t1542-pre-os-boot - RunkIntel

# T1542 - Pre-OS Boot ## Sub-técnicas - [[t1542-001-system-firmware|T1542.001 - Firmware do Sistema]] - [[t1542-002-component-firmware|T1542.002 - Component Firmware]] - [[t1542-003-bootkit|T1542.003 - Bootkit]] - [[t1542-004-rommonkit|T1542.004 - ROMMONkit]] - [[t1542-005-tftp-boot|T1542.005 - TFTP Boot]] ## Descrição A técnica T1542 - Pre-OS Boot abrange um conjunto de métodos pelos quais adversários comprometem componentes de software ou firmware que são executados antes do sistema operacional assumir o controle da máquina. Durante o processo de inicialização de um computador, dispositivo de rede ou servidor, múltiplas camadas de código são carregadas em sequência: firmware de sistema (BIOS/UEFI), firmware de componentes individuais (disco, placa de rede, controladores), e por fim o bootloader que carrega o kernel do sistema operacional. Cada uma dessas camadas representa uma superfície de ataque distinta. A motivação central para explorar mecanismos Pre-OS Boot é a persistência práticamente inalcançável: código implantado nessas camadas sobrevive a formatações de disco, reinstalações do sistema operacional e até à troca de dispositivos de armazenamento. Como o código malicioso é executado antes de qualquer software de segurança baseado em host (antivírus, EDR, monitoramento de integridade de sistema), a detecção convencional é ineficaz. Soluções de segurança modernas que verificam a integridade do firmware na inicialização - como Secure Boot e atéstação via TPM - representam a principal barreira defensiva contra esta categoria de técnicas. Os alvos típicos incluem desde workstations e servidores críticos em ambientes corporativos até equipamentos de infraestrutura de rede (roteadores, switches, firewalls) onde a persistência no firmware garante controle silencioso sobre o tráfego de rede. A sofisticação técnica exigida é substancialmente maior do que a de técnicas convencionais de persistência, o que restringe seu uso principalmente a atores de ameaça patrocinados por estados-nação e grupos de cibercrime altamente organizados. ## Como Funciona O processo de exploração varia conforme a sub-técnica utilizada, mas segue um padrão geral de três etapas: **Acesso privilegiado pré-requisito:** Independentemente da sub-técnica, a modificação de firmware ou bootloader exige nível de acesso elevado - privilégios de administrador/root para modificar BIOS/UEFI ou MBR, acesso físico ou credenciais de nível de plataforma para firmware de componentes, e credenciais administrativas de equipamentos de rede para ROMMONkit e TFTP Boot. O comprometimento inicial tipicamente ocorre via outras técnicas antes de T1542 ser aplicada. **Modificação da camada Pre-OS:** Na sub-técnica [[t1542-001-system-firmware|System Firmware (T1542.001)]], o adversário sobrescreve o firmware BIOS/UEFI com uma versão maliciosa usando ferramentas como `flashrom` ou utilitários proprietários do fabricante. Bootkits ([[t1542-003-bootkit|T1542.003]]) infectam o MBR (Master Boot Record), VBR (Volume Boot Record) ou o bootloader (GRUB, BOOTMGR) para interceptar o fluxo de execução antes do kernel. Para dispositivos de rede, o ROMMONkit ([[t1542-004-rommonkit|T1542.004]]) substitui a ROM Monitor do Cisco IOS, enquanto o TFTP Boot ([[t1542-005-tftp-boot|T1542.005]]) reconfigura o dispositivo para buscar firmware de um servidor controlado pelo adversário. **Persistência e execução sigilosa:** Uma vez implantado, o código malicioso é executado em cada ciclo de inicialização, antes de qualquer controle de segurança do SO. O código pode carregar drivers maliciosos no kernel (técnica utilizada pelo bootkit FinFisher/FinSpy), modificar o sistema de arquivos para injetar malware que parece legítimo, ou simplesmente manter um canal de comunicação persistente com infraestrutura de comando e controle - tudo invisível para ferramentas de segurança convencionais rodando no nível do SO. ## Attack Flow ```mermaid graph TB A[Comprometimento inicial com privilégios elevados] --> B{Alvo da implantação} B --> C[Workstation ou Servidor] B --> D[Dispositivo de Rede] C --> E{Camada alvo} E --> F[UEFI/BIOS - System Firmware T1542.001] E --> G[Firmware de componente - HDD/NIC T1542.002] E --> H[MBR/VBR/Bootloader - Bootkit T1542.003] D --> I{Método de persistência} I --> J[ROM Monitor - ROMMONkit T1542.004] I --> K[Configuração TFTP Boot T1542.005] F --> L[Execução de código antes do SO em cada boot] G --> L H --> L J --> M[Controle furtivo sobre tráfego de rede] K --> M L --> N[Persistência que sobrevive a formatação e reinstalação do SO] M --> N N --> O[Evasão completa de soluções EDR e antivírus] ``` ## Exemplos de Uso **Equation Group (NSA/TAO):** O grupo de ameaça mais avançado públicamente documentado no uso de técnicas Pre-OS Boot. O malware DoubleFantasy e outros implantes do Equation Group incluíam módulos capazes de reflashear firmware de discos rígidos de fabricantes como Western Digital, Seagaté e Samsung - criando persistência invisível que sobrevivia mesmo à troca física do sistema operacional. Descoberto e divulgado pela Kaspersky em 2015. **APT41 (Winnti Group):** Ator chinês com dupla motivação (espionagem estatal e crime financeiro) documentado usando bootkits para manter persistência em alvos de alto valor no setor de saúde, telecomúnicações e jogos. O grupo utilizou variantes do bootkit UEFI para infectar servidores críticos em campanhas de espionagem industrial. **Lazarus Group:** O grupo norte-coreano foi associado ao malware UEFI denominado "CosmicStrand", descoberto em 2022 e analisado pela Kaspersky. O CosmicStrand infectava o firmware UEFI de placas-mãe para reinstalar malware em nível de kernel a cada inicialização, mesmo após reinstalação completa do Windows. O grupo também utilizou bootkits em campanhas contra instituições financeiras - uma área de interesse direto para o setor bancário do Brasil e LATAM. **FinFisher/FinSpy:** Spyware comercial utilizado por governos para vigilância de alvos específicos. Versões documentadas incluíam um bootkit que infectava o MBR para carregar o agente de vigilância antes do Windows inicializar, tornando-o invisível para ferramentas forenses convencionais. **MosaicRegressor:** Framework UEFI malicioso descoberto em 2020, atribuído a ator de ameaça de língua chinesa, utilizado contra organizações diplomáticas e ONGs. Primeiro framework UEFI usado em operações reais públicamente documentado, demonstrando a maturidade operacional desta categoria de técnica. ## Detecção ```yaml title: Detecção - Modificação de Firmware UEFI por Processo Não Autorizado status: experimental logsource: category: process_creation product: windows detection: selection_flash_tools: Image|endswith: - '\flashrom.exe' - '\AfuWin64.exe' - '\FWUpdLcl.exe' - '\H2OFFT-W.exe' CommandLine|contains: - '-w' - '--write' - '/write' filter_known_updaters: ParentImage|endswith: - '\Windows\System32\services.exe' - '\Windows\System32\svchost.exe' condition: selection_flash_tools and not filter_known_updaters level: critical ``` ```yaml title: Detecção - Acesso Direto ao MBR por Processo Suspeito (Bootkit) status: experimental logsource: category: raw_access_read product: windows detection: selection_mbr_access: TargetObject: '\\.\PhysicalDrive0' filter_system_processes: Image|endswith: - '\System' - '\defrag.exe' - '\chkdsk.exe' condition: selection_mbr_access and not filter_system_processes level: high ``` ```yaml title: Detecção - Configuração de Boot TFTP em Dispositivo de Rede status: experimental logsource: category: network_device_configuration product: cisco detection: selection_tftp: command|contains: - 'boot network tftp' - 'boot system tftp' source|not_contains: - '10.0.0.0/8' - '192.168.0.0/16' - '172.16.0.0/12' condition: selection_tftp level: critical ``` **Fontes de dados prioritárias:** - Verificação de integridade de firmware via TPM (Trusted Platform Module) e Measured Boot - Microsoft Defender for Endpoint - alertas de modificação de UEFI - Secure Boot logs (UEFI event log) - Monitoramento de ferramentas de flash de firmware (processos e argumentos de linha de comando) - Auditoria de configuração de boot em dispositivos de rede via SNMP ou APIs de gerenciamento - Análise forense de firmware com