π¦ ENDPOINT SECURITY β CPU Ring & Boot Chain
Setiap ancaman punya βalamatβ di CPU Ring. Semakin kecil angka Ring, semakin dalam aksesnya ke hardware β dan semakin sulit dideteksi. MBR Bootkit duduk di Pre-OS β aktif sebelum kernel Ring 0 sempat menyala.
Cara Baca
Ring = Privilege level CPU. Kolom Blue Team = apa yang bisa dilakukan defender. Kolom Red Team = apa yang dipakai attacker. Baca dari bawah (Ring 3) ke atas (Ring -3) untuk memahami eskalasi privilege.
Tabel Threat per CPU Ring & Boot Stage
| Lapisan | CPU Ring / Boot Stage | β£οΈ Threat yang Bersarang | π΅ Blue Team (Defender) | π΄ Red Team (Attacker) |
|---|---|---|---|---|
| Intel ME / AMD PSP | Ring -3 (Prosesor terpisah, selalu ON) | Supply chain implant langsung dari pabrik β tidak terdeteksi OS apapun | Eclypsium Hardware Scan, vendor audit board, ME firmware disable (jika didukung) | NSA ANT Catalog (COTTONMOUTH, IRATEMONK), firmware backdoor pabrik nation-state |
| SMM β System Management Mode | Ring -2 (Firmware interrupt, OS buta total) | SMM Rootkit β berjalan di interrupt tersembunyi yang OS tidak pernah lihat | CHIPSEC, vendor SMM lockdown policy, Intel Boot Guard | LoJax (Fancy Bear / APT28), SMM implant custom |
| Hypervisor / VMM | Ring -1 (Virtual Machine Monitor) | Hypervisor Rootkit β mengangkat OS yang asli menjadi VM tanpa sepengetahuan pengguna | Intel TXT, AMD SEV, Hyper-V SLAT, measured boot via TPM | Blue Pill, vBootkit, VM escape exploit |
| UEFI / BIOS Firmware | Pre-Boot (sebelum bootloader dipanggil) | UEFI Implant β survive format ulang & ganti SSD karena bersarang di cip ROM motherboard | UEFI Secure Boot, TPM 2.0 attestation, Eclypsium UEFI scan | MoonBounce, CosmicStrand, BlackLotus (bypass Secure Boot Windows 11) |
| MBR / VBR / Bootloader | Pre-OS (setelah UEFI, sebelum kernel Ring 0 menyala) | MBR Bootkit β menuliskan dirinya ke sektor 0 disk, aktif lebih dulu dari Windows/Linux manapun | BitLocker + Secure Boot chain, integrity check via TPM PCR, bootrec /fixmbr | TDL4, Necurs, Petya/NotPetya MBR wiper, GRUB-based bootkit |
| Kernel & Driver | Ring 0 (OS Kernel, driver hardware) | Kernel Rootkit, driver exploit, BYOVD β menunggangi driver legitimate yang sudah punya signature | EDR kernel driver (CrowdStrike, SentinelOne, Wazuh), Windows DSE enforcement, PatchGuard | Kernel rootkit, driver signing bypass, BYOVD (Bring Your Own Vulnerable Driver) |
| User Space | Ring 3 (Aplikasi biasa) | Ransomware, RAT, trojan, spyware, fileless malware di memori | Antivirus, EDR user-agent, application whitelisting (AppLocker), sandboxing | Metasploit, Cobalt Strike, Havoc C2, PowerShell Empire |
Peta Posisi Threat β Endpoint
Ring -3 β Intel ME / AMD PSP Implant β Tidak ada software yang bisa deteksi
Ring -2 β SMM Rootkit (LoJax) β Survive ganti motherboard
Ring -1 β Hypervisor Rootkit β OS mengira dirinya bare-metal
Pre-Boot β UEFI Implant β Survive format & ganti SSD
Pre-OS β β MBR BOOTKIT DI SINI β Aktif sebelum Windows menyala
Ring 0 β Kernel Rootkit β EDR bisa lawan, tapi arms race terus
Ring 3 β Ransomware, RAT, Trojan β Yang 99% orang kenal sebagai "virus"
BYOVD: Senjata Ganda
Bring Your Own Vulnerable Driver (BYOVD) di Ring 0 bukan hanya teknik cheat game β ini teknik APT nyata yang digunakan BlackByte ransomware dan Lazarus Group untuk mematikan EDR. Driver lama yang punya signature valid tapi vulnerable di-load, di-exploit, dan digunakan untuk mendapat akses Ring 0.
π Lihat Juga
- Master Index
- Network Security β OSI Layer 1β8 Blue/Red Team
- Data Recovery β Partition & Data Recovery Level 0β7
- Computer Science Foundations β OS Internals (Kernel Module, Hypervisor)
- Underground Knowledge β BYOVD overlap di Cheat Engine Level 3
- Hardware Hacking β Firmware RE sebagai vektor analisis
Endpoint Security | CPU Ring -3 sampai Ring 3 Β· Boot Chain Threat Landscape