# HiddenWasp > [!high] Trojan Linux com rootkit LD_PRELOAD e atribuicao chinesa - segundo estagio furtivo com zero deteccoes no lancamento em 2019 > Descoberto pela Intezer em maio de 2019, o HiddenWasp combina um rootkit de modo usuario com um RAT ELF estáticamente linkado, exibindo sobreposicoes de código com Mirai e Azazel - ferramentas de atores chineses. ## Visão Geral [[s0394-hiddenwasp|HiddenWasp]] e um trojan Linux sofisticado descoberto pela Intezer em maio de 2019, projetado para controle remoto persistente e furtivo de sistemas Linux comprometidos. O malware apresentou zero deteccoes em ferramentas antivirus no momento de seu lancamento público - uma conquista que reflete tanto a qualidade técnica de seu desenvolvimento quanto a relativa falta de maturidade em detecção de ameaças Linux em comparacao com Windows. Evidências de código apontam para um ator de ameaça de lingua chinesa, com sobreposicoes identificadas com componentes do malware Mirai (IoT botnet de origem chinesa) e do rootkit Azazel. A arquitetura do HiddenWasp combina tres componentes principais: um script de implantação bash, um rootkit de modo usuario baseado em LD_PRELOAD, e um trojan de acesso remoto ELF estáticamente linkado. Esta combinacao cria uma ameaça de múltiplas camadas: o rootkit oculta a presenca do malware de ferramentas de monitoramento padrao, enquanto o trojan providencia capacidades completas de acesso remoto. A carga estática do binario ELF (linkado com stdlibc++) o torna autossuficiente e independente de bibliotecas específicas instaladas no sistema alvo - uma caracteristica que aumenta sua portabilidade entre diferentes distribuicoes Linux. O HiddenWasp e implantado como segundo estagio em sistemas previamente comprometidos - nao como vetor de acesso inicial. Evidências sugerem que sistemas comprometidos por Mirai (botnet IoT) podem ter sido usados como plataforma de entrada, com o HiddenWasp instalado para providenciar acesso mais persistente e sofisticado do que o Mirai oferecia. Esta cadeia de comprometimento - Mirai como acesso inicial, HiddenWasp como implante de longo prazo - indica um ator com interesse em controle sustentado de infraestrutura Linux de alto valor. **Plataformas:** Linux ## Como Funciona O vetor de implantação do HiddenWasp e um script bash que baixa os componentes do malware de um servidor remoto e os instala no sistema. O rootkit de modo usuario e ativado via `LD_PRELOAD` ([[t1574-006-dynamic-linker-hijacking|T1574.006]]): ao ser adicionado ao arquivo `/etc/ld.so.preload`, o rootkit e carregado em todo processo iniciado no sistema, interceptando chamadas de sistema para ocultar arquivos, processos e conexoes de rede do malware. Esta técnica de rootkit de modo usuario torna ferramentas padrao de monitoramento (`ls`, `ps`, `netstat`, `ss`) cegas ao malware - elas retornam resultados filtrados pelo rootkit. O trojan ELF estabelece comunicação C2 via protocolo nao padrao ([[t1095-non-application-layer-protocol|T1095]]) com criptografia simetrica ([[t1573-001-symmetric-cryptography|T1573.001]]). Para persistência, o malware usa RC scripts ([[t1037-004-rc-scripts|T1037.004]]) e cria uma conta de usuario local ([[t1136-001-local-account|T1136.001]]) como mecanismo de acesso alternativo caso o rootkit sejá descoberto e removido. ## Attack Flow HiddenWasp ```mermaid graph TB A["Acesso inicial externo<br/>Sistema já comprometido<br/>Mirai ou outro vetor"] --> B["Script bash de implantação<br/>Download dos componentes<br/>T1105 Ingress Tool Transfer"] B --> C["Rootkit LD_PRELOAD<br/>T1574.006 linker hijacking<br/>etc/ld.so.preload modificado"] C --> D["Conta de usuario criada<br/>T1136.001 backup de acesso<br/>Independente do rootkit"] D --> E["RAT