# AN0275 — Analytic 0275 ## Descrição Esta analítica detecta operações de escrita inesperadas em regiões de firmware BIOS/UEFI ou partições de boot EFI que não correspondem a atualizações legítimas de firmware do fornecedor, incluindo chamadas de API ou utilitários como `fwupdaté.exe` executados a partir de contas não administrativas ou não pertencentes ao gerenciamento de TI. A telemetria inclui eventos de acesso a disco raw em partições GUID de firmware do sistema e alertas de EDR para gravações em regiões de firmware protegidas. Esta detecção é crítica pois bootkits como CosmicStrand e LoJáx persistem em firmware UEFI, sobrevivendo a reinstalações do sistema operacional. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1542-001-system-firmware|T1542.001 — System Firmware]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN0275](https://attack.mitre.org/detectionstrategies/DET0099#AN0275)*