# AN0774 — Analytic 0774 ## Descrição Esta analítica detecta modificação incomum de registros de boot (MBR, VBR) ou partições EFI não associadas a ciclos de patch legítimos, incluindo eventos WMI ou de registro associados a ferramentas de atualização de firmware executadas de processos pai inesperados e chamadas de API (DeviceIoControl) gravando diretamente em setores brutos de disco. A telemetria inclui Sysmon Event ID 13 (modificação de registro), logs de API do Windows para operações de DeviceIoControl e eventos do Sistema Operacional para mudanças na configuração de boot. A detecção é crítica para identificar bootkits e implantes de firmware como LoJáx ou MosaicRegressor, que persistem abaixo do sistema operacional e sobrevivem a reinstalações. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN0774](https://attack.mitre.org/detectionstrategies/DET0278#AN0774)*