# AN0429 — Analytic 0429 ## Descrição Detecta operações suspeitas de escrita em dispositivos de bloco, modificações de arquivos de bootloader (GRUB, initrd, vmlinuz) e alterações inesperadas na EFI System Partition, monitorando execução privilegiada de utilitários como `dd`, `grub-install` ou `efibootmgr` que modificam setores de boot ou entradas de loader. A telemetria necessária inclui auditd com regras para rastrear acesso a dispositivos de bloco (`/dev/sd*`, `/dev/nvme*`) e à partição EFI, monitoramento de integridade de arquivos de bootloader e alertas para execução de ferramentas de boot fora de janelas de manutenção. Essa detecção é importante porque modificações maliciosas ao bootloader Linux permitem persistência que sobrevive a reinstalações e pode ser usada para comprometer o processo de verificação de integridade do kernel (Secure Boot). **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1542-001-pre-os-boot-system-firmware|T1542.001 — System Firmware]] - [[t1542-003-pre-os-boot-bootkit|T1542.003 — Bootkit]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0429](https://attack.mitre.org/detectionstrategies/DET0150#AN0429)*