T1592.003: ПРОШИВКИ (FIRMWARE)
Зловмисники збирають дані про типи та версії прошивок (BIOS/UEFI, прошивки мережевих карт, контролерів дисків або систем віддаленого управління, як-от IPMI/iLO). Знання версії прошивки дозволяє хакеру визначити вік обладнання, рівень його оновлення та наявність критичних вразливостей, які неможливо усунути звичайним оновленням Windows або Linux. Це відкриває шлях до найбільш прихованих атак — впровадження руткітів у саме залізо.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть збирати інформацію про прошивки хоста жертви, яка може бути використана під час вибору цілі. Інформація про прошивки може включати різноманітні деталі, такі як тип і версії на конкретних хостах, що може бути використано для отримання додаткової інформації про хости в середовищі (наприклад, конфігурація, призначення, вік/рівень виправлень тощо).
Зловмисники можуть збирати цю інформацію різними способами, наприклад, через пряме виманювання за допомогою Фішингу для отримання інформації. Інформація про прошивки хоста може бути розкрита зловмисникам лише через онлайн-ресурси або інші доступні набори даних (наприклад, оголошення про вакансії, карти мереж, звіти про оцінку, резюме або рахунки-фактури на закупівлю).
Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, пошук на відкритих вебсайтах/доменах або в технічних базах даних), створення оперативних ресурсів (розробка або отримання інструментів) та/або початкового доступу (наприклад, компрометація ланцюжка постачання обладнання або експлуатація публічних додатків).
Чому прошивки — це «святий Грааль» для хакера?
- Невидимість для ОС: Шкідливий код у прошивці (Bootkit) запускається раніше за антивірус. Він може контролювати ядро ОС і залишатися непоміченим роками.
- Стійкість до перевстановлення: Навіть якщо ви повністю видалите Windows, відформатуєте диск і поставите нову систему — вірус у BIOS/UEFI нікуди не зникне.
- Визначення віку системи: Версія прошивки чітко вказує, коли сервер востаннє оновлювався фізично. Якщо прошивка 2020 року, хакер знає, що всі вразливості за 2021-2026 роки на цьому сервері відкриті.
Як зловмисники отримують ці дані?
- Job Postings: “Шукаємо фахівця з оновлення мікрокоду для серверів Supermicro”. Це сигнал хакеру шукати вразливості саме в BMC (Baseboard Management Controller) цього виробника.
- Баннери IPMI/iLO/iDRAC: Якщо порти управління сервером випадково виставлені в інтернет, вони видають версію прошивки прямо у вікні входу.
- Інвойси та рахунки: У публічних звітах про витрати держустанов часто вказані специфікації обладнання аж до версії ревізії материнських плат.
Як захиститися?
- Блокування портів управління: Інтерфейси IPMI/iLO/iDRAC ніколи не повинні бути доступні з інтернету. Тільки через ізольований VPN/Management VLAN.
- Secure Boot: Використовуйте UEFI Secure Boot, щоб запобігти запуску непідписаного коду на етапі завантаження.
- Аудит публікацій: Видаляйте детальні специфікації обладнання з публічних документів та тендерів, де це можливо.
- Оновлення прошивок: Створіть регламент регулярного оновлення BIOS/UEFI та прошивок мережевих пристроїв. Це складніше, ніж оновити Windows, але критично важливо.