新CAPEC吗?从这里开始
>CAPEC列表> capec - 638:改变组件的固件(版本3.9)

固件capec - 638:改变组件
攻击模式ID: 638
抽象:详细的
视图定制的信息:
+描述
敌人利用系统功能和/或保护不当固件的硬件组件,如硬盘驱动器(HDD),从内部的目标执行恶意代码组件的主引导记录(MBR)。进行这种类型的攻击需要敌人用固件感染目标改变恶意软件,使用已知的工具和有效载荷。一旦执行这个恶意软件,修改MBR包含指令执行负载所需的时间间隔,当系统启动。一个成功的攻击将在受害者获得持久性系统即使重新安装操作系统和/或如果组件被格式化或其数据擦除。
+攻击的可能性

+典型的严重性

非常高的

+的关系
部分帮助此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
自然 类型 ID 的名字
ChildOf 标准的攻击模式标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 452年 受感染的硬件
部分帮助此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
视图名称 顶级类别
域的攻击 软件,硬件
机制的攻击 操作系统资源
+执行流程
探索

  1. 选择目标:攻击敌人寻找一个合适的目标,如政府和/或私人企业组织。

    技术
    确定潜在的目标利用执行侦察任务。

  2. 确定组件:选择一个目标后,对手决定一个脆弱的组件,比如具体的制作和硬盘驱动器的模型,包含在目标系统。

    技术
    (远程访问向量)远程访问的对手收益目标,通常通过额外的恶意软件,探讨了系统来确定硬件组件被杠杆。
    (物理访问向量)对手拦截组件在运输途中和决定如果组件很容易受到攻击。
实验

  1. 可选:创建有效载荷:如果不使用一个已经存在的负载,对手创建自己的执行在定义的时间间隔和在系统引导过程。这个有效载荷可能会在目标系统上进行测试或测试系统来确认其功能。

利用

  1. 插入固件修改恶意软件:一旦确定了一个脆弱的组件,对手利用已知恶意软件感染工具组件的固件和组件的MBR中的载荷下降。这使得对手保持持久性目标并执行有效载荷而不被发现。

    技术
    对手插入固件修改恶意软件在目标组件,通过使用已知的恶意软件工具。
    (物理访问向量)敌人然后发送组件到原来的目的地,它将被安装到系统的受害者。
+先决条件
先进的知识目标组件的固件
先进的知识主引导记录(MBR)
高级的知识工具用来插入固件修改恶意软件。
先进知识组件出货量目标组织。
+技能要求
(级别:高)
访问和反向工程硬件组件固件的能力。
(级别:高)
在运输途中拦截能力组件。
(级别:中等)
能力从MBR创建执行恶意代码。
(等级:低)
利用已知的恶意软件工具来感染目标系统的能力和插入固件修改恶意软件/负载
+所需资源
制造商的硬件组件的源代码。
恶意软件工具用于插入恶意软件和负载到目标组件。
远程或物理访问到目标组件。
+指标
输出观测过程,API调用,或自我监控,分析和报告技术(智能)可以提供洞察mbr的恶意修改。
数字取证工具可能产生的输出表明发生了这种性质的攻击。例子包括意想不到的磁盘分区和/或不寻常的字符串。
+后果
部分帮助这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
范围 影响 可能性
身份验证
授权
获得特权
执行未经授权的命令
旁路保护机制
隐藏活动
保密
访问控制
读取数据
修改数据
+缓解措施
利用硬件组件,不容易受到这种类型的攻击。
实现硬件RAID基础设施。
+例子,实例
方程集团2014年观察高杠杆率已知的恶意软件工具进行固件组件变更对硬盘的攻击。总共12个硬盘类别被证明是脆弱的西部数据等制造商,强身健体,三星和希捷。因为它们的复杂性,只有少数受害者被这些攻击的目标。(ref - 664]
+分类法映射
部分帮助CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
相关ATT&CK分类法映射
条目ID 条目名称
1542.002 Pre-OS引导:组件固件
+引用
[ref - 664]“方程组:问答”。1.5。卡巴斯基实验室总部。2015 - 02。<https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/08064459/Equation_group_questions_and_answers.pdf>。URL验证:2021-06-23
普雷斯顿(ref - 665)。“硬盘固件植入IRATEMONK”。PJHoodsCo博客。2014-10-26。<https://blog.pjhoodsco.org/hard-drive-firmware-implant-iratemonk/>。URL验证:2021-06-23
Bruce Schneier (ref - 666)。“IRATEMONK:国家安全局利用的一天”。Schneier安全。2014-01-31。<https://www.schneier.com/blog/archives/2014/01/iratemonk_nsa_e.html>。URL验证:2021-06-23
+内容的历史
提交
提交日期 提交者 组织
2018-07-31
(版本2.12)
 CAPEC内容团队
修改
修改日期 修饰符 组织
2020-07-30
(版本3.3)
 CAPEC内容团队 manbetx客户端首页
更新Taxonomy_Mappings
2021-06-24
(版本3.5)
 CAPEC内容团队 manbetx客户端首页
更新结果,描述、Example_Instances Execution_Flow,指标,缓解措施,先决条件,引用,Resources_Required, Skills_Required Typical_Severity
更多的信息是可用的,请选择一个不同的过滤器。
页面最后更新或审查:2021年10月21日

使用常见的攻击模式枚举和分类(CAPEC)和相关的引用从这个网站的使用条款。CAPEC赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2007 - 2023,斜方公司。manbetx客户端首页CAPEC和CAPEC标志是斜方公司的商标。manbetx客户端首页