Drovorub - российское вредоносное ПО для Linux, обнаруженное АНБ и ФБР.

Вчера ФБР и АНБ выпустили предупреждение о безопасности. в совокупности содержащие детали новое вредоносное ПО, влияющее на Linux и что, по словам двух агентств, Он был разработан и использовался в реальных атаках российскими военными хакерами.

Оба агентства утверждают, что российские хакеры использовали вредоносное ПО под названием Дроворуб, для установки бэкдоров внутри взломанных сетей.

О Дроворубе

Вредоносное ПО имеет различные модули, гарантирующие скрытность, упорство и полный доступ к машине привержен высшим привилегиям.

В техническом отчете, выпущенном АНБ и ФБР, Подробная информация о возможностях Drovorub и выпущенных предложениях по обнаружению и профилактика.

Согласно докладу, руткит очень эффективно скрывается на зараженной машине и выживает после перезагрузки, если:

«Унифицированный расширяемый интерфейс микропрограмм (UEFI). Безопасная загрузка включена в« Полный »или« Полный »режим.

В отчете описаны технические детали каждой части Дроворуба, которые обмениваются данными друг с другом через JSON через WebSockets и шифруют трафик к и от серверного модуля с помощью алгоритма RSA.

АНБ и ФБР приписал вредоносную программу Главному разведывательному управлению Генштаба России., 85-й Главный центр специальных служб (ГЦСС), в / ч 26165.

Киберактивность этой организации связана с кампаниями продвинутого хакерского коллектива, известного как Fancy Bear (APT28, Strontium, Group 74, PawnStorm, Sednit, Sofacy, Iron Twilight).

Это распределение основано на оперативной инфраструктуре командования и контроля, которую компании публично связали с GTsSS для защиты от кибератак. Одна из подсказок - IP-адрес, который Microsoft нашла в кампании Strontium. эксплуатировал устройства IoT в апреле 2019 года, а также использовался для доступа к Drovorub C2 в тот же период.

Обнаружение и предотвращение

Расследование АНБ установило, что активность вредоносных программ видна с помощью дополнительных методов обнаружения, но они не очень эффективны для модуля ядра Drovorub.

Системы обнаружения сетевых вторжений (НИДС) такие как Meerkat, Snort, Zeek могут динамически разблокировать сообщения Протокол WebSocket "скрытый" (с использованием скриптов) и идентифицировать сообщения C2 между клиентским и агентским компонентами и сервером Drovorub.

Прокси-сервер TLS даст тот же результат даже если канал связи использует TLS для шифрования. Однако при использовании этих методов есть одно предостережение: пиринг может остаться незамеченным, если используется TLS или если субъект переключается на другой формат сообщения.

Для открытия на основе хоста, АНБ и ФБР предлагают следующие решения:

  • Проверьте наличие модуля ядра Drovorub с помощью скрипта, включенного в отчет (на странице 35)
  • Продукты безопасности, которые могут обнаруживать вредоносные артефакты и функции руткитов, такие как система аудита ядра Linux;
  • Методы живого ответа, поиск по конкретным именам файлов, путям, хешам и с помощью правил Yara (предоставленных в отчете о правилах Snort)
  • Сканирование памяти, самый эффективный способ найти руткит;
  • Сканирование образа диска, вредоносные артефакты постоянно присутствуют на диске, но руткиты скрывают их от двоичных файлов и обычных системных вызовов.

Как методы профилактики, оба агентства рекомендуют установить последние обновления Linux и используйте последние доступные версии программного обеспечения.

Кроме того, системные администраторы они должны убедиться, что на машинах работает как минимум ядро ​​Linux версии 3.7., который предлагает реализацию подписи ядра. Настройка систем для загрузки только модулей, имеющих действительную цифровую подпись, увеличивает уровень сложности при блокировании вредоносных модулей ядра.

Еще одна рекомендация - включить механизм проверки UEFI Secure Boot. (полное приложение), которое позволяет загружать только легитимные модули ядра. Однако это не защищает от недавно обнаруженной уязвимости BootHole.

источник: https://www.zdnet.com


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

bool (истина)