ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1019

术语表: /attack/glossary

系统固件

系统固件用来作为操作系统和计算机硬件之间的软件接口, 示例有 BIOS(基本输入/输出系统)和统一可扩展固件接口(UEFI)或可扩展固件接口(EFI) 诸如 BIOS 和(U)EFI 之类的系统固件是计算机功能的基础,并且可以由攻击者修改以执行或协助恶意活动。存在覆盖系统固件的能力,这可能为复杂的攻击者提供安装恶意固件更新的手段,作为在可能难以检测的系统上持久化

缓解

防止攻击者访问特权帐户或执行此技术所需的资源。 检查现有 BIOS 或 EFI 的完整性,以确定其是否易于修改。 根据需要对 BIOS 和 EFI 打补丁。 使用可信平台模块技术。

检测

检测系统固件操作。 转储并检查易受攻击系统上的 BIOS 映像,并与已知的良好映像进行比较。 分析差异以确定是否与恶意更改。记录尝试读写 BIOS 的行为,并与已知的补丁进行比较。 同样,可以收集 EFI 模块,并将其与已知干净的 EFI 可执行二进制文件列表进行比较,以检测潜在的恶意模块。 可以使用 CHIPSEC 框架分析以确定固件是否被修改过。