# AN0428 — Analytic 0428 ## Descrição Detecta acesso bruto a drives físicos, modificação de registros de boot (MBR/VBR) e criação ou alteração suspeita de arquivos dentro da EFI System Partition (ESP), correlacionando execução de processos privilegiados com modificações de baixo nível em disco e interações inesperadas com drivers ou firmware. A telemetria necessária inclui Sysmon para acesso a volumes físicos (Event ID 9), logs do Windows Security para execução com privilégios elevados e monitoramento de integridade da EFI System Partition via ferramentas de comparação de hashes. Essa detecção é essencial para identificar bootkits e implantes de pré-boot que sobrevivem a reinstalações do sistema operacional e são utilizados por grupos APT para manter acesso ultrapersistente. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1542-001-pre-os-boot-system-firmware|T1542.001 — System Firmware]] - [[t1542-003-pre-os-boot-bootkit|T1542.003 — Bootkit]] - [[t1561-001-disk-wipe-disk-content-wipe|T1561.001 — Disk Content Wipe]] --- *Fonte: [MITRE ATT&CK — AN0428](https://attack.mitre.org/detectionstrategies/DET0150#AN0428)*