# M1046 — Boot Integrity ## Descrição **Boot Integrity** garante que um sistema inicialize com segurança, verificando a integridade do processo de boot, do sistema operacional e de seus componentes críticos. A mitigação utiliza mecanismos de inicialização segura com raiz de confiança em hardware ([[t1542-003-bootkit|Bootkit]]) e verificações de integridade em tempo de execução para impedir adulterações durante a sequência de boot — especialmente relevante contra grupos como o [[g0032-lazarus-group|Lazarus Group]] e o [[g1017-volt-typhoon|Volt Typhoon]], que exploram técnicas de [[t1542-pre-os-boot|Pre-OS Boot]]. ### Secure Boot (UEFI) - **Implementação:** Habilitar UEFI Secure Boot em todos os sistemas e configurá-lo para permitir apenas bootloaders e sistemas operacionais assinados digitalmente. - **Caso de Uso:** Um adversário tenta substituir o bootloader do sistema por uma versão maliciosa ([[t1542-003-bootkit|T1542.003 — Bootkit]]) para obter persistência. O Secure Boot impede a execução do bootloader não confiável, interrompendo o ataque. ### TPM (Trusted Platform Module) - **Implementação:** Configurar sistemas com atéstação baseada em TPM para integridade do boot, garantindo que qualquer modificação no firmware, bootloader ou SO sejá detectada. - **Caso de Uso:** Um componente de firmware comprometido altera a sequência de boot ([[t1542-001-system-firmware|T1542.001]]). O TPM detecta a mudança e dispara um alerta, permitindo resposta antes de danos maiores. ### Proteção de Senha do Bootloader - **Implementação:** Proteger configurações de BIOS/UEFI com senha forte e restringir acesso físico a dispositivos. - **Caso de Uso:** Um atacante com acesso físico tenta desabilitar o Secure Boot ou modificar a sequência de boot. A senha impede alterações não autorizadas. ### Monitoramento de Integridade em Tempo de Execução - **Implementação:** Implementar soluções de verificação de integridade de arquivos críticos e processos pós-boot (ex: IMA/EVM no Linux, Windows Defender Credential Guard). - **Caso de Uso:** Uma infecção por malware modifica módulos do kernel pós-boot ([[t1495-firmware-corruption|T1495]]). O monitoramento detecta a modificação e impede o carregamento do módulo malicioso. ## Fluxo de Implementação ```mermaid graph TB A["🔒 Inventário de Hardware<br/>Mapear suporte a TPM/UEFI"] --> B["⚙️ Habilitar Secure Boot<br/>UEFI + assinaturas digitais"] B --> C["🔑 Configurar TPM<br/>Atestação de integridade"] C --> D["🔐 Proteger BIOS/UEFI<br/>Senha forte + acesso físico"] D --> E["🛡️ Runtime Integrity<br/>IMA/EVM ou Defender Guard"] E --> F["📊 Monitoramento Contínuo<br/>Alertas de desvio de hash"] F --> G{"Desvio Detectado?"} G -->|"Sim"| H["🚨 Resposta a Incidente<br/>Isolamento + reimagem"] G -->|"Não"| F ``` ## Contexto LATAM > [!warning] Adoção em SOCs Brasileiros > A implementação de Boot Integrity no Brasil enfrenta desafios estruturais significativos. Grande parte do parque de hardware corporativo — especialmente em órgãos públicos e empresas médias — utiliza equipamentos legados que não suportam TPM 2.0 ou UEFI Secure Boot, limitando a aplicação desta mitigação. > > **Regulações relevantes:** > - **BACEN 4893/2021** (Resolução CMN 4.893): Exige controles de integridade em sistemas financeiros críticos. Instituições sob supervisão do Banco Central devem garantir mecanismos de boot seguro em servidores de produção. > - **LGPD (Lei 13.709/2018)**: Indiretamente relevante — a integridade do boot protege a disponibilidade de sistemas que processam dados pessoais, sendo parte da postura de segurança exigida pelo Art. 46. > - **Decreto 9.637/2018 (PNSI)**: A Política Nacional de Segurança da Informação incentiva adoção de hardware com raiz de confiança em infraestruturas críticas governamentais. > > **Realidade dos SOCs:** A maioria dos times de segurança no Brasil não monitora ativamente eventos de TPM ou integridade de boot, concentrando esforços em camadas de rede e endpoint EDR. Grupos como [[g1017-volt-typhoon|Volt Typhoon]] e atores que utilizam [[t1542-003-bootkit|Bootkits]] exploram exatamente essa lacuna. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1195 | [[t1195-supply-chain-compromise\|T1195 — Supply Chain Compromise]] | | T1542.001 | [[t1542-001-system-firmware\|T1542.001 — System Firmware]] | | T1542.003 | [[t1542-003-bootkit\|T1542.003 — Bootkit]] | | T1601.001 | [[t1601-001-patch-system-image\|T1601.001 — Patch System Image]] | | T1195.003 | [[t1195-003-compromise-hardware-supply-chain\|T1195.003 — Compromise Hardware Supply Chain]] | | T1542.004 | [[t1542-004-rommonkit\|T1542.004 — ROMMONkit]] | | T1505 | [[t1505-server-software-component\|T1505 — Server Software Component]] | | T1553.006 | [[t1553-006-code-signing-policy-modification\|T1553.006 — Code Signing Policy Modification]] | | T1601 | [[t1601-modify-system-image\|T1601 — Modify System Image]] | | T1505.006 | [[t1505-006-vsphere-installation-bundles\|T1505.006 — vSphere Installation Bundles]] | | T1601.002 | [[t1601-002-downgrade-system-image\|T1601.002 — Downgrade System Image]] | | T1542 | [[t1542-pre-os-boot\|T1542 — Pre-OS Boot]] | | T1495 | [[t1495-firmware-corruption\|T1495 — Firmware Corruption]] | | T1542.005 | [[t1542-005-tftp-boot\|T1542.005 — TFTP Boot]] | ## Notas Relacionadas - [[_defenses|Hub de Defesas]] — visão geral defensiva - [[_mitigations|Todas as Mitigações]] — catálogo M-series completo - [[m1026-privileged-account-management|M1026 — Privileged Account Management]] — complementar para acesso físico a BIOS - [[m1047-audit|M1047 — Audit]] — auditoria de eventos de integridade de firmware --- *Fonte: [MITRE ATT&CK — M1046](https://attack.mitre.org/mitigations/M1046)*