det0099-detection-strategy-for-t1542001-pre-os-boot-system-firmware

# DET0099 — Detection Strategy for T1542.001 Pre-OS Boot: System Firmware ## Descrição Esta estratégia detecta modificações maliciosas no firmware do sistema (UEFI/BIOS) como mecanismo de persistência extremamente resiliente que sobrevive a reinstalações do sistema operacional, substituição de disco e reimaginação. Implants de firmware como o [[moonbounce]], [[s0397-lojx]] e componentes do [[g0020-equation-group]] são exemplos de ameaças reais que utilizam esta técnica, característica de grupos de espionagem de nível estado-nação. A detecção é intrinsecamente difícil pois ocorre abaixo do sistema operacional. As abordagens incluem: comparação de medições de PCR (Platform Configuration Register) no TPM com linha de base conhecida, análise de integridade de UEFI via ferramentas como `chipsec` ou Secure Boot logs, e monitoramento de acesso a interfaces de flash SPI (privilégio de kernel required). Drivers que acessam diretamente portas de I/O associadas ao chipset (`0xCF8`/`0xCFC` para PCI config) são suspeitos. A telemetria prática inclui: eventos de Secure Boot violation (Evento 1796 do Microsoft-Windows-Kernel-Boot), drivers com acesso a physical memory mapeada para região de firmware (acima de `0xE0000000`), e uso de ferramentas como `RWEverything` ou `UEFI Tool` em sistemas não-laboratório. Intel Boot Guard e AMD Secure Boot fornecem atéstação de firmware que deve ser verificada regularmente em ativos críticos. ## Indicadores de Detecção - Eventos de violação de Secure Boot (Event ID 1796) sem atualização de firmware planejada - Drivers com acesso a interfaces de flash SPI ou regiões de memória física de firmware (SMRAM) - Alteração nas medições de PCR 0/1/2/3 do TPM sem aplicação de patch de firmware autorizado - Processo `chipsec_main.py` ou ferramentas similares de acesso direto a hardware executadas sem contexto de auditoria - Módulos UEFI não assinados por CA reconhecida presentes na partição EFI - Acesso a portas de I/O sensíveis (`0xCF8`, `0xCFC`, `0xB2`) por drivers de terceiros não catalogados ## Técnicas Relacionadas - [[t1542001-pre-os-boot-system-firmware]] — Técnica principal - [[t1542-pre-os-boot]] — Categoria pai - [[t1542003-bootkit]] — Bootkit como técnica relacionada de pré-OS boot - [[t1553004-subvert-trust-controls-install-root-certificate]] — Subversão de confiança relacionada - [[t1601-modify-system-image]] — Modificação de imagem do sistema ## Analytics Relacionadas - [[an0275-analytic-0275|AN0275 — Analytic 0275]] - [[an0276-analytic-0276|AN0276 — Analytic 0276]] --- *Fonte: [MITRE ATT&CK — DET0099](https://attack.mitre.org/detectionstrategies/DET0099)*