# T1495 - Firmware Corruption ## Descrição **Firmware Corruption** (Corrupção de Firmware) é uma técnica classificada na tática de [[_impact|Impact]] do framework MITRE ATT&CK. Adversários sobrescrevem ou corrompem o conteúdo da memória flash de dispositivos de hardware - incluindo BIOS/UEFI de motherboards, firmware de placas de rede, HDs, SSDs, GPUs, controladores USB, roteadores, switches e dispositivos IoT - com o objetivo de tornar o sistema inoperante, impedir o boot do sistema operacional ou estabelecer persistência extremamente difícil de remover. O firmware é o software de mais baixo nível da hierarquia de um dispositivo: é o primeiro código executado quando um sistema é ligado, antes mesmo do sistema operacional. Ele inicializa o hardware, estabelece os parâmetros básicos de operação e entrega o controle ao bootloader. Justamente por essa posição privilegiada no ciclo de inicialização, o firmware corrompido ou malicioso é capaz de: - **Impedir completamente o boot** do sistema (negação de serviço permanente) - **Sobreviver a reinstalações do sistema operacional** - uma reinstalação completa do OS não toca o firmware - **Estabelecer persistência em nível pré-OS** - rootkits de firmware executam antes de qualquer solução de segurança do OS - **Destruir hardware** - em casos extremos, firmware malicioso pode causar danos físicos permanentes (ex: queimar componentes por sobrecarga de tensão) A diferença fundamental entre corrupção de firmware e técnicas convencionais de [[t1485-data-destruction|T1485 - Data Destruction]] é o **escopo do impacto**: enquanto a destruição de dados pode ser revertida com backups, a corrupção de firmware pode inutilizar hardware fisicamente - e a recuperação frequentemente exige substituição de peças ou reprogramação por hardware especializado (programador de chip). Em contexto de nação-estado e APTs sofisticados, a corrupção de firmware representa o "arma nuclear" do domínio cibernético: é reservada para operações de alta consequência, onde o objetivo é negar o uso de sistemas por um período prolongado ou permanente. O grupo [[g0034-sandworm|Sandworm]] (APT44, vinculado à GRU russa) demonstrou esse nível de sofisticação em ataques à infraestrutura da Ucrânia. --- ## Como Funciona ### Vetores de Acesso ao Firmware **1. Utilitários de Atualização de Firmware (Flash Tools):** A forma mais comum. Sistemas operacionais modernos permitem atualização de firmware via software (sem remoção física do chip), usando ferramentas como `flashrom` (Linux), utilitários de fabricantes (Dell Command Updaté, HP BIOS Flash) ou comandos específicos de dispositivos de rede. Um adversário com privilégios de administrador/root pode usar essas mesmas ferramentas para gravar firmware malicioso ou corrompido. **2. Acesso via Interface de Gestão (IPMI/BMC):** Servidores corporativos possuem controladores de gestão dedicados (BMC - Baseboard Management Controller) acessíveis via IPMI, iDRAC (Dell), iLO (HP) ou CIMC (Cisco). Esses controladores têm acesso direto ao firmware do sistema e frequentemente contêm vulnerabilidades críticas. Comprometer um BMC exposto permite reprogramar o firmware do host sem interação com o sistema operacional principal. **3. Vulnerabilidades de Drivers de Hardware:** Drivers maliciosos ou vulneráveis (ex: CVE em drivers ASUS, MSI, Gigabyte) podem expor interfaces de acesso direto à memória flash, permitindo leitura e escrita do firmware sem ferramentas dedicadas. Ataques com drivers vulneráveis assinados (BYOVD - Bring Your Own Vulnerable Driver) são documentados em APTs modernos. **4. Supply Chain de Firmware:** Adversários comprometem a cadeia de suprimento de firmware - sejá o servidor de distribuição do fabricante, o processo de build do firmware, ou o hardware durante a manufatura/logística. O resultado é dispositivos entregues ao cliente já com firmware comprometido. **5. Exploit de Interface de Rede em Dispositivos Embarcados:** Roteadores, switches e firewalls de rede frequentemente expõem interfaces web de administração ou APIs