Drovorub, un malware russe ciblant Linux qui a été découvert par la NSA et le FBI

Le FBI et la NSA ont publié une alerte de sécurité hier contenant collectivement des détails sur un nouveau malware affectant Linux et que selon les deux agences, Il a été développé et déployé lors d'attaques réelles par des pirates militaires russes.

Les deux agences affirment que des pirates informatiques russes ont utilisé le logiciel malveillant, appelé drovorub, pour installer des portes dérobées à l'intérieur de réseaux piratés.

À propos de Drovorub

Les logiciels malveillants ont différents modules qui garantissent la furtivité, persistance et un accès complet à la machine attaché aux plus hauts privilèges.

Dans le rapport technique publié par la NSA et le FBI, Publication des détails sur les capacités et les propositions de Drovorub pour les solutions de détection et la prévention.

Selon le rapport, le rootkit est très efficace pour se cacher sur une machine infectée et survit aux redémarrages à moins que:

«Le démarrage sécurisé UEFI (Unified Extensible Firmware Interface) est activé en mode« Complet »ou« Complet ».

Le rapport décrit les détails techniques de chaque partie de Drovorub, qui communiquent entre eux via JSON sur WebSockets et chiffrent le trafic vers et depuis le module serveur à l'aide de l'algorithme RSA.

NSA et le FBI a attribué le malware à la principale direction du renseignement de l'état-major russe, 85e Centre principal des services spéciaux (GTsSS), unité militaire 26165.

L'activité cyber de cette organisation est liée aux campagnes du collectif de piratage avancé connu sous le nom de Fancy Bear (APT28, Strontium, Group 74, PawnStorm, Sednit, Sofacy, Iron Twilight).

Cette allocation est basée sur l'infrastructure opérationnelle de commandement et de contrôle que les entreprises ont publiquement associée au GTsSS pour se défendre contre les cyberattaques. Un indice est une adresse IP que Microsoft a trouvée dans une campagne Strontium d'exploitation d'appareils IoT en avril 2019 et également utilisé pour accéder à Drovorub C2 pendant la même période

Détection et prévention

L'enquête de la NSA a déterminé que l'activité des logiciels malveillants est visible grâce à des techniques de détection supplémentaires, mais ceux-ci ne sont pas très efficaces pour le module du noyau Drovorub.

Systèmes de détection d'intrusion réseau (NIDS) comme Meerkat, Snort, Zeek peut déverrouiller dynamiquement des messages Protocole WebSocket "masqué" (à l'aide de scripts) et identifier les messages C2 entre les composants client et agent et le serveur Drovorub.

Un proxy TLS obtiendrait le même résultat même si le canal de communication utilise TLS pour le cryptage. Cependant, une mise en garde avec ces méthodes est que le peering peut passer inaperçu si TLS est utilisé ou si l'acteur passe à un format de message différent.

Pour la découverte basé sur l'hôte, le La NSA et le FBI proposent les solutions suivantes:

  • Testez la présence du module noyau Drovorub à l'aide d'un script inclus dans le rapport (à la page 35)
  • Produits de sécurité capables de détecter les artefacts de logiciels malveillants et les fonctionnalités de rootkit, tels que le système d'audit du noyau Linux;
  • Techniques de réponse en direct, recherche de noms de fichiers, de chemins, de hachages spécifiques et avec les règles de Yara (fournies dans le rapport sur les règles de Snort)
  • Analyse de la mémoire, le moyen le plus efficace de trouver le rootkit;
  • Analyse d'image disque, les artefacts de logiciels malveillants sont persistants sur le disque, mais les rootkits les cachent des fichiers binaires et des appels système normaux.

En tant que méthodes de prévention, les deux agences recommandent d'installer les dernières mises à jour Linux et utilisez les dernières versions logicielles disponibles.

De plus, les administrateurs système ils doivent s'assurer que les machines exécutent au moins le noyau Linux 3.7, qui offre l'implémentation de la signature du noyau. La configuration des systèmes pour charger uniquement les modules qui ont une signature numérique valide augmente le niveau de difficulté pour bloquer les modules de noyau malveillants.

Une autre recommandation consiste à activer le mécanisme de vérification UEFI Secure Boot (application complète) qui autorise uniquement le chargement de modules de noyau légitimes. Cependant, cela ne protège pas contre la vulnérabilité BootHole récemment révélée.

source: https://www.zdnet.com


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.