| ID | Name |
|---|---|
| T1542.001 | 固件级隐蔽代码注入 |
| T1542.002 | 安全启动机制动态旁路 |
| T1542.003 | 非易失存储隐蔽持久化模块 |
固件级隐蔽代码注入(Firmware-Level Stealth Code Injection)是针对计算机系统引导层的高级持久化技术。攻击者通过篡改UEFI/BIOS固件或引导加载程序(Bootloader),将恶意代码植入系统初始化阶段,使其在操作系统内核加载前获得执行权限。该技术利用固件更新机制或漏洞利用,将恶意负载写入SPI闪存芯片,构建硬件级持久化后门。恶意代码通过劫持系统管理中断(SMI)或运行时服务,在操作系统不可见的层级建立控制通道。
该技术的匿迹性源于硬件层与操作系统层的权限隔离机制。攻击者通过直接操作固件存储介质,绕过操作系统级安全防护的监控范围。其核心思路包括:1)利用固件更新数字签名验证机制的缺陷,注入经过签名的恶意模块;2)采用内存驻留技术,仅在引导阶段将恶意代码加载至芯片缓存,避免在固件存储介质中留下完整攻击载荷;3)通过SMI处理程序劫持,在系统运行时维持隐蔽通信通道。技术实现需解决固件逆向工程、硬件接口协议破解、芯片级写入防护绕过等难题,最终形成难以被传统杀毒软件检测的硬件级恶意载体。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon