# AN1036 — Analytic 1036 ## Descrição Este analítico detecta adulteração de hardware ou firmware em Linux correlacionando logs de boot do sistema, mudanças de inventário de hardware, falhas de verificação de Secure Boot/firmware e imagens de firmware de novos dispositivos carregados de fontes não aprovadas, identificando desvios do baseline de integridade estabelecido. A telemetria utilizada inclui logs do systemd-journal para falhas de verificação de assinatura de boot, eventos de auditd para modificações em `/boot/` e `/efi/`, saída do `fwupdmgr` para atualizações de firmware não autorizadas e comparação de inventário via `dmidecode` contra o baseline. A detecção é importante para servidores Linux de alta segurança em data centers, onde implantes UEFI e modificações de bootloader são técnicas de persistência usadas por APTs de estado-nação para sobreviver a formatações e reinstalações de SO. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN1036](https://attack.mitre.org/detectionstrategies/DET0368#AN1036)*