# DC0004 — Firmware Modification ## Descrição O componente de dados **Firmware Modification** detecta alterações no firmware de hardware — incluindo BIOS/UEFI, Master Boot Record (MBR), Volume Boot Record (VBR) e firmware de dispositivos de rede (roteadores, switches, dispositivos embarcados). Modificações de firmware são uma das formas mais persistentes e furtivas de comprometimento, pois sobrevivem a reinstalações completas do sistema operacional e são extremamente difíceis de detectar e remover com ferramentas convencionais. Ataques de firmware representam a categoria mais avançada de persistência, tipicamente associada a atores de estado-nação com recursos significativos. O [[g0032-lazarus-group]] utilizou modificações de MBR no malware destrutivo MBRKiller durante ataques à Coreia do Sul. O grupo Fancy Bear (APT28) desenvolveu o implante LoJáx — o primeiro rootkit UEFI descoberto in the wild — capaz de sobreviver a reinstalações completas do SO. Equipamentos de rede da Cisco foram alvo de modificações de firmware em campanhas atribuídas a atores de espionagem chineses. A coleta deste componente de dados requer ferramentas especializadas: verificação da integridade do MBR (comparação com baseline limpa), análise de imagens UEFI, logs de atualização de firmware de dispositivos de rede e monitoramento de acesso direto ao disco raw (`\\.\PhysicalDrive0`). O Secure Boot, quando habilitado e configurado corretamente, fornece proteção e visibilidade sobre tentativas de modificação de firmware de inicialização. A detecção é desafiadora pois a maioria das ferramentas de segurança opera acima do nível de firmware. Abordagens eficazes incluem: medições de integridade via TPM (Trusted Platform Module), monitoramento de acesso raw a disco via Sysmon Event ID 9, e soluções especializadas como CHIPSEC para análise de firmware UEFI. ## Telemetria | Fonte | Event ID / Indicador | Descrição | |-------|---------------------|-----------| | Sysmon | 9 | RawAccessRead — acesso direto a disco (MBR/VBR) | | Windows Security | 4663 | Acesso a objeto \Device\HarddiskVolume | | UEFI/Secure Boot | N/A | Log de violação de Secure Boot | | EDR (CrowdStrike, CS) | N/A | Detecção de acesso ao setor de boot | | CHIPSEC | N/A | Análise de integridade de firmware UEFI | | TPM Attestation | N/A | Medições de PCR para detecção de alterações | ## Queries de Detecção ### KQL — Microsoft Sentinel ```kql // Detecta acesso raw a disco — potencial modificação de MBR/VBR DeviceEvents | where ActionType == "RawDiskRead" | where not(InitiatingProcessFileName in~ ("defrag.exe", "chkdsk.exe", "diskpart.exe")) | where InitiatingProcessFolderPath !startswith "C:\\Windows\\System32\\" | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, InitiatingProcessAccountName | order by Timestamp desc ``` ### SPL — Splunk ```spl index=sysmon EventCode=9 | where NOT match(Image, "(?i)(defrag|chkdsk|diskpart|wininit)\.exe") | where match(Device, "HarddiskVolume[0-9]+quot;) | stats count by host, Image, Device, User | where count > 5 | sort -count ``` ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542-pre-os-boot]] — Comprometimento de componentes antes do boot do SO (BootKit, UEFI implant) - [[t1495-firmware-corruption|T1495-firmware-corruption]] — Corrupção intencional de firmware para destruição - [[t1601-modify-system-image|T1601-modify-system-image]] — Modificação de imagens de sistema operacional em roteadores/switches - [[t1014-rootkit|T1014-rootkit]] — Rootkits de firmware operam abaixo do SO > [!danger] Ameaça de Alta Complexidade > Modificações de firmware são extremamente difíceis de remediar. Em caso de comprometimento confirmado de firmware UEFI ou MBR por um ator sofisticado, a abordagem recomendada é a substituição do hardware ou reflash completo por imagem verificada do fabricante. Não tente "limpar" firmware comprometido com ferramentas de software convencionais. ## Contexto LATAM > [!warning] Relevância para SOCs Brasileiros > Ataques de firmware no contexto LATAM são principalmente associados a operações de espionagem de estado-nação contra alvos governamentais e de infraestrutura crítica brasileira. O [[cert-br]] documenta incidentes em dispositivos de rede comprometidos com firmware modificado em redes de telecomúnicações e energia. Organizações críticas devem implementar medidas de verificação de integridade de firmware como parte de programas de hardening de endpoints, especialmente em laptops de executivos e servidores críticos. ## Referências - [MITRE ATT&CK — DC0004: Firmware Modification](https://attack.mitre.org/datasources/DS0001/#Firmware%20Modification) - [CHIPSEC — Platform Security Assessment Framework](https://github.com/chipsec/chipsec) - [MITRE ATT&CK — T1542: Pre-OS Boot](https://attack.mitre.org/techniques/T1542/) - [ESET — LoJáx UEFI Rootkit Analysis](https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/)