det0150-detection-strategy-for-file-creation-or-modification-of-boot-files

# DET0150 — Detection Strategy for File Creation or Modification of Boot Files ## Descrição Esta estratégia detecta criação ou modificação de arquivos de inicialização do sistema operacional — incluindo MBR, VBR, bootloader UEFI, `bootmgr`, `ntldr`, arquivos em `/boot/` no Linux — por processos não autorizados. A modificação de boot files é utilizada tanto para persistência de nível profundo (bootkits como FinSpy, Rovnix) quanto para sabotagem em ataques de wiper (NotPetya, WhisperGaté). Bootkits modificam o processo de inicialização para carregar código malicioso antes do SO, tornando-se invisíveis a soluções de segurança que operam dentro do OS. Wiper malwares sobrescrevem o MBR para tornar o sistema não-inicializável como etapa final do ataque destrutivo. Ambos os vetores convergem na mesma assinatura detectável: escrita em setores de boot ou arquivos do bootloader. A telemetria inclui Sysmon Event ID 11 para criação/modificação de `\bootmgr`, `\ntldr`, `\Boot\BCD`, e arquivos em `EFI\Microsoft\Boot\`, Windows Event ID 4656/4663 para acesso a volumes brutos, e monitoramento de integridade de arquivo (FIM) sobre caminhos de boot. Em Linux, auditd para `open`/`write` em `/boot/grub/`, `/boot/vmlinuz`, e `efivarfs`. Secure Boot e TPM attestation também constituem controles complementares. ## Indicadores de Detecção - Escrita em `\bootmgr`, `\BOOTSECT.BAK`, ou `\Boot\BCD` por processo não-Windows-setup - Modificação de arquivos em `EFI\Microsoft\Boot\` por processo em modo de usuário - Acesso de escrita ao setor 0 (MBR) via `\\.\PhysicalDrive0` por processo não-boot - Modificação de `/boot/grub/grub.cfg` ou `/boot/vmlinuz` por processo não-`apt`/`yum` - FIM alert para arquivos de bootloader com hash divergente do baseline ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1495-firmware-corruption|T1495 — Firmware Corruption]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] ## Analytics Relacionadas - [[an0428-analytic-0428|AN0428 — Analytic 0428]] - [[an0429-analytic-0429|AN0429 — Analytic 0429]] --- *Fonte: [MITRE ATT&CK — DET0150](https://attack.mitre.org/detectionstrategies/DET0150)*