# Drovorub > Tipo: **malware** · S0502 · [MITRE ATT&CK](https://attack.mitre.org/software/S0502) ## Descrição [[drovorub|Drovorub]] é um conjunto de ferramentas de malware para Linux composto por agente, cliente, servidor e módulos de kernel, utilizado pelo [[g0007-apt28|APT28]] (Fancy Bear / GRU). Descoberto e divulgado públicamente pelo FBI e NSA dos EUA em agosto de 2020, o Drovorub representa uma das ferramentas de ataque a Linux mais sofisticadas já documentadas públicamente de origem russa. A arquitetura modular do Drovorub inclui: um implante instalado no sistema-alvo com capacidade de rootkit em nível de kernel; um servidor C2 que coordena as operações; e ferramentas de cliente para gerenciar múltiplos agentes implantados. O módulo de kernel esconde arquivos, processos e conexões de rede maliciosas, tornando a detecção extremamente difícil por métodos forenses convencionais. A comunicação utiliza protocolo customizado sobre WebSockets com JSON, dificultando a inspeção por sistemas de segurança de rede. O malware é capaz de baixar e executar arquivos arbitrários, exfiltrar dados do sistema comprometido, criar túneis de rede e executar comandos remotamente. A persistência é garantida via módulos de kernel que garantem o reinício do implante mesmo após reboot. O relatório conjunto do FBI/NSA alertou que sistemas Linux executando kernel 3.7 ou anterior são particularmente vulneráveis, pois não suportam verificação de assinatura de módulos de kernel de forma eficaz. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1547-006-kernel-modules-and-extensions|T1547.006 - Kernel Modules and Extensions]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1090-001-internal-proxy|T1090.001 - Internal Proxy]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Detecção - Verificar integridade de módulos de kernel carregados: comparar lista de módulos do kernel (`lsmod`) com inventário esperado - módulos não reconhecidos são indicador de rootkit (T1014, T1547.006) - Utilizar ferramentas de verificação de integridade de sistema de arquivos (AIDE, Tripwire) para detectar modificações em bibliotecas compartilhadas e binários críticos - Monitorar conexões WebSocket de processos do sistema Linux para IPs externos não esperados (T1071.001, T1095) - Analisar logs de kernel (`dmesg`) por carregamento de módulos não assinados ou não esperados - O relatório conjunto do FBI/NSA recomenda atualizar o kernel Linux para versão 3.7+ com suporte a verificação de assinaturas de módulos e habilitar `module.sig_enforce=1` ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] (GRU russo) é um ator de ameaça persistente avançada com histórico de ataques a infraestrutura crítica, organizações políticas e mídia globalmente. Servidores Linux no Brasil - amplamente utilizados em provedores de nuvem, universidades, órgãos governamentais e empresas de telecomúnicações - são alvos potenciais. A natureza furtiva do Drovorub, especialmente seu rootkit de kernel, torna-o particularmente perigoso para infraestruturas críticas brasileiras. Administradores de sistemas Linux devem priorizar a aplicação das recomendações do advisory conjunto NSA/FBI (MFI-2020-0051) públicado em agosto de 2020. ## Referências - [MITRE ATT&CK - S0502](https://attack.mitre.org/software/S0502) - [FBI/NSA Advisory MFI-2020-0051](https://www.cisa.gov/sites/default/files/publications/AA20-224A.pdf)