# AN0916 — Analytic 0916 ## Descrição Este analytic detecta interações anômalas com drivers e firmware, incluindo atualizações de firmware não assinadas ou inesperadas, carregamentos de driver vinculados a componentes de hardware e uso suspeito de APIs privilegiadas para leitura/escrita de firmware ou memória de controlador. A telemetria inclui eventos de carregamento de driver do Windows (Event ID 6, Sysmon), logs de atualização de firmware e alertas de UEFI Secure Boot. A manipulação de firmware é uma das técnicas de persistência mais avançadas, utilizada por APTs de nação-estado para sobreviver a reinstalações do sistema operacional e formatações de disco, tornando a detecção de anomalias nessa camada fundamental para organizações de alta criticidade. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1542-001-system-firmware|T1542.001 — System Firmware]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1553-006-code-signing-policy-modification|T1553.006 — Code Signing Policy Modification]] --- *Fonte: [MITRE ATT&CK — AN0916](https://attack.mitre.org/detectionstrategies/DET0323#AN0916)*