ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1067

术语表: /attack/glossary

Bootkit

bootkit 是一种恶意软件变体,它修改硬盘驱动器的引导扇区,包括主引导记录 (MBR) 和卷引导记录 (VBR)。 攻击者可以使用 bootkits 在操作系统下面的层上的系统上持久存在,这可能使得难以执行全面的补救,除非组织怀疑使用的 bootkit 并且可以相应地采取行动。­

主引导记录

MBR 是 BIOS 完成硬件初始化后首先加载的磁盘部分。它是引导加载程序的位置。对引导驱动器有原始访问权限的攻击者可能会覆盖此区域,从而在启动期间将执行从正常的引导加载程序转移到攻击者代码。

卷引导记录

MBR 将引导过程的控制权传递给 VBR。与 MBR 的情况类似,具有对引导驱动器的原始访问权限的攻击者可能会覆盖 VBR 以将启动期间的执行转移到攻击者代码。

缓解

确保设置了适当的权限以帮助防止攻击者访问执行此操作所需的特权帐户。使用可信平台模块(Trusted Platform Module)技术和安全或可信的引导以防止系统完整性受到损害。

检测

对 MBR 和 VBR 执行完整性校验。拍摄 MBR 和 VBR 的快照,并与已知良好的样本进行比较。当 MBR 和 VBR 出现可疑活动的迹象时,报告它们的变化并进行进一步分析。