s0362-linux-rabbit

# Linux Rabbit > Tipo: **malware** · S0362 · [MITRE ATT&CK](https://attack.mitre.org/software/S0362) ## Descrição [[s0362-linux-rabbit|Linux Rabbit]] é um malware de mineração de criptomoeda que visou servidores Linux e dispositivos IoT em uma campanha ativa entre agosto e outubro de 2018. O malware compartilha código com uma variante denominada Rabbot, indicando um conjunto de ferramentas comum desenvolvido pelo mesmo ator. O objetivo principal da campanha era instalar mineradores de criptomoeda Monero (XMR) nos servidores e dispositivos comprometidos para gerar receita para os operadores. O Linux Rabbit utiliza técnicas de password spraying ([[t1110-003-password-spraying|T1110.003]]) para acessar sistemas expostos, priorizando SSH e outros serviços de acesso remoto. Após comprometimento bem-sucedido via [[t1133-external-remote-services|T1133]], o malware modifica configurações do shell Unix ([[t1546-004-unix-shell-configuration-modification|T1546.004]]) para garantir persistência mesmo após reinicializações. O C2 é realizado com codificação de dados ([[t1132-data-encoding|T1132]]), ofuscando o tráfego de mineração do monitoramento de rede. O malware verifica o proprietário e usuário do sistema ([[t1033-system-owneruser-discovery|T1033]]) antes de instalar para evitar conflitos com mineradores já presentes. A campanha não foi atribuída a um ator específico, mas o padrão de operação - foco em IoT e servidores Linux, uso de Monero pela rastreabilidade reduzida - é consistente com operadores de mineração oportunista. Dispositivos IoT comprometidos no Brasil e na América Latina, frequentemente com credenciais padrão expostas, são alvos frequentes deste tipo de campanha. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1110-003-password-spraying|T1110.003 - Password Spraying]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1546-004-unix-shell-configuration-modification|T1546.004 - Unix Shell Configuration Modification]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1132-data-encoding|T1132 - Data Encoding]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] ## Detecção - **[[ds-0029-network-traffic|Network Traffic Flow]]** - Monitorar conexões de saída para pools de mineração de criptomoeda (portas 3333, 4444, 5555, 7777, 9999) e tráfego Stratum protocol em servidores Linux e IoT. - **[[ds-0009-process|Process Creation]]** - Detectar execução de processos de mineração (XMRig, cgminer, bfgminer) em servidores de produção, especialmente sob contexto de usuário incomum. - **[[ds-0024-windows-registry|System Configuration Change]]** - Alertar para modificações em arquivos de configuração de shell Unix (`.bashrc`, `.profile`, `/etc/rc.local`) por processos não interativos. ```sigma title: Linux Cryptocurrency Miner Process Detected status: stable logsource: category: process_creation product: linux detection: selection: Image|endswith: - '/xmrig' - '/minerd' - '/cpuminer' CommandLine|contains: - 'stratum+' - 'pool.' - '-o ' condition: selection falsepositives: - Authorized cryptocurrency mining operations level: high tags: - attack.impact - attack.t1496.001 - code/distill ``` ## Relevância LATAM/Brasil Malwares de mineração como o Linux Rabbit têm presença significativa no Brasil e na América Latina, onde a grande quantidade de servidores Linux e dispositivos IoT com credenciais padrão expostas e sem patches representa superfície de ataque relevante. Provedores de nuvem e hospedagem brasileiros registram regularmente incidentes de cryptojacking em instâncias com credenciais SSH fracas ou padrão. ## Referências - [MITRE ATT&CK - S0362](https://attack.mitre.org/software/S0362)