com vulnerabilidades críticas (Buffer overflow, command injection, autenticação bypassável). CVEs em equipamentos Cisco, Juniper, Fortinet, e MikroTik têm sido explorados para sobrescrever firmware via upload de imagem manipulada. ### Tipos de Impacto | Tipo de Dispositivo | Impacto Potencial | |---------------------|-------------------| | BIOS/UEFI (motherboard) | Sistema impossível de bootar; persistência pré-OS | | Firmware de NIC/placa de rede | Indisponibilidade de rede; implante de rede persistente | | Firmware de HD/SSD | Destruição de dados irrecuperável; persistência em controlador de disco | | Firmware de roteador/switch | Queda de rede; roteamento malicioso; backdoor persistente | | Firmware de controlador USB | Vetor de infecção via dispositivos USB (BadUSB) | | Firmware de BMC/IPMI | Acesso persistente ao servidor, mesmo com OS reinstalado | --- ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>(T1190 Exploração de Serviço Exposto<br/>/ T1195 Supply Chain)"] --> B["Escalada de Privilégios<br/>Root/SYSTEM ou acesso<br/>a interface de gestão BMC/IPMI"] B --> C["Reconhecimento de Hardware<br/>Identificar modelo de firmware<br/>e interfaces de atualização disponíveis"] C --> D{"Vetor de Atualização"} D --> E["Flash Tool / Utilitário Fabricante<br/>flashrom, vendor updaté tool,<br/>iDRAC/iLO API"] D --> F["Driver Vulnerável (BYOVD)<br/>Carregar driver com acesso<br/>direto à memória flash"] D --> G["Supply Chain<br/>Firmware comprometido<br/>na origem ou logística"] E --> H["Upload de Firmware<br/>Malicioso ou Corrompido<br/>(imagem inválida, payload, limpa flash)"] F --> H G --> H H --> I["Execução do Overwrite<br/>Flash chip regravado com<br/>conteúdo adversário"] I --> J["Sistema Inoperante<br/>ou Implante Persistente<br/>Sobrevive a reinstalação de OS"] J --> K["Impacto<br/>Negação de Serviço Permanente<br/>Destruição de Hardware / Backdoor"] style A fill:#c0392b,color:#fff style D fill:#e67e22,color:#fff style H fill:#8e44ad,color:#fff style K fill:#2c3e50,color:#fff ``` --- ## Exemplos de Uso ### Sandworm (APT44) - Ataques à Ucrânia O [[g0034-sandworm|Sandworm Team]], operado pelo serviço de inteligência militar russo (GRU), realizou múltiplos ataques envolvendo destruição/corrupção de firmware em sua campanha contra a Ucrânia. Durante os ataques de 2014-2022, o grupo utilizou variantes de wiper malware que incluíam rotinas de corrupção do MBR (Master Boot Record) e, em casos mais avançados, tentativas de corrupção do UEFI. O malware [[s0604-industroyer|Industroyer2]] (2022) e o [[s0693-caddywiper|CaddyWiper]] demonstraram progressiva sofisticação no targeting de firmware e boot. ### VPNFilter - Malware para Roteadores (APT28/Sandworm) O [[s1010-vpnfilter|VPNFilter]], atribuído a grupos de estado russo, infectou mais de 500 mil roteadores domésticos e de pequenas empresas globalmente (2018). Um de seus módulos continha funcionalidade de **"kill" do dispositivo**: ao receber comando, sobrescrevia a porção crítica do firmware do roteador, tornando-o inoperante e exigindo substituição do hardware. Dispositivos afetados incluíam modelos populares no Brasil (Linksys, MikroTik, Netgear, TP-Link). ### TrickBot - Módulo de Corrupção de UEFI O [[s0266-trickbot|TrickBot]], um dos trojans bancários mais prevalentes globalmente até sua desestruturação parcial em 2021, desenvolveu um módulo denominado **TrickBoot** que realizava reconhecimento de vulnerabilidades em chips de firmware UEFI. O módulo identificava se o dispositivo era vulnerável à regravação de firmware e, em versões mais avançadas, implementava capacidade de sobrescrever o firmware UEFI - uma das primeiras instâncias documentadas de um malware crimeware com capacidade de firmware implant/wiper. ### MikroTik - CVEs Explorados em Massa no Brasil Equipamentos [[mikrotik|MikroTik]] são amplamente utilizados por provedores de internet (ISPs) e empresas de médio porte no Brasil. Vulnerabilidades como o **Chimay Red** (CVE-2018-14847) e subsequentes CVEs no RouterOS foram explorados massivamente por grupos