s0112-rockboot - RunkIntel

# ROCKBOOT > Tipo: **malware** · S0112 · [MITRE ATT&CK](https://attack.mitre.org/software/S0112) ## Descrição [[s0112-rockboot|ROCKBOOT]] é um [[t1542-003|Bootkit]] utilizado por um grupo não identificado, suspeito de ser baseado na China, com possível associação a operações do [[g0096-apt41|APT41]]. Bootkits operam no nível do Master Boot Record (MBR) ou Volume Boot Record (VBR), permitindo que o malware sejá carregado antes do sistema operacional - o que lhe confere um nível de persistência extremamente profundo e resistente a remoção via ferramentas convencionais de segurança. A principal característica do [[s0112-rockboot|ROCKBOOT]] é sua capacidade de sobreviver a reinstalações do sistema operacional, uma vez que o código malicioso reside no setor de boot do disco e não na partição do SO. Isso exige que medidas de remediação incluam a limpeza do MBR e restauração do setor de boot a partir de uma imagem confiável. A técnica [[t1542-003-bootkit|T1542.003]] utilizada pelo malware é classificada como de alto impacto operacional, pois compromete a integridade do processo de inicialização do sistema. O uso de bootkits por grupos de ameaça chineses reflete uma tendência de busca por persistência de longo prazo em ambientes de espionagem, onde o objetivo é manter acesso silencioso por meses ou anos sem ser detectado por soluções de segurança baseadas em agentes de sistema operacional. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1542-003-bootkit|T1542.003 - Bootkit]] ## Grupos que Usam - [[g0096-apt41|APT41]] ## Detecção - Utilizar ferramentas de verificação de integridade do MBR (ex: `bootrec`, análise forense de disco) - Habilitar Secure Boot no firmware UEFI para impedir a execução de código não assinado no processo de inicialização - Monitorar escritas diretas em setores de disco via drivers de baixo nível - Ferramentas EDR com capacidade de análise de integridade de boot (ex: Microsoft Defender for Endpoint com monitoramento de UEFI) - Inspecionar logs de integridade de plataforma via TPM quando disponível ## Relevância LATAM/Brasil Bootkits representam uma ameaça significativa para infraestruturas críticas e ambientes governamentais na América Latina, onde a adoção de Secure Boot e proteções de firmware ainda é inconsistente. Organizações brasileiras dos setores de energia, telecomúnicações e governo que são alvos de espionagem patrocinada por estados devem priorizar controles de integridade de boot como parte de suas estrategias defensivas, especialmente em servidores e estações de trabalho críticas. ## Referências - [MITRE ATT&CK - S0112](https://attack.mitre.org/software/S0112)