# Skidmap > Tipo: **malware** · S0468 · [MITRE ATT&CK](https://attack.mitre.org/software/S0468) ## Descrição [[s0468-skidmap|Skidmap]] é um rootkit em modo kernel para Linux especializado em mineração de criptomoedas - representando uma evolução significativa nos cryptominers, que historicamente eram implementados como simples processos de usuário. Ao operar como módulo de kernel (LKM - Loadable Kernel Module), o [[s0468-skidmap|Skidmap]] obtém o nível mais alto de acesso ao sistema, permitindo-lhe ocultar sua atividade de ferramentas de monitoramento de nível de usuário e manipular métricas do sistema para disfarçar o consumo anômalo de CPU associado à mineração. As técnicas de evasão do [[s0468-skidmap|Skidmap]] são especialmente sofisticadas: ele manipula módulos PAM (Pluggable Authentication Modules) ([[t1556-003-pluggable-authentication-modules|T1556.003]]) para criar uma backdoor de autenticação no sistema, adiciona chaves SSH autorizadas ([[t1098-004-ssh-authorized-keys|T1098.004]]) para acesso persistente, e carrega módulos de kernel maliciosos ([[t1547-006-kernel-modules-and-extensions|T1547.006]]) que ocultam processos, arquivos e tráfego de rede relacionados ao miner. Métricas de CPU são falsificadas pelo rootkit para exibir carga normal mesmo durante mineração intensa. O [[s0468-skidmap|Skidmap]] é distribuído tipicamente através de vulnerabilidades em servidores Linux expostos à internet, scripts de configuração mal-protegidos ou ataques de força bruta em SSH. Uma vez instalado com privilégios de root, o malware estabelece múltiplos mecanismos de persistência: cron jobs ([[t1053-003-cron|T1053.003]]), módulos de kernel persistentes e backdoors PAM - tornando a remoção completa extremamente difícil sem reinstalação do sistema operacional. O masquerading ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]) de processos e arquivos como componentes legítimos do sistema complementa as capacidades de evasão do rootkit. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1496-001-compute-hijacking|T1496.001 - Compute Hijacking]] - [[t1098-004-ssh-authorized-keys|T1098.004 - SSH Authorized Keys]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1053-003-cron|T1053.003 - Cron]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1547-006-kernel-modules-and-extensions|T1547.006 - Kernel Modules and Extensions]] - [[t1556-003-pluggable-authentication-modules|T1556.003 - Pluggable Authentication Modules]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] ## Detecção - Implementar monitoramento de integridade de módulos de kernel (verificar módulos LKM carregados contra baseline conhecido) - Auditar periodicamente arquivos PAM (`/etc/pam.d/`, bibliotecas PAM) contra baseline de instalação limpa - Monitorar chaves SSH autorizadas em todos os usuários do sistema para adições não autorizadas - Usar ferramentas de detecção de rootkit (rkhunter, chkrootkit) regularmente como parte de verificações de segurança - Implementar monitoramento externo de CPU (via hypervisor ou hardware) para comparar com métricas reportadas pelo SO - discrepâncias indicam possível rootkit ## Relevância LATAM/Brasil O [[s0468-skidmap|Skidmap]] é altamente relevante para o Brasil, onde a infraestrutura de cloud computing e servidores Linux expostos à internet cresceu exponencialmente. Empresas brasileiras de todos os portes utilizam servidores Linux para web hosting, bancos de dados, e-commerce e cloud-native applications - todos potenciais alvos de [[s0468-skidmap|Skidmap]] e cryptominers similares. O custo de energia elétrica relativamente alto no Brasil amplifica o impacto econômico do cryptomining não autorizado. Provedores de cloud brasileiros (Locaweb, Uol Host, etc.) e empresas com grandes frotas de servidores Linux devem implementar monitoramento de integridade de kernel como controle de segurança prioritário. ## Referências - [MITRE ATT&CK - S0468](https://attack.mitre.org/software/S0468)