# Ebury > Tipo: **malware** · S0377 · [MITRE ATT&CK](https://attack.mitre.org/software/S0377) ## Descrição [[s0377-ebury|Ebury]] é um backdoor OpenSSH e ladrão de credenciais que tem como alvo servidores Linux e hosts de containers, associado ao grupo [[g0124-windigo|Windigo]] (também referênciado como grupo Ebury). O [[s0377-ebury|Ebury]] é instalado principalmente por meio da modificação de bibliotecas compartilhadas (arquivos `.so`) executadas pelo programa OpenSSH legítimo. Observado pela primeira vez em 2009, o [[s0377-ebury|Ebury]] tem sido utilizado para manter uma botnet de servidores, implantar malware adicional e roubar carteiras de criptomoedas, credenciais e dados de cartões de crédito. A métodologia de infecção do Ebury é particularmente sofisticada: ao comprometer um servidor com acesso root, os atacantes modificam as bibliotecas compartilhadas do OpenSSH para interceptar credenciais SSH de todos os usuários que fazem login no servidor comprometido. Esse mecanismo de colheita lateral de credenciais permite a expansão para outros servidores acessados a partir do host comprometido. Uma pesquisa da ESET de 2024 revelou que a botnet Ebury comprometeu mais de 400.000 servidores ao longo de sua existência, com cerca de 100.000 ainda ativos. O Ebury é projetado para máxima furtividade: oculta sua presença bloqueando indicadores nos logs do Linux Audit System, usa criptografia para comúnicações C2 via DNS, e modifica binários do sistema para esconder seus rastros. Em instâncias recentes, o grupo por trás do Ebury foi observado roubando criptomoedas de servidores comprometidos de exchanges e hospedeiros de nós de criptomoedas - demonstrando evolução para fins financeiros além da espionagem tradicional. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1014-rootkit|T1014 - Rootkit]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1556-003-pluggable-authentication-modules|T1556.003 - Pluggable Authentication Modules]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - [[t1562-012-disable-or-modify-linux-audit-system|T1562.012 - Disable or Modify Linux Audit System]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1554-compromise-host-software-binary|T1554 - Compromise Host Software Binary]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1562-006-indicator-blocking|T1562.006 - Indicator Blocking]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] ## Grupos que Usam - [[g0124-windigo|Windigo]] ## Detecção - Verificar integridade das bibliotecas compartilhadas do OpenSSH com `md5sum`/`sha256sum` e comparar com hashes dos pacotes originais - qualquer diferença é indicador de comprometimento (T1554) - Monitorar carregamento de módulos de kernel não reconhecidos e modificações em Pluggable Authentication Modules (PAM) (T1556.003) - Analisar tráfego DNS de saída de servidores: comunicação C2 do Ebury utiliza DNS como canal encoberto (T1071.004) - Verificar logs do Linux Audit System por desabilitações ou modificações de políticas de auditoria por processos não-root (T1562.012) - Comparar binários de sistema (sshd, libssl) com as versões dos pacotes instalados via gerenciador de pacotes - discrepâncias indicam comprometimento de binário do host (T1554) ## Relevância LATAM/Brasil O Ebury representa uma ameaça direta a operadores de servidores Linux no Brasil - provedores de nuvem, empresas de hospedagem, universidades e data centers governamentais. A botnet Ebury, com centenas de milhares de servidores comprometidos historicamente, não discrimina por região geográfica. Servidores Linux mal gerenciados, com SSH exposto à internet e sem autenticação por chave, são alvos primários. Organizações brasileiras que hospedam serviços críticos em Linux devem auditar regularmente a integridade de seus binários OpenSSH e implementar monitoramento de integridade de arquivos de sistema. ## Referências - [MITRE ATT&CK - S0377](https://attack.mitre.org/software/S0377)