det0368-hardware-supply-chain-compromise-detection-via-host-status-boot-integrit

# DET0368 — Hardware Supply Chain Compromise Detection via Host Status & Boot Integrity Checks ## Descrição Comprometimentos na cadeia de suprimentos de hardware representam uma das ameaças mais sofisticadas e difíceis de detectar, onde firmware malicioso é inserido em dispositivos antes ou durante o processo de distribuição. Implantes de firmware em BIOS/UEFI, controladores de disco, placas de rede ou BMC (Baseboard Management Controller) podem persistir mesmo após reinstalação completa do sistema operacional, sendo invisíveis para ferramentas de segurança tradicionais que operam apenas em nível de OS. Atores state-sponsored como [[g0096-apt41|APT41]] e grupos vinculados a estados nacionais documentaram capacidades nesse nível. A detecção requer verificação de integridade da cadeia de boot desde o firmware UEFI até o carregador de sistema operacional, utilizando tecnologias como Secure Boot, TPM (Trusted Platform Module) e Remote Attestation. Ferramentas como Intel Boot Guard, Measured Boot e plataformas de endpoint management corporativo (Microsoft SCCM, CrowdStrike Falcon) podem reportar anomalias de integridade de boot, versões de firmware inesperadas, ou falhas em válidações criptográficas da cadeia de confiança. A estratégia correlaciona: relatórios de status de TPM (PCR measurements), verificações de versão de firmware contra baseline aprovado, alertas de Secure Boot disabled/bypassed, e análise de comportamento pós-boot anômalo que possa indicar backdoors implantados em firmware. ## Indicadores de Detecção - Secure Boot desabilitado em hosts onde estava previamente ativado (detecção via inventory) - Versão de firmware BIOS/UEFI diferente do baseline aprovado para o modelo de hardware - Falha na verificação de PCR (Platform Configuration Register) via TPM attestation - Processos de sistema com comportamento de rede antes da inicialização completa do OS - Drivers desconhecidos carregados em estágios iniciais de boot (PCI Option ROMs suspeitos) - Dispositivo reportando identificadores de hardware inconsistentes com específicação de fabricante ## Técnicas Relacionadas - [[T1542001-system-firmware|T1542.001 — System Firmware]] - [[T1542003-bootkit|T1542.003 — Bootkit]] - [[T1195003-compromise-hardware-supply-chain|T1195.003 — Compromise Hardware Supply Chain]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[T1553006-code-signing-policy-modification|T1553.006 — Code Signing Policy Modification]] ## Analytics Relacionadas - [[an1035-analytic-1035|AN1035 — Analytic 1035]] - [[an1036-analytic-1036|AN1036 — Analytic 1036]] - [[an1037-analytic-1037|AN1037 — Analytic 1037]] --- *Fonte: [MITRE ATT&CK — DET0368](https://attack.mitre.org/detectionstrategies/DET0368)*