Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1542 , T1542.001 , T1542.002 , T1542.003 , T1542.004 , T1542.005
Вредоносные программы могут использовать буткиты для сохранения своего присутствия в системах. Буткиты находятся на уровне ниже операционной системы и могут затруднить полное устранение последствий, если организация не подозревает об их использовании и не может действовать соответствующим образом.
Буткит - это вариант вредоносного ПО, который изменяет загрузочные сектора жесткого диска, включая главную загрузочную запись (MBR) и загрузочную запись тома (VBR). (Цит. по: Mandiant M Trends 2016) MBR - это раздел диска, который первым загружается после завершения аппаратной инициализации BIOS. На нем располагается загрузчик. Злоумышленник, имеющий необработанный доступ к загрузочному диску, может перезаписать эту область, перенаправив выполнение во время запуска с обычного загрузчика на код злоумышленника.(Цит. по: Lau 2011)
MBR передает управление процессом загрузки VBR.Как и в случае с MBR, злоумышленник, имеющий необработанный доступ к загрузочному диску, может перезаписать VBR, чтобы переключить выполнение во время запуска на код Злоумышленника.
https://attack.mitre.org/techniques/T1542/003
Визуализация смежных техник для T1542.003
| № | Техника |
|---|
