> C["🔧 CHIPSEC / fwupdmgr<br/>Leitura de imagem de firmware"] B --> D["📋 Windows Event Log<br/>EID 1796, 7040, 19 (TPM)"] C --> D D --> E["📡 WEF / Agente SIEM<br/>Coleta centralizada"] E --> F["🗄️ SIEM<br/>Sentinel · Splunk · Elastic"] F --> G["🚨 Alerta<br/>Desvio de baseline<br/>de firmware"] ``` ## Componentes de Dados | Componente | ID | Descrição | |---|---|---| | Firmware Modification | [[dc0004-firmware-modification\|DC0004]] | Alterações detectadas em imagens de firmware de UEFI/BIOS ou periféricos | ## Como Coletar ### Windows — Plataformas e Ferramentas **UEFI/BIOS Integrity Monitoring:** - **Trusted Platform Module (TPM):** Utilizar medições PCR (Platform Configuration Registers) para detectar alterações no boot chain. TPM 2.0 disponível nativamente no Windows 11 e requerido para Secure Boot. - **Windows Secure Boot:** Verificar integridade via `Confirm-SecureBootUEFI` (PowerShell) e monitorar eventos do Windows Event Log relacionados ao boot. - **Microsoft Defender Credential Guard / System Guard:** Ativar proteção baseada em virtualização (VBS) que inclui integridade do firmware no boot. **Event IDs Relevantes (Windows):** | Event ID | Source | Descrição | |---|---|---| | 12 | Kernel-General | Boot de sistema — linha de base do estado do firmware | | 19 | Microsoft-Windows-TPM-WMI | Medição PCR alterada | | 1796 | Microsoft-Windows-Kernel-Boot | Falha de Secure Boot | | 7040 | System | Alteração de serviço relacionado a boot | **Ferramentas de terceiros:** - **CHIPSEC:** Framework open-source da Intel para análise de segurança de firmware e plataforma. Detecta rootkits UEFI, backdoors em SMM (System Management Mode) e misconfigurações. - **VirusBulletin / ESET UEFI Scanner:** Scan dedicado para detecção de implantes UEFI. - **Binarly:** Plataforma SaaS especializada em análise de firmware com base em dados de CVEs de firmware. ### Linux — Coleta via Auditd e Ferramentas ```bash # Monitorar acesso a dispositivos de firmware via auditd -a always,exit -F arch=b64 -S ioctl -F path=/dev/sda -k firmware_access -w /sys/firmware/ -p rwa -k firmware_modification -w /boot/efi/ -p rwa -k uefi_modification ``` **Ferramentas complementares:** - `dmidecode` — leitura de tabelas DMI/SMBIOS para baseline do firmware instalado - `fwupdmgr` (Linux Vendor Firmware Service) — monitorar atualizações e versões de firmware - `flashrom` — leitura/escrita de chips de ROM; qualquer execução não autorizada deve gerar alerta ### SIEM — Integração | SIEM | Método | Observações | |---|---|---| | **Microsoft Sentinel** | Microsoft Defender for Endpoint (MDE) — Advanced Hunting `DeviceEvents` com `ActionType` = `FirmwareProtectionChange` | Requer licença MDE P2 | | **Splunk** | `WinEventLog:Security` + CHIPSEC outputs via scripted input | Parser customizado necessário | | **Elastic (ECS)** | Auditbeat com módulo `system` + custom ingest pipeline para `/sys/firmware` | Disponível no Elastic Agent policy | | **CrowdStrike Falcon** | Módulo de Device Control + firmware telemetry nativa | Cobertura mais ampla para endpoints gerenciados | ## Técnicas Detectadas Esta fonte de dados é especialmente relevante para detectar técnicas de persistência e evasão de defesa relacionadas ao firmware: | Técnica | Descrição | |---|---| | [[t1542-pre-os-boot\|T1542 — Pre-OS Boot]] | Modificação de firmware para execução antes do carregamento do SO | | [[t1542-001-system-firmware\|T1542.001 — System Firmware]] | Implantes diretos no UEFI/BIOS (ex: LoJáx, MoonBounce, CosmicStrand) | | [[t1542-002-component-firmware\|T1542.002 — Component Firmware]] | Firmware malicioso em periféricos (HDD controllers, NICs, teclados USB) | | [[t1542-003-bootkit\|T1542.003 — Bootkit]] | Bootkits que modificam MBR/VBR para persistência pré-OS | | [[t1601-modify-system-image\|T1601 — Modify System Image]] | Modificação de imagens de firmware em roteadores e dispositivos de rede | ## Gaps de Cobertura Brasil/LATAM **Lacunas mais comuns em organizações brasileiras:** > [!warning] Gap Crítico — Hardware Legado > Grande parte das organizações brasileiras, especialmente no setor público e PMEs, opera com hardware sem suporte a TPM 2.0 ou Secure Boot, eliminando as camadas de detecção mais eficazes para ameaças de firmware. ## Referências - [[_application\|Data Components — Application]] — inclui [[dc0004-firmware-modification\|DC0004 — Firmware Modification]] - [[m1046-boot-integrity\|M1046 — Boot Integrity]] — mitigação primária para ameaças de firmware - [[m1051-update-software\|M1051 — Updaté Software]] — atualização regular de firmware como controle preventivo - [[t1542-pre-os-boot\|T1542 — Pre-OS Boot]] — técnica principal detectada por esta fonte - [[t1542-001-system-firmware\|T1542.001 — System Firmware]] — implantes UEFI/BIOS - [[m1034-limit-hardware-installation\|M1034 — Limit Hardware Installation]] — redução de superfície de ataque via periféricos --- *Fonte: [MITRE ATT&CK — DS0001](https://attack.mitre.org/datasources/DS0001)*