det0278-detection-strategy-for-t1542-pre-os-boot

# DET0278 — Detection Strategy for T1542 Pre-OS Boot ## Descrição Esta estratégia foca na detecção de modificações em componentes que executam antes do carregamento do sistema operacional, incluindo bootloaders, firmware UEFI/BIOS e o Master Boot Record (MBR). Adversários como [[g0032-lazarus-group|Lazarus Group]] e grupos de espionagem patrocinados por estados nacionais utilizam bootkits para garantir persistência extremamente resiliente, capaz de sobreviver a reinstalações do SO. Os sinais de comprometimento pré-OS incluem alterações inesperadas no MBR ou Volume Boot Record (VBR), modificações em variáveis UEFI (especialmente em entradas de boot), drivers de boot não assinados ou com assinaturas inválidas, e discrepâncias entre medições de integridade do firmware (TPM PCRs). Ferramentas de análise de firmware como `chipsec` e eventos de medição do Secure Boot são fontes de telemetria fundamentais. A detecção requer instrumentação em camadas: monitoramento de integridade via TPM/Secure Boot, análise de drivers carregados em modo kernel no early boot, e comparação de hashes de firmware com baseline conhecidos. Wipers como o [[s0697-hermeticwiper|HermeticWiper]] e [[s0368-notpetya|NotPetya]] utilizaram overwrites do MBR como componente destrutivo, tornando esta detecção crítica também para resposta a incidentes de ransomware e wiper. ## Indicadores de Detecção - Alteração no hash do MBR ou VBR em relação ao baseline - Escrita direta em `\\.\PhysicalDrive0` por processo não autorizado - Variáveis UEFI modificadas fora de processos de atualização de firmware legítimos - Driver de boot sem assinatura válida ou assinado com certificado revogado - Falha na verificação do Secure Boot com novo estado reportado pelo TPM - Execução de ferramentas como `bootrec.exe`, `bcdedit.exe` ou `diskpart` por processos não administrativos legítimos ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] ## Analytics Relacionadas - [[an0774-analytic-0774|AN0774 — Analytic 0774]] - [[an0775-analytic-0775|AN0775 — Analytic 0775]] - [[an0776-analytic-0776|AN0776 — Analytic 0776]] - [[an0777-analytic-0777|AN0777 — Analytic 0777]] --- *Fonte: [MITRE ATT&CK — DET0278](https://attack.mitre.org/detectionstrategies/DET0278)*