# AN0917 — Analytic 0917 ## Descrição Este analytic detecta o uso suspeito de chamadas `ioctl`/sysfs para acessar firmware de dispositivos, a execução inesperada de ferramentas de flashing e checksums de firmware anômalos registrados por SMART ou mecanismos de auditoria do kernel em Linux. A telemetria inclui logs de auditoria do kernel com regras para syscalls de acesso a dispositivos, registros de SMART/NVMe e alertas de integridade de firmware. Em servidores Linux, a modificação de firmware representa uma ameaça persistente de alto impacto, pois é práticamente impossível de detectar e remediar sem ferramentas especializadas, sendo utilizada por adversários para manter acesso em ambientes de alta segurança. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1542-001-system-firmware|T1542.001 — System Firmware]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0917](https://attack.mitre.org/detectionstrategies/DET0323#AN0917)*