# HIDEDRV > [!high] Rootkit do APT28 projetado para ocultar o backdoor Downdelph de análise forense > HIDEDRV é um rootkit de modo kernel utilizado pelo **APT28** (Fancy Bear/Forest Blizzard) em conjunto com o backdoor **Downdelph** para garantir invisibilidade total do malware diante de ferramentas de segurança. Compartilha código com variantes do **BlackEnergy**, sugerindo infraestrutura técnica compartilhada entre grupos russos. ## Visão Geral HIDEDRV é um rootkit Windows desenvolvido e utilizado pelo [[g0007-apt28|APT28]] (também rastreado como Fancy Bear, Forest Blizzard, Sofacy e STRONTIUM), grupo de inteligência cibernética atribuído ao GRU russo. O HIDEDRV foi implantado em conjunto com o backdoor [[s0134-downdelph|Downdelph]] como componente de persistência avançada, com a função exclusiva de ocultar todos os artefatos do [[s0134-downdelph|Downdelph]] do sistema operacional - arquivos, processos, conexões de rede e entradas no Registro. O malware opera em modo kernel (ring 0), o nível de privilégio mais alto do sistema operacional Windows, o que lhe permite interceptar chamadas de sistema e filtrar as respostas retornadas a aplicações de modo usuário. Ferramentas convencionais de análise de segurança que operam em modo usuário não conseguem enxergar os artefatos protegidos pelo HIDEDRV - tornando-o uma ferramenta crítica para operações de espionagem de longo prazo que exigem presença imperceptível. A análise técnica do WELIVESECURITY (ESET) revelou que o código do HIDEDRV compartilha estruturas com variantes do [[s0089-blackenergy|BlackEnergy]], malware historicamente associado a grupos com nexo russo usados em ataques a infraestrutura crítica ucraniana. Essa sobreposição de código sugere desenvolvimento coordenado ou compartilhamento de componentes técnicos entre diferentes operações russo-alinhadas. O [[g0007-apt28|APT28]] é um dos grupos APT mais ativos e documentados do mundo, com operações contra governos ocidentais, OTAN, partidos políticos, institutos de pesquisa e organizações militares. No Brasil, o perfil de alvos do grupo inclui entidades diplomáticas, organizações internacionais com presença no país e empresas com tecnologia de interesse geopolítico. ## Como Funciona ```mermaid graph TB A["🎯 Alvo comprometido<br/>Acesso inicial APT28"] --> B["📥 Instalação Downdelph<br/>Backdoor de espionagem"] B --> C["🔧 Instalação HIDEDRV<br/>Driver kernel malicioso"] C --> D["🪝 Hook de chamadas de sistema<br/>Interceptação em ring 0"] D --> E["🙈 Ocultação de artefatos<br/>Arquivos, processos, rede"] E --> F["🔒 Backdoor invisível<br/>Downdelph opera sem detecção"] F --> G["📤 Espionagem de longo prazo<br/>Coleta persistente e silenciosa"] ``` ## Análise Técnica O HIDEDRV é carregado como driver de modo kernel via injeção de DLL ([[t1055-001-dynamic-link-library-injection|T1055.001]]). Uma vez no kernel, implementa hooks (ganchos) nas rotinas de serviço do sistema (IRP handlers) responsáveis por enumerar arquivos, processos e conexões de rede. Quando uma aplicação de segurança ou o sistema operacional consulta esses recursos, o HIDEDRV filtra os resultados para remover qualquer referência ao [[s0134-downdelph|Downdelph]] e seus componentes. **O que o HIDEDRV oculta:** - Arquivos e pastas do [[s0134-downdelph|Downdelph]] no sistema de arquivos - Processos do [[s0134-downdelph|Downdelph]] em listas de processos - Conexões de rede estabelecidas pelo [[s0134-downdelph|Downdelph]] - Entradas no Registro usadas para persistência ## Detecção e Defesa **Detecção de rootkits de modo kernel:** - Ferramentas com acesso raw ao disco como Volatility, Rekall ou GMER podem comparar dados do sistema de arquivos físico com o que o sistema operacional apresenta, revelando discrepâncias de rootkit - **Sysmon Event ID 6 (DriverLoad):** Monitorar carregamento de drivers sem assinatura digital válida ou de fornecedores desconhecidos - Análise de memória kernel: comparar tabelas de funções do sistema (SSDT) entre estado esperado e real para detectar hooks **Resposta a incidentes:** - Em caso de suspeita de rootkit kernel, realizar análise de memória a quente antes de desligar o sistema (desligar pode destruir evidências em memória) - Comparar hash de drivers de kernel carregados contra lista de drivers legítimos do Windows ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] opera globalmente com foco em alvos geopoliticamente relevantes para a Rússia. No Brasil, o grupo tem interesse potencial em entidades diplomáticas (Itamaraty, embaixadas), organizações de defesa (ABIN, CDCiber, Exército), e think tanks de política externa e geopolítica. A técnica de rootkit kernel demonstrada pelo HIDEDRV é relevante para entender o arsenal avançado de grupos APT de Estado-nação que podem operar contra alvos brasileiros de alto valor. ## Referências - [MITRE ATT&CK - S0135](https://attack.mitre.org/software/S0135) - [ESET WeLiveSecurity - Downdelph: Seven Months in Ranks of Sophistication](https://www.welivesecurity.com/2015/09/08/downloadpipe-and-downdelph-seven-months-in-ranks-of-sophistication/) - 2015