# T1542.002 - Firmware de Componente
## Técnica Pai
Esta é uma sub-técnica de [[t1542-pre-os-boot|T1542 - Boot Pré-OS]].
Adversários que empregam T1542.002 comprometem o firmware de componentes individuais do sistema - como HDDs, SSDs, placas de rede ou placas-mãe - para obter persistência abaixo do nível do sistema operacional. Diferencia-se de [[t1542-001-system-firmware|T1542.001 - System Firmware]] por atuar em dispositivos periféricos e subsistemas que frequentemente carecem de verificação de integridade robusta.
## Descrição
O firmware de componente é o software embarcado em dispositivos de hardware que controla seu funcionamento de baixo nível: discos rígidos, SSDs, controladoras RAID, placas de interface de rede (NICs), roteadores internos e até periféricos USB. Adversários sofisticados exploram o fato de que esse firmware raramente é monitorado por soluções de segurança convencionais e, muitas vezes, não possui mecanismos de verificação de integridade criptográfica.
Ao substituir o firmware legítimo por uma versão maliciosa, o adversário obtém um vetor de persistência extremamente resiliente: o código malicioso é executado antes do sistema operacional carregar, sobrevive a reinstalações completas do SO, formatação de disco e até à troca de software de segurança. Em alguns casos documentados, o firmware modificado é capaz de reinfectar o disco rígido mesmo após formatação física de baixo nível.
A técnica exige acesso privilegiado ao sistema alvo - geralmente `root`/`SYSTEM` - e ferramentas específicas para cada fabricante de hardware, uma vez que os processos de atualização de firmware são proprietários e variam significativamente entre modelos. Grupos altamente patrocinados por Estados-nação são os principais usuários desta técnica, dado o alto custo de desenvolvimento e o nível de engenharia reversa necessário.
**Contexto Brasil/LATAM:** No contexto brasileiro e latino-americano, o risco desta técnica concentra-se em alvos de alto valor: infraestrutura crítica de energia, telecomúnicações e governo federal. O [[g0020-equation-group|Grupo Equation]], atribuído à NSA, demonstrou em 2015 que esta capacidade existe há mais de uma década. Com a crescente sofisticação de atores como [[g0032-lazarus-group|Lazarus Group]] e [[g0007-apt28|APT28]], que operam na região, e considerando que equipamentos industriais e de rede em uso no Brasil frequentemente executam firmware desatualizado sem suporte ativo do fabricante, a exposição ao risco aumenta.
```yaml
title: Acesso Suspeito a Utilitário de Atualização de Firmware
id: a3f7c821-5b2e-4d9a-b831-7c2e9f4a1d53
status: experimental
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith:
- '\fwupd.exe'
- '\flashrom.exe'
- '\afuwin.exe'
- '\amifldrv.exe'
ParentImage|endswith:
- '\cmd.exe'
- '\powershell.exe'
- '\wscript.exe'
filter_legitimate:
ParentCommandLine|contains:
- 'WindowsUpdaté'
- 'ManagementService'
condition: selection and not filter_legitimate
falsepositives:
- Atualizações legítimas de firmware iniciadas pelo fabricante via software OEM
- Ferramentas de diagnóstico de hardware autorizadas pelo time de TI
level: high
tags:
- attack.persistence
- attack.t1542.002
```
## Attack Flow
```mermaid
graph TB
A[Acesso Privilegiado Obtido<br/>root / SYSTEM] --> B[Reconhecimento de Hardware<br/>Identificar modelo e fabricante]
B --> C[Obtenção de Firmware Legítimo<br/>Download do site do fabricante]
C --> D[Engenharia Reversa e Modificação<br/>Inserção de payload malicioso]
D --> E[T1542.002 - FLASH DE FIRMWARE<br/>Escrita do firmware modificado]
E --> F[Persistência Estabelecida<br/>Executa antes do SO / sobrevive a reinstalação]
F --> G[Exfiltração ou Sabotagem<br/>C2 oculto, destruição de dados]
```
## Como Funciona
1. **Preparação** - O adversário obtém acesso privilegiado (`root` ou `SYSTEM`) ao sistema alvo por outros meios, como exploração de vulnerabilidade ou uso de credenciais comprometidas. Em seguida, realiza reconhecimento de hardware para identificar fabricante, modelo e versão atual do firmware dos componentes de interesse (HDD, NIC, SSD).
2. **Execução** - O firmware legítimo é obtido (frequentemente disponível públicamente no site do fabricante), analisado por engenharia reversa e modificado para incluir código malicioso. O firmware trojanizado é então escrito no componente usando ferramentas de atualização proprietárias ou exploits específicos do hardware. Utilitários como `hdparm` (Linux) podem ser usados para identificar capacidades de firmware em discos ATA.
3. **Pós-execução** - O firmware malicioso passa a ser executado a cada ciclo de energia do componente, antes do carregamento do sistema operacional. Pode reinfectar o sistema após formatação, interceptar operações de leitura/escrita no disco ou estabelecer canal de comunicação encoberto via hardware de rede. A detecção por ferramentas de segurança convencionais é mínima.
**Exemplo - verificação de versão de firmware em disco (diagnóstico legítimo):**
```bash
# Identificar modelo e versão de firmware de disco ATA (uso legítimo de diagnóstico)
hdparm -I /dev/sda | grep -E "Model|Firmware"
# Saída esperada (legítima):
# Model Number: Samsung SSD 870 EVO
# Firmware Revision: SVT01B6Q
```
## Detecção
**Fontes de dados:** Firmware - verificação de integridade de componentes; Logs de atualização de firmware; Scan de versão via SMART/IPMI; Alertas de EDR para acesso a utilitários de flash de firmware.
> **Nota de detecção:** Esta técnica é inerentemente difícil de detectar com ferramentas convencionais. A estratégia mais eficaz é detectar o **processo de instalação** do firmware malicioso, não o firmware em execução.
## Mitigação
| Mitigação | Recomendação Prática |
|-----------|---------------------|
| [[m1051-update-software\|M1051 - Updaté Software]] | Manter firmware de todos os componentes atualizado com as versões oficiais do fabricante; habilitar atualizações automáticas de firmware quando suportado via UEFI/BIOS Secure Flash |
| Verificação de integridade | Implementar medição de firmware via TPM (Trusted Platform Module) e válidar hashes antes e após cada ciclo de manutenção de hardware |
| Controle de acesso físico | Restringir acesso físico a servidores críticos; registrar toda atividade de manutenção de hardware com log auditável |
| Segmentação de rede | Isolar sistemas de infraestrutura crítica (ICS/SCADA) que raramente recebem atualizações de firmware para limitar a superfície de ataque inicial |
## Referências
- [[g0020-equation-group|Equation Group]] - documentado pela Kaspersky em 2015 como o primeiro grupo a utilizar esta técnica em escala operacional contra HDDs de múltiplos fabricantes
- [[t1542-001-system-firmware|T1542.001 - System Firmware]] - técnica irmã que atua no BIOS/UEFI do sistema principal
- [[t1542-pre-os-boot|T1542 - Boot Pré-OS]] - técnica pai que agrupa todos os vetores de persistência abaixo do SO
- [[m1051-update-software|M1051 - Updaté Software]] - controle de mitigação principal recomendado pelo MITRE
*Fonte: [MITRE ATT&CK - T1542.002](https://attack.mitre.org/techniques/T1542/002)*