# Tsunami Botnet > [!medium] Botnet DDoS para Linux com Backdoor IRC — Usado por Múltiplos Grupos > Tsunami (também conhecido como Kaiten) é um botnet Linux com código-fonte público utilizado para ataques DDoS e como backdoor persistente. Frequentemente implantado em servidores Linux e dispositivos IoT comprometidos por grupos como o 8220 Gang para minério de criptomoedas e ataques DDoS. ## Visão Geral O Tsunami (originalmente chamado Kaiten) é um botnet para sistemas Linux cujo código-fonte foi públicado no início dos anos 2000, tornando-se base para inúmeras variantes ao longo de duas décadas. O malware estabelece um canal de comunicação IRC (Internet Relay Chat) com o servidor C2 do atacante, recebendo comandos para lançar ataques DDoS (UDP flood, TCP flood, ICMP flood) ou executar comandos shell arbitrários. Apesar da idade, o Tsunami continua sendo implantado em sistemas Linux comprometidos por atores modernos. O grupo [[8220-gang|8220 Gang]] foi documentado usando o Tsunami como payload secundário em servidores Linux comprometidos após explotação de vulnerabilidades em software web exposto (Log4j, Apache, etc.), combinando mineração de criptomoedas com capacidade DDoS. O malware persiste no sistema via entradas em cron, rc scripts ou outros mecanismos de inicialização Unix. Sua simplicidade e o histórico de disponibilidade pública o tornam acessível a qualquer ator com interesse em DDoS. > [!latam] Relevância para o Brasil e LATAM > O Brasil é um dos países com maior concentração de servidores Linux mal configurados e com software desatualizado na América Latina, tornando-os alvos frequentes de campanhas de comprometimento em massa. Servidores Linux comprometidos no Brasil são frequentemente incorporados em botnets para DDoS ou mineração. Provedores de cloud e hospedagem brasileiros devem monitorar ativamente sinais de infecção por Tsunami/Kaiten, especialmente em servidores com exposição de serviços web. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais SSH comprometidas ou padrão | | Execution | [[t1059-004-unix-shell\|T1059.004]] | Shell Unix para execução de comandos C2 | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download do binário Tsunami após comprometimento | | Impact | [[t1498-network-denial-of-service\|T1498]] | Ataques DDoS UDP/TCP/ICMP flood | ## Detecção - Monitorar conexões IRC (porta 6667, 6697) de servidores Linux que não deveriam usar IRC - Detectar entradas de cron ou rc scripts adicionadas por processos não reconhecidos - Alertar para tráfego de saída de alto volume (flood) de servidores Linux - Monitorar execução de binários baixados de endpoints externos via curl/wget ## Referências - [The DFIR Report - 8220 Gang: Tsunami Deployment (2023)](https://thedfirreport.com/) - [Malpedia - Tsunami/Kaiten](https://malpedia.caad.fkie.fraunhofer.de/details/elf.tsunami) - [CISA - Linux Botnet Threats](https://www.cisa.gov)