t1542-003-bootkit - RunkIntel

# T1542.003 - Pre-OS Boot: Bootkit > [!critical] Persistência pre-OS via Bootkit > Adversarios modificam o MBR, VBR, UEFI firmware ou bootloader para garantir execução de código malicioso antes do sistema operacional, obtendo persistência extremamente resiliente que sobrevive a reinstalacao do SO e substituicao de disco rigido. ## Visão Geral Um **bootkit** e uma forma avancada de malware que modifica componentes de inicializacao do sistema - como o Master Boot Record (MBR), Volume Boot Record (VBR), firmware UEFI ou bootloader - para executar código malicioso antes do carregamento do sistema operacional. Esta técnica representa um dos niveis mais sofisticados de persistência no arsenal de ameaças ciberneticas, pois opera abaixo do nivel do SO, tornando-se invisivel para a maioria das soluções de segurança tradicionais. A técnica [[t1542-003-bootkit|T1542.003]] foi historicamente associada a grupos de espionagem de estado-nacao, com destaque para o [[g0007-apt28|APT28]] (Sednit/Fancy Bear) que desenvolveu o **LoJax** - o primeiro bootkit UEFI documentado em ambiente real (in-the-wild) em 2018. O LoJax modificava o firmware SPI flash da placa-mae, permitindo persistência que sobrevivia até a troca do disco rigido. O grupo [[g0010-turla|Turla]] também utilizou bootkits MBR em campanhas de espionagem contra alvos governamentais europeus. Bootkits representam uma ameaça particularmente grave porque: (1) executam antes de qualquer software de segurança, (2) podem subverter mecanismos de Secure Boot se configurados incorretamente, (3) sobrevivem a reinstalacao do sistema operacional, e (4) em caso de bootkits UEFI, podem persistir mesmo após substituicao do disco. A detecção e remediacao exigem ferramentas especializadas de análise de firmware e, em casos extremos, substituicao da placa-mae. Embora bootkits sejam predominantemente utilizados por atores sofisticados (APTs patrocinados por estados), o surgimento de frameworks como **Hacking Team's UEFI rootkit** e ferramentas de pesquisa públicadas aumenta o risco de adocao por grupos menos sofisticados. No contexto LATAM, a ameaça e relevante para alvos de alto valor como setores [[government|governamental]], [[energy|energetico]] e de [[critical-infrastructure|infraestrutura critica]]. ## Attack Flow ```mermaid graph TB A["🎯 Initial Access Exploração de vulnerabilidade"] B["⬆️ Privilege Escalation Obtencao de privilegios SYSTEM/root"] C["💾 Firmware Access Leitura e modificacao do firmware/MBR"] D["🔴 Persistence Bootkit implantado no firmware/MBR"] E["🛡️ Defense Evasion Execução pre-OS invisivel a EDR"] F["🕵️ Actions on Objective Espionagem de longo prazo"] A --> B --> C --> D --> E --> F classDef neutral fill:#3498db,stroke:#2980b9,color:#ecf0f1 classDef current fill:#e74c3c,stroke:#c0392b,color:#ecf0f1,stroke-width:3px class A,B,C neutral class D current class E,F neutral ``` **Legenda:** [[t1190-exploit-public-facing-application|T1190]] (Initial Access) - [[t1068-exploitation-for-privilege-escalation|T1068]] (Priv Esc) - **T1542.003 (Persistence)** - [[t1014-rootkit|T1014]] (Defense Evasion) ## Como Funciona ### Tipos de Bootkit | Tipo | Alvo | Persistência | Exemplo | |------|------|-------------|---------| | MBR Bootkit | Master Boot Record | Sobrevive reinstalacao SO | TDL4, Olmasco | | VBR Bootkit | Volume Boot Record | Sobrevive reinstalacao SO | Rovnix, Carberp | | UEFI Bootkit | Firmware SPI Flash | Sobrevive troca de disco | LoJax, MosaicRegressor | | Bootloader Bootkit | GRUB/Windows Boot Manager | Sobrevive reinstalacao SO | BlackLotus, ESPecter | ### Fluxo de implantação (UEFI Bootkit) 1. Atacante obtem privilegios administrativos no sistema alvo 2. Utiliza ferramenta de leitura/escrita de firmware (ex: RWEverything) para ler o conteudo da SPI Flash 3. Modifica módulos DXE (Driver Execution Environment) do firmware UEFI 4. Escreve firmware modificado de volta na SPI Flash 5. Na proxima inicializacao, código malicioso executa antes do SO 6. Bootkit carrega driver de kernel que estabelece persistência e comunicação C2 ### Evolução historica - **2011-2013** - Bootkits MBR dominam: TDL4, Olmasco, Rovnix - **2015** - Hacking Team UEFI rootkit vazado - **2018** - LoJax (APT28): primeiro UEFI bootkit in-the-wild - **2020** - MosaicRegressor: segundo UEFI bootkit documentado - **2022** - BlackLotus: primeiro bootkit a contornar Secure Boot no Windows 11 - **2023** - ESPecter e CosmicStrand ampliam cenário de ameaças UEFI ## Detecção | Fonte de dados | Método | Eficacia | |----------------|--------|----------| | Firmware Integrity | Comparar hash do firmware UEFI com baseline conhecido do fabricante | Alta | | [[ds0016-drive\|Drive]] | Verificar integridade do MBR/VBR comparando com valores esperados | Alta | | Secure Boot Logs | Analisar logs de Secure Boot para violacoes de cadeia de confiança | Media | | [[ds0009-process\|Process Creation]] | Detectar uso de ferramentas de leitura/escrita de firmware (RWEverything, flashrom) | Media | | TPM Attestation | Verificar medidas de PCR (Platform Configuration Register) no TPM | Alta | ### Regra Sigma ```yaml title: Bootkit Indicators - Firmware Read/Write Tool Execution id: runk-t1542003-bootkit status: experimental description: Detecta execução de ferramentas que podem ler ou escrever firmware UEFI/BIOS references: - https://attack.mitre.org/techniques/T1542/003/ logsource: category: process_creation product: windows detection: selection_tools: Image|endswith: - '\RWEverything.exe' - '\RW.exe' - '\flashrom.exe' - '\AFUWINx64.exe' - '\FPT.exe' - '\FPTW64.exe' CommandLine|contains: - 'spi' - 'firmware' - 'flash' - 'bios' - 'uefi' selection_mbr: CommandLine|contains: - '\\.\PhysicalDrive0' - 'mbr' - 'bootsect' condition: selection_tools or selection_mbr falsepositives: - Atualizacoes legitimas de firmware pelo fabricante - Ferramentas de diagnostico de hardware level: critical tags: - attack.persistence - attack.t1542.003 ``` ## Mitigação - **Secure Boot habilitado** - garantir que Secure Boot esteja ativo e corretamente configurado em todos os endpoints, verificando periodicamente o status - **Proteção de firmware** - habilitar write protection de SPI Flash no BIOS/UEFI quando disponível - **TPM (Trusted Platform Module)** - utilizar TPM 2.0 para attestation de integridade de boot e medidas de PCR - **Atualização de firmware** - manter firmware UEFI/BIOS atualizado com patches do fabricante - **HVCI (Hypervisor-protected Code Integrity)** - habilitar em Windows para proteger integridade de código em nivel de hypervisor - **Endpoint Detection** - implantar soluções de segurança com capacidade de verificação de firmware (ex: Microsoft Defender for Endpoint com Secured-core PC) - **Monitoramento de MBR/VBR** - implementar verificação periodica de integridade dos registros de boot Mitigacoes MITRE relacionadas: [[m1046-boot-integrity\|M1046]] - [[m1026-privileged-account-management\|M1026]] ## Relevância LATAM/Brasil > [!latam] Contexto Regional > Embora bootkits sejam técnicas avancadas tipicamente associadas a APTs, o crescente interesse geopolitico na América Latina amplia o risco para alvos estratégicos na regiao. Fatores de risco para o Brasil e América Latina: - **Alvos estratégicos** - setores como petroleo (Petrobras), energia nuclear (Eletronuclear), e orgaos de defesa sao alvos potenciais para espionagem via bootkits por atores de estado-nacao - **Firmware desatualizado** - a maioria das organizacoes latino-americanas não possui processos de atualização de firmware, deixando vulnerabilidades conhecidas exploraveis - **Secure Boot não verificado** - muitas organizacoes habilitam Secure Boot na instalacao mas não verificam periodicamente se continua ativo e configurado corretamente - **Falta de capacidade forense de firmware** - pouquissimas equipes de resposta a incidentes na regiao possuem ferramentas e expertise para análise de firmware - **Cadeia de suprimentos** - equipamentos importados sem verificação de integridade de firmware podem já conter implantes ## Referências - [MITRE ATT&CK - T1542.003](https://attack.mitre.org/techniques/T1542/003/) - [ESET - LoJax: First UEFI rootkit found in the wild](https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild/) - [Kaspersky - MosaicRegressor UEFI Implant](https://securelist.com/mosaicregressor/98849/) - [ESET - BlackLotus UEFI Bootkit Analysis](https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/) - [Microsoft - Secured-core PCs](https://www.microsoft.com/en-us/windows/business/secured-core-pc)