s1107-nkabuse - RunkIntel

# NKAbuse > Tipo: **malware** · S1107 · [MITRE ATT&CK](https://attack.mitre.org/software/S1107) ## Descrição [[s1107-nkabuse|NKAbuse]] é um malware multiplataforma baseado em Go que abusa da tecnologia NKN (New Kind of Network) para troca de dados entre pares, funcionando como um implante potente equipado com capacidades de flooder e backdoor. O NKN é um protocolo blockchain de comunicação peer-to-peer, e o NKAbuse o utiliza como canal de C2 descentralizado, tornando a infraestrutura de comando extremamente difícil de bloquear ou rastrear. O implante suporta múltiplas plataformas (Linux, macOS, Windows) e arquiteturas (MIPS, ARM, AMD64), o que amplia significativamente sua superfície de ataque. Entre as capacidades documentadas estão ataques de negação de serviço em nível de rede (DDoS flooding), backdoor com shell remoto, captura de tela e persistência via cron jobs em sistemas Unix/Linux. O uso inovador de blockchain como infraestrutura C2 representa uma evolução nas técnicas de evasão, dificultando tanto o bloqueio baseado em IP quanto a análise de tráfego C2 tradicional. **Plataformas:** Linux, macOS, Windows ## Técnicas Utilizadas - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1016-001-internet-connection-discovery|T1016.001 - Internet Connection Discovery]] - [[t1498-network-denial-of-service|T1498 - Network Denial of Service]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1053-003-cron|T1053.003 - Cron]] ## Detecção - Monitorar conexões ao protocolo NKN (porta 30003 UDP) em hosts que não são nós de rede - Detectar binários Go compilados sem assinatura digital em hosts Linux/macOS ([[t1059-004-unix-shell|T1059.004]]) - Alertar para novos cron jobs criados por usuários não-privilegiados ([[t1053-003-cron|T1053.003]]) - Identificar spikes anômalos de tráfego de saída UDP indicativos de atividade de flooder ([[t1498-network-denial-of-service|T1498]]) ## Relevância LATAM/Brasil A natureza multiplataforma do NKAbuse e sua capacidade de atacar servidores Linux o tornam relevante para provedores de serviço, data centers e infraestrutura crítica no Brasil. Ataques DDoS são frequentes contra organizações brasileiras dos setores financeiro, governo e telecomúnicações. A abordagem C2 via blockchain descentralizado torna o NKAbuse especialmente difícil de mitigar com técnicas tradicionais de bloqueio de C2. ## Referências - [MITRE ATT&CK - S1107](https://attack.mitre.org/software/S1107)