ELF ativo<br/>C2 nao-padrao criptografado<br/>Comandos remotos executados"] E --> F["Persistência RC scripts<br/>T1037.004 sobrevive reboot<br/>Ferramentas de monitoramento cegas"] classDef initial fill:#dc2626,color:#fff classDef install fill:#ea580c,color:#fff classDef rootkit fill:#ca8a04,color:#000 classDef persist fill:#7c3aed,color:#fff classDef c2 fill:#3b82f6,color:#fff classDef stealth fill:#16a34a,color:#fff class A initial class B install class C rootkit class D persist class E c2 class F stealth ``` ## Linha do Tempo ```timeline Maio 2019 : Intezer descobre HiddenWasp : Zero deteccoes em antivirus no lancamento Maio 2019 : Análise técnica publicada pela Intezer : Atribuicao chinesa via sobreposicao de código 2019-2020 : Análises de outros vendors confirmam : Mirai + Azazel como base de código 2021-atual : Variantes e derivados identificados : Técnica LD_PRELOAD amplamente adotada ``` ## TTPs - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1574-006-dynamic-linker-hijacking|T1574.006 - Dynamic Linker Hijacking]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1037-004-rc-scripts|T1037.004 - RC Scripts]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] ## Relevância LATAM/Brasil O HiddenWasp e relevante para o Brasil no contexto de segurança de infraestrutura Linux: servidores web, sistemas de automacao industrial, dispositivos IoT e ambientes de nuvem baseados em Linux sao onipresentes em empresas brasileiras. As técnicas de rootkit via `LD_PRELOAD` e criação de contas de usuario ocultas sao utilizadas por múltiplos grupos que atacam servidores Linux no Brasil. O vetor de implantação do HiddenWasp via sistemas previamente comprometidos por Mirai e particularmente relevante: o Brasil foi historicamente um dos paises com maior número de dispositivos IoT comprometidos em botnets Mirai. Dispositivos IoT comprometidos na infraestrutura de organizacoes brasileiras podem ser usados como ponto de entrada para implantação de ameaças mais sofisticadas como o HiddenWasp. Auditoria regular de contas de usuario em servidores Linux e verificação de `/etc/ld.so.preload` sao controles básicos de alta eficacia para detectar esta classe de ameaça. ## Detecção Detectar o HiddenWasp requer abordagens que contornem o rootkit de modo usuario: - **Verificar `/etc/ld.so.preload`** - Qualquer entrada neste arquivo por um processo nao reconhecido indica possível rootkit LD_PRELOAD ([[t1574-006-dynamic-linker-hijacking|T1574.006]]) - **Análise de memoria via kernel** - Ferramentas que leem diretamente do kernel (`/proc/kcore`) ou comparam saidas de ferramentas kernel vs. userspace detectam ocultacao de processos - **Auditoria de contas de usuario** - Alertar para criação de contas locais por scripts automatizados fora de jánelas de manutenção ([[t1136-001-local-account|T1136.001]]) - **Monitoramento de rede via kernel** - Soluções com visibilidade de kernel (eBPF, módulos de kernel) sao superiores a ferramentas de modo usuario para detectar conexoes ocultas pelo rootkit - **EDR Linux com visibilidade eBPF** - Ferramentas como Falco, Tetragon ou soluções comerciais com eBPF detectam o HiddenWasp independente do rootkit de modo usuario ## Referências - [1](https://attack.mitre.org/software/S0394) MITRE ATT&CK - S0394 HiddenWasp (2024) - [2](https://www.intezer.com/blog/research/hiddenwasp-malware-targeting-linux-systems/) Intezer - HiddenWasp Malware Targeting Linux Systems (2019) - [3](https://www.intezer.com/blog/research/hiddenwasp-malware-stings-targeted-linux-systems/) Intezer - HiddenWasp Technical Deep Dive (2019) - [4](https://www.alienvault.com/blogs/labs-research/hiddenwasp-malware-targets-linux-systems) AT&T Alien Labs - HiddenWasp Analysis (2019)