# BOOTRASH > [!high] Bootkit VBR que executa antes do Windows para carregar o ecossistema Nemesis invisível a antivírus > BOOTRASH é um instalador de bootkit que sobrescreve o Volume Boot Record (VBR) do disco para carregar o ecossistema de malware financeiro **Nemesis** antes do sistema operacional. Usado pelo grupo **FIN1** contra o setor financeiro, torna a detecção e remoção extremamente difíceis com ferramentas convencionais. ## Visão Geral BOOTRASH é uma ferramenta de implantação de bootkit documentada pela FireEye em 2015, utilizada pelo grupo FIN1 (também referênciado como Carbanak predecessor) em intrusões altamente sofisticadas contra organizações do setor financeiro. Ao contrário de malware convencional que opera dentro do Windows, o BOOTRASH age no nível do Volume Boot Record (VBR) - o código que é carregado pelo BIOS imediatamente antes do sistema operacional, fora do alcance de soluções de antivírus e EDR tradicionais. A missão principal do BOOTRASH não é espionagem ou roubo direto de dados - é estabelecer a persistência invisível necessária para o ecossistema [[nemesis|Nemesis]], um framework completo de malware financeiro que inclui keylogger, captura de tela, transferência de arquivos e manipulação de processos. Uma vez que o BOOTRASH instala o bootkit Nemesis no VBR, o [[nemesis|Nemesis]] carrega antes do Windows em cada inicialização e é completamente invisível para ferramentas de segurança do sistema operacional. O mecanismo é elegante em sua sofisticação: o BOOTRASH cria um sistema de arquivos virtual oculto ([[t1564-005-hidden-file-system|T1564.005]]) no espaço não alocado entre partições do disco - um local que ferramentas forenses convencionais não inspecionam. O [[nemesis|Nemesis]] bootkit é armazenado nesse sistema de arquivos oculto, tornando a remoção completa extremamente difícil mesmo para analistas experientes. O uso de bootkits por grupos financeiramente motivados representa uma escalada significativa de sofisticação - historicamente, bootkits eram território exclusivo de grupos APT de Estado-nação. A adoção pelo FIN1 demonstra que grupos criminosos com recursos suficientes adotam técnicas de espionagem avançadas quando o alvo financeiro justifica o investimento. ## Como Funciona ```mermaid graph TB A["🎯 Acesso inicial<br/>Comprometimento rede financeira"] --> B["🔍 Reconhecimento<br/>BOOTRASH verifica ambiente"] B --> C["📁 Sistema de arquivos oculto<br/>Espaço não alocado entre partições"] C --> D["💾 Sobrescreve VBR<br/>Bootstrap malicioso instalado"] D --> E["🔄 Boot do sistema<br/>BIOS carrega VBR malicioso"] E --> F["👻 Nemesis carrega<br/>Antes do Windows - invisível"] F --> G["💰 Roubo financeiro<br/>Keylog, screen capture, processos"] ``` ## Análise Técnica **Pré-requisitos para instalação (verificados pelo BOOTRASH):** - Partição de boot MBR (não UEFI) presente no disco - .NET Framework 3.5 instalado - Ausência de instalação prévia do BOOTRASH **Processo de instalação:** 1. Cria sistema de arquivos virtual no espaço não alocado entre partições ([[t1564-005-hidden-file-system|T1564.005]]) 2. Armazena os componentes do Nemesis (`vbr.bin`, `vbs.bin`, `bootldr.sys`) no sistema oculto 3. Faz backup do VBR original em local alternativo no disco 4. Sobrescreve o VBR com bootstrap code malicioso ([[t1542-003-bootkit|T1542.003]]) **Na próxima inicialização:** - BIOS carrega o VBR malicioso - VBR carrega os componentes Nemesis do sistema de arquivos oculto - Nemesis inicializa antes do Windows e se integra ao processo de boot - O VBR original é carregado em seguida, Windows inicia normalmente - usuário não percebe nada ## Detecção e Defesa **Detecção de bootkits de VBR:** - **Ferramentas especializadas:** GMER, Rootkit Revealer ou Volatility com análise de boot sector - **Comparação de VBR:** Fazer hash do VBR em estado conhecido limpo e comparar periodicamente contra estado atual - **Análise de espaço não alocado:** Ferramentas forenses como Autopsy ou FTK que inspecionam espaço entre partições **Prevenção:** - **Secure Boot (UEFI):** Sistemas com UEFI Secure Boot habilitado verificam assinatura de todo código de boot, bloqueando VBR não assinado - **[[m1046-boot-integrity|M1046]] - Boot Integrity:** Usar TPM e secure/trusted boot para prevenir modificação de componentes de boot - Manter sistemas com .NET em versões suportadas e monitorar instalações **Resposta a incidentes:** - BOOTRASH sobrevive a reinstalação do Windows (opera abaixo do SO) - Remoção requer restauração do VBR original via ferramentas de boot recovery ou reinicialização a partir de mídia de recovery ## Relevância LATAM/Brasil O setor financeiro brasileiro - um dos maiores e mais digitalizados do mundo - é alvo frequente de grupos financeiramente motivados com TTPs sofisticadas. Bootkits representam a fronteira de técnicas avançadas de persistência: grupos como [[g0008-carbanak|Carbanak]] e seus predecessores documentaram uso de técnicas similares contra bancos em múltiplas regiões. Com o crescimento de ataques como [[g0099-blind-eagle-apt-c-36|Blind Eagle]] e [[lapsus-group|LAPSUS$]] no Brasil, a ameaça de grupos financeiros com capacidades de bootkit é real para bancos, fintechs e processadoras de pagamento brasileiras. ## Referências - [MITRE ATT&CK - S0114](https://attack.mitre.org/software/S0114) - [FireEye - Dissecting One of APT29's Downloader Spiffs](https://www.fireeye.com/blog/threat-research/2015/12/fin1-targets-boot-record.html) - Dezembro 2015 - [Graham Cluley - Stealthy Nemesis Financial Malware](https://grahamcluley.com/stealthy-nemesis-financial-malware-loads-operating-avoids-detection/) - 2015