criminosos brasileiros e internacionais para comprometer roteadores e, em alguns casos, modificar firmware/configurações de forma persistente. O Brasil figura entre os países com maior número de dispositivos MikroTik comprometidos segundo relatórios do Shodan e da Netscout. ### Bad Rabbit - Wiper com Componente de MBR O [[s0606-bad-rabbit|Bad Rabbit]] (2017), um ransomware wiper atribuído ao [[g0034-sandworm|Sandworm]], sobrescrevia o MBR (Master Boot Record) do disco, tornando o sistema impossível de bootar mesmo após remoção do malware. Embora atue no MBR e não diretamente no firmware UEFI, representa a progressão na escala de destrutividade - da destruição de dados ao bloqueio de boot ao comprometimento de firmware. --- ## Detecção ### Estrategia Geral A detecção de corrupção de firmware é inerentemente desafiadora porque ocorre em camadas abaixo do sistema operacional. Soluções de segurança convencionais de endpoint (AV, EDR) rodam no nível do OS e não têm visibilidade direta do firmware. **Abordagens práticas:** 1. **Monitorar execução de utilitários de flash**: processos como `flashrom`, `fpt.exe` (Intel Flash Programming Tool), `AMIFlash`, ferramentas de iDRAC/iLO fora de jánelas de manutenção são altamente suspeitos 2. **Secure Boot e Measured Boot**: Windows Secure Boot com TPM 2.0 mede e verifica a integridade do firmware antes de carregar o OS - desvios são detectáveis 3. **UEFI Firmware Scanning**: algumas soluções EDR (CrowdStrike, ESET) têm capacidade de scan de firmware UEFI para detectar modificações 4. **Monitorar interfaces BMC/IPMI**: acesso incomum a interfaces de gestão de servidor é sinal de ataque em progresso 5. **Auditoria de drivers de kernel**: detectar carregamento de drivers vulneráveis conhecidos (BYOVD) via listas como a do LOLDRIVERS project ### Regra de Detecção - Sigma ```yaml title: Execução Suspeita de Utilitário de Atualização de Firmware status: experimental logsource: category: process_creation product: windows detection: selection_tools: Image|endswith: - '\flashrom.exe' - '\fpt.exe' - '\amiflash.exe' - '\afudos.exe' - '\fwupd.exe' - '\HPFirmwareUpdRec.exe' selection_parent_suspicious: ParentImage|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' filter_maintenance: CurrentDirectory|contains: - 'Dell\CommandUpdaté' - 'HP\HP Support' condition: (selection_tools and selection_parent_suspicious) and not filter_maintenance level: high tags: - attack.impact - attack.t1495 ``` ### Indicadores Comportamentais - Utilitários de firmware executados fora de jánelas de manutenção planejadas - Acesso a interfaces IPMI/BMC de IPs não autorizados na rede de gestão - Carregamento de drivers de kernel com assinaturas conhecidas de drivers vulneráveis (BYOVD) - Uploads de arquivos de firmware (extensões `.bin`, `.rom`, `.img`) para dispositivos de rede - Sistemas que reiniciam sem motivo aparente e ficam presos em POST ou mostram erros de BIOS --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1051 | [[m1051-update-software\|M1051 - Updaté Software]] | Manter firmware de todos os dispositivos atualizado para corrigir vulnerabilidades que permitiriam acesso não autorizado às interfaces de flash. Isso inclui BIOS/UEFI, firmware de roteadores, switches, BMCs e dispositivos IoT. | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir contas com acesso a interfaces de atualização de firmware (IPMI/iDRAC/iLO, ferramentas de flash). Usar autenticação multifator (MFA) para acesso a consoles de gestão de hardware. Separar credenciais de gestão de hardware das credenciais de OS. | | M1046 | [[m1046-boot-integrity\|M1046 - Boot Integrity]] | Habilitar Secure Boot em todos os sistemas Windows/Linux para verificar assinatura criptográfica do firmware UEFI durante o boot. Usar TPM 2.0 com Measured Boot para detectar alterações no estado de firmware. Configurar Unified Extensible Firmware Interface (UEFI) em modo "Setup Mode" apenas para atualizações autorizadas. | | M1030 | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Isolar interfaces de gestão de