ferramentas como CHIPSEC ou UEFITool ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1046 | [[m1046-boot-integrity\|M1046 - Boot Integrity]] | Habilitar e manter Secure Boot em todos os sistemas. Utilizar atéstação via TPM para verificação de integridade do firmware em cada inicialização. Implementar Microsoft Pluton ou equivalentes em hardware moderno. Esta é a mitigação mais eficaz contra bootkits e firmware implants. | | M1051 | [[m1051-update-software\|M1051 - Updaté Software]] | Manter firmware de sistemas e componentes atualizado. Fabricantes como Dell, HP e Lenovo públicam atualizações que corrigem vulnerabilidades exploradas para implantar malware de firmware. Automatizar atualizações de firmware via BIOS/UEFI updaté management tools. | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir ao máximo o acesso de escrita a firmware. Desabilitar interfaces de flash de firmware não essenciais no UEFI Setup. Bloquear a execução de ferramentas de flash de firmware não autorizadas via controle de aplicações. | | M1047 | [[m1047-audit\|M1047 - Audit]] | Implementar verificação periódica de integridade de firmware usando ferramentas como CHIPSEC. Auditar configurações de boot em dispositivos de rede regularmente, verificando se o boot server configurado é o esperado. | | M1035 | [[m1035-limit-access-to-resource-over-network\|M1035 - Limit Access to Resource Over Network]] | Para dispositivos de rede, restringir acesso de gerenciamento a IPs e redes autorizadas. Bloquear tráfego TFTP não autorizado na rede. Desabilitar TFTP boot em dispositivos de rede que não necessitam desta funcionalidade. | ## Contexto Brasil/LATAM A técnica Pre-OS Boot representa uma ameaça emergente para organizações críticas na América Latina, com relevância crescente por três vetores distintos. O primeiro é a infiltração em infraestrutura de telecomúnicações: operadoras de telecom brasileiras e latinoamericanas operam grandes parques de roteadores e switches Cisco que são alvos diretos das sub-técnicas ROMMONkit e TFTP Boot - documentadas em campanhas de espionagem de estados-nação contra infraestrutura de rede em países emergentes. O segundo vetor é o Lazarus Group e sua expressiva atividade no setor financeiro da região. O grupo norte-coreano, que utiliza técnicas UEFI avançadas como o CosmicStrand, tem histórico extenso de ataques contra bancos no Brasil e em outros países latino-americanos via fraudes SWIFT e ataques a sistemas de pagamento. A combinação de motivação financeira com capacidade técnica de nível firmware coloca instituições bancárias brasileiras em risco direto. O terceiro vetor é a adoção deficiente de Secure Boot e TPM em parques de TI legados. Muitas organizações brasileiras de médio porte operam hardware com mais de 5 anos onde Secure Boot não foi habilitado ou está configurado incorretamente - criando vulnerabilidade estrutural à qual a detecção convencional por EDR e antivírus não responde de forma eficaz. A ANATEL e o CERT.br ainda não públicaram diretrizes específicas sobre firmware security para infraestrutura crítica nacional, mas o tema deve ser priorizado no contexto dos requisitos de segurança para operadoras e para setores regulados como financeiro (BACEN) e saúde (ANS). ## Referências - [[t1542-001-system-firmware|T1542.001 - System Firmware]] (sub-técnica - BIOS/UEFI) - [[t1542-002-component-firmware|T1542.002 - Component Firmware]] (sub-técnica - periféricos) - [[t1542-003-bootkit|T1542.003 - Bootkit]] (sub-técnica - MBR/VBR/bootloader) - [[t1542-004-rommonkit|T1542.004 - ROMMONkit]] (sub-técnica - dispositivos Cisco) - [[t1542-005-tftp-boot|T1542.005 - TFTP Boot]] (sub-técnica - boot remoto via TFTP) - [[g0020-equation-group|Equation Group]] (pioneiro em firmware implants comercialmente documentados) - [[g0032-lazarus-group|Lazarus Group]] (CosmicStrand UEFI bootkit - ativo com alvos financeiros em LATAM) - [[g0096-apt41|APT41]] (uso documentado de bootkits UEFI em espionagem industrial) - [[m1046-boot-integrity|M1046 - Boot Integrity]] (mitigação principal) - [[m1051-update-software|M1051 - Updaté Software]] *Fonte: MITRE ATT&CK - T1542*