# AN0775 — Analytic 0775 ## Descrição Esta analítica detecta em Linux gravações em /boot ou diretórios EFI fora de atualizações esperadas do gerenciador de pacotes, monitorando eventos de kernel e auditd para tentativas de sobrescrever binários do bootloader (grub, shim) e execução inesperada de efibootmgr ou dd gravando em dispositivos /dev/sdX seguida de alterações em parâmetros de boot. A telemetria inclui auditd com regras de monitoramento de escrita em /boot e /sys/firmware/efi, logs do kernel (dmesg) para atividade EFI anômala e logs do gerenciador de pacotes (apt/yum/dnf) para correlação de updates legítimos. A detecção é relevante para identificar implantes de bootloader em servidores Linux críticos, que são usados por grupos APT para persistência de longo prazo em alvos de alto valor. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN0775](https://attack.mitre.org/detectionstrategies/DET0278#AN0775)*