hardware (IPMI, iDRAC, iLO) em uma VLAN dedicada de gestão fora de banda (OOB), sem acesso a partir das redes corporativas ou de usuários. Bloquear acesso direto à internet a partir dessa VLAN. | | M1045 | [[m1045-code-signing\|M1045 - Code Signing]] | Verificar assinaturas digitais de imagens de firmware antes de aplicar atualizações. Configurar sistemas para rejeitar atualizações de firmware não assinadas ou com assinaturas inválidas - suportado por UEFI Secure Boot e por ferramentas de gestão de alguns fabricantes. | --- ## Contexto Brasil/LATAM ### Infraestrutura Crítica Nacional em Risco O Brasil possui extensas redes de infraestrutura crítica que dependem de equipamentos de hardware com firmware potencialmente vulnerável. O setor elétrico (operado pelo [[ons|ONS]] e pelas distribuidoras regionais), o sistema financeiro, as telecomúnicações e a indústria de petróleo e gás (Petrobras) são alvos de interesse para atores de estado e grupos de crime organizado sofisticado. A **ANPD** (Autoridade Nacional de Proteção de Dados) e o **GSI/PR** (Gabinete de Segurança Institucional) têm aumentado o escrutínio sobre cibersegurança em infraestrutura crítica, mas a lacuna de segurança em firmware e hardware ainda é significativa - especialmente em órgãos públicos que operam com hardware legado sem suporte ativo do fabricante. ### Equipamentos MikroTik e a Realidade dos ISPs Brasileiros O Brasil tem uma das maiores densidades de dispositivos [[mikrotik|MikroTik]] do mundo, utilizados por milhares de provedores de internet regionais (ISPs), especialmente no interior do país. Esses dispositivos frequentemente rodam versões desatualizadas do RouterOS e são expostos diretamente à internet - criando uma superfície de ataque massiva. Comprometer o firmware desses roteadores tem implicações para milhões de usuários domésticos e empresariais. ### Ameaças de Estado Relevantes para a Região Enquanto corrupção de firmware é primariamente associada a APTs de estado avançado (Russia, China, Coreia do Norte), o Brasil e a LATAM têm crescente relevância geopolítica que os coloca no radar de tais atores: - **[[g1017-volt-typhoon|Volt Typhoon]]** (China/APT40): documentado comprometendo roteadores e dispositivos de borda em infraestrutura crítica global, com interesse particular em acesso pré-posicionado - **[[g0034-sandworm|Sandworm]]** (Rússia): histórico de ataques destrutivos a infraestrutura; presença LATAM documentada em VPNFilter - Grupos de crime organizado transnacional com acesso a ferramentas de nível APT têm operado na região com crescente sofisticação técnica ### Regulamentação Relevante | Regulamento/Órgão | Relevância | |-------------------|------------| | GSI/PR - Política Nacional de Segurança da Informação | Diretrizes para proteção de infraestrutura crítica federal | | ANATEL - Requisitos de Segurança para Equipamentos | Certificação de equipamentos de telecomunicação | | LGPD + ANPD | Requisitos de segurança que abrangem integridade de sistemas | | BACEN Resolução 4.893/2021 | Segurança cibernética em instituições financeiras, incluindo hardware | --- ## Referências - [MITRE ATT&CK - T1495](https://attack.mitre.org/techniques/T1495) - [TrickBoot - UEFI Firmware Reconnaissance (Advanced Intelligence)](https://www.advintel.io/post/trickbot-bolsters-layered-defenses-to-prevent-injection-research) - [VPNFilter Attack - Talos Intelligence](https://blog.talosintelligence.com/vpnfilter/) - [Sandworm / Industroyer2 - ESET Research](https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/) - [UEFI Firmware Security - NSA Guide](https://www.nsa.gov/portals/75/documents/what-we-do/cybersecurity/professional-resources/csi-uefi-security.pdf) - [BYOVD Attacks - LOLDRIVERS Project](https://www.loldrivers.io/) - [MikroTik Mass Exploitation - Netscout](https://www.netscout.com/) - [GSI/PR - Política Nacional de Cibersegurança](https://www.gov.br/gsi/pt-br/assuntos/dsin/politica-nacional-de-segurança-da-informação) --- *Fonte: [MITRE ATT&CK - T1495](https://attack.mitre.org/techniques/T1495)*