OBS: Esse projeto foi um projeto de pesquisa com fins acadêmicos e científicos.
Em março de 2024, terminei o desenvolvimento de um malware que operava 100% no kernel mode do Windows, tornando-o invisível para todos os antivírus que testei devido à sua assinatura digital legítima. O malware era injetado usando um Raspberry Pi Pico que ficava na máquina. Foi possível infectar rapidamente várias máquinas com Windows, coletando senhas, cookies, documentos e imagens. Esses arquivos eram enviados com criptografia de ponta a ponta para um servidor que gerenciava as máquinas infectadas. O malware foi totalmente programado em C++20, abrangendo desde o servidor até as modificações no Raspberry Pi Pico. Sistemas de monitoramento e controle como UltraVNC podiam ser facilmente desativados. Foi possível corromper sistemas virtualizados com TimeFreeze e Shadow Defender. Um total de aproximadamente 130 máquinas foram infectadas e usadas como cobaias.
A conclusão deste projeto destacou os riscos associados a portas USB de fácil acesso, particularmente no contexto da injeção de malware. Embora o sistema Windows ofereça camadas de proteção e segurança, a facilidade de acesso físico a portas USB pode ainda representar uma vulnerabilidade significativa para a integridade e segurança do sistema.
Comentários:
- A maioria dos sistemas estava com configurações padrão após a instalação.
- O custo da assinatura digital para um driver, é por volta de 500 euros.
- Foi queimado o total de 23 (vinte e três) Raspberry Pi Pico durante os testes.
- Foi recebido no total o valor de 18 mil dólares com as recompensas de bug bounty.
- A empresa que mais pagou pelo bug bounty foi uma empresa russa.
O que foi feito para prevenir:
- UAC e BIOS com senha.
- Configurações de reconhecimento de dispositivos, como o tal Plug and Play foi desativado.
- Utilização do sistema de virtualização nativa do Windows.
- pfSense + Pi-hole.
- e +.
Eu tenho uma extrema gratidão a todos os indivíduos que tornaram esse projeto possível!