# Umbreon > Tipo: **malware** · S0221 · [MITRE ATT&CK](https://attack.mitre.org/software/S0221) ## Descrição [[umbreon|Umbreon]] é um rootkit Linux que fornece acesso backdoor persistente a sistemas comprometidos, ocultando-se de defensores e ferramentas de segurança. O malware implementa um ring-3 rootkit userland que intercepta chamadas de sistema para esconder sua presença, tornando-o extremamente difícil de detectar por ferramentas convencionais de segurança em Linux. O Umbreon cria uma conta de usuário local oculta para garantir acesso persistente e utiliza técnicas de traffic signaling - especialmente a técnica "knock" - para aceitar conexões apenas de clientes autorizados, reduzindo a exposição do backdoor a scanners de rede e honeypots. As comúnicações utilizam protocolos de camada não-aplicação, dificultando a inspeção por soluções de segurança baseadas em DPI. Este rootkit foi descoberto pela Trend Micro em 2016 e é notável por sua sofisticação técnica voltada específicamente para ambientes Linux, plataforma frequentemente menos monitorada que ambientes Windows. Seu uso demonstra o interesse crescente de atores de ameaça em comprometer servidores Linux, sistemas embarcados e dispositivos IoT. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1205-traffic-signaling|T1205 - Traffic Signaling]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1078-003-local-accounts|T1078.003 - Local Accounts]] ## Detecção A detecção do Umbreon é especialmente desafiadora devido à sua natureza de rootkit userland. Abordagens eficazes incluem: comparação de chamadas de sistema via `/proc` com resultados diretos de syscalls para identificar discrepâncias; uso de ferramentas especializadas como `rkhunter` e `chkrootkit`; monitoramento de criação de contas locais suspeitas em sistemas Linux; e análise de tráfego de rede para padrões de port-knocking ou conexões em protocolos incomuns. ## Relevância LATAM/Brasil Rootkits Linux como o Umbreon representam uma ameaça relevante para infraestruturas críticas brasileiras, onde servidores Linux são amplamente utilizados em setores de energia, telecomúnicações e governo. A dificuldade de detecção de rootkits userland em Linux torna essencial a implementação de monitoramento de integridade de sistema (FIM) e soluções EDR compatíveis com Linux em ambientes de missão crítica no Brasil. ## Referências - [MITRE ATT&CK - S0221](https://attack.mitre.org/software/S0221)