# AN0474 — Analytic 0474 ## Descrição Detecta utilitário de flash de firmware invocado com privilégios elevados seguido de acesso bruto ao caminho de dispositivo de firmware ou alterações na configuração de boot. A telemetria necessária inclui logs Sysmon de criação de processos para identificar utilitários de atualização de firmware (como `FWUpdLcl.exe`, `fptw.exe` ou ferramentas de OEM), monitoramento de acesso a drivers de firmware e alertas para acesso à EFI System Partition ou BIOS fora de janelas de atualização aprovadas. Essa detecção é crítica para identificar ataques de firmware que instalam implantes persistentes no nível de UEFI/BIOS — como o LoJáx da APT28 — que sobrevivem a reinstalações completas do sistema operacional e são extremamente difíceis de remover sem substituição de hardware. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1542-001-pre-os-boot-system-firmware|T1542.001 — System Firmware]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0474](https://attack.mitre.org/detectionstrategies/DET0167#AN0474)*