# AN1035 — Analytic 1035 ## Descrição Este analítico detecta adulteração de hardware ou firmware no Windows via telemetria anômala de status do host, identificando mudanças inesperadas de versão em componentes pré-OS ou firmware, falhas de assinatura, caminhos de boot modificados e execuções de processos a partir de firmware alterado ou drivers desconhecidos após o boot. A telemetria utilizada inclui eventos de integridade de firmware do Windows Security Center, logs do TPM, eventos de verificação de Secure Boot (EID 4612) e registros de inventário de hardware via Microsoft Endpoint Configuration Manager ou SCCM. Esta detecção é crítica para identificar implantes de firmware avançados — como o implante CosmicStrand descoberto em 2022 e Unified Extensible Firmware Interface (UEFI) implants do Lazarus Group — que sobrevivem a reinstalações do sistema operacional. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN1035](https://attack.mitre.org/detectionstrategies/DET0368#AN1035)*