# AN0475 — Analytic 0475 ## Descrição Detecta acesso direto de escrita a `/dev/mem` ou `/sys/firmware` combinado com uso de utilitários de flash de firmware como `flashrom`, indicando tentativa de modificação maliciosa de firmware em nível de hardware em sistemas Linux. A telemetria necessária inclui auditd com monitoramento de acesso a `/dev/mem`, `/sys/firmware/efi/` e execução de ferramentas de firmware, logs do kernel para operações de escrita em memória física e alertas para execução de `flashrom` ou ferramentas similares por processos não relacionados à gestão de hardware. Essa detecção é relevante em servidores Linux bare-metal de alta criticidade, onde implantes de firmware podem fornecer persistência ultrapersistente e capacidade de bypass de controles de segurança de nível de SO implementados em ambientes de alta segurança. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1542-001-pre-os-boot-system-firmware|T1542.001 — System Firmware]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0475](https://attack.mitre.org/detectionstrategies/DET0167#AN0475)*