det0167-firmware-modification-via-flash-tool-or-corrupted-firmware-upload

# DET0167 — Firmware Modification via Flash Tool or Corrupted Firmware Upload ## Descrição Esta estratégia detecta modificação de firmware de dispositivos via ferramentas de flash ou upload de imagem corrompida — mapeado em [[t1542-pre-os-boot|T1542 - Pre-OS Boot]] e [[t1542-002-component-firmware|T1542.002 - Component Firmware]]. Adversários com acesso ao sistema operacional ou à interface de gerenciamento de dispositivos (IPMI, BMC, UEFI) podem gravar firmware malicioso que persiste abaixo do SO, sobrevivendo a reinstalações e reinicializações. Os indicadores principais incluem execução de ferramentas de flash UEFI/BIOS (`flashrom`, `fpt`, `AMIFlash`) por processos de usuário, acesso inesperado à interface BMC/IPMI, upload de imagem de firmware via interface web de dispositivo de rede (roteadores, switches, firewalls), e hashes de firmware que não correspondem a versões oficiais do fabricante. Integrar logs de BMC e interfaces de gerenciamento out-of-band é essencial. A verificação de integridade de firmware via measurements TPM (PCR values) e Secure Boot logs fornece detecção post-flash. Comparar medições PCR contra baseline conhecido após eventos de boot anômalos ou após acesso administrativo incomum é uma abordagem de alta fidelidade. ## Indicadores de Detecção - Execução de `flashrom`, `fpt.exe`, `AMIFlash`, `afuwin`, `meinfo` por processo não-sistema - Acesso à interface IPMI/BMC fora de janelas de manutenção aprovadas - Upload de arquivo de firmware (`.bin`, `.rom`, `.img`) via interface web de dispositivo - Medições PCR do TPM divergindo do baseline estabelecido após reinicialização - Hash de imagem de firmware não constando no catálogo oficial do fabricante ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 - Pre-OS Boot]] — categoria pai - [[t1542-002-component-firmware|T1542.002 - Component Firmware]] — técnica principal detectada - [[t1542-001-system-firmware|T1542.001 - System Firmware]] — variante para UEFI/BIOS - [[t1542-004-rommonkit|T1542.004 - ROMMONkit]] — firmware de dispositivos de rede ## Analytics Relacionadas - [[an0474-analytic-0474|AN0474 — Analytic 0474]] - [[an0475-analytic-0475|AN0475 — Analytic 0475]] - [[an0476-analytic-0476|AN0476 — Analytic 0476]] - [[an0477-analytic-0477|AN0477 — Analytic 0477]] --- *Fonte: [MITRE ATT&CK — DET0167](https://attack.mitre.org/detectionstrategies/DET0167)*