美國國家安全局 (NSA) 和聯邦調查局 (FBI) 在 8月 13日發布的聯合資安警報,警告說俄羅斯間諜正在使用新型惡意軟體入侵 Linux 作業系統。
美國國家安全局和聯邦調查局表示,這是一個初次公佈的惡意軟體“ Drovorub”,據了解該惡意軟體是由與俄羅斯軍隊相關的國家贊助駭客組織 APT 28,又稱為 Fancy Bear 所部署的,而 APT 28 隸屬於俄羅斯總參謀部情報總局 (GRU) 第 85 主要主要特勤中心。
在一份長達 45頁的詳細報告中,這些機構指責駭客將 Drovorub 作為俄羅斯間諜活動的一部分,並提供了檢測和減輕感染的建議。
Drovorub 可讓國家贊助的駭客開展各種活動,例如竊取文件、建立後門訪問權限、遠端控制目標電腦。Drovorub 惡意軟體實作了一種先進的偵測躲避技術,它利用進階的 “rootkit” 功能躲避偵測。
惡意軟體的客戶端可以直接與威脅參與者的 C2 基礎結構通信,具有文件上傳/下載功能,具有 “root” 特權的用戶可以執行任意命令,並且可以將網路流量轉發到網路上的其他電腦。
根據該報告,rootkit 非常成功的隱藏在受感染的電腦上,並且可以在重新啟動後保留下來,除非在 UEFI 啟動時選用 “Full boot” 或 “Thorough boot” 模式下以安全啟動。
報告描述了每個 Drovorub 元件的技術細節,這些元件透過 WebSockets 以 JSON 格式相互通信,並使用 RSA 算法對往返於伺服器的流量進行加密。
美國國家安全局和聯邦調查局建議組織將任何 Linux 系統更新為核心版本 3.7 或更高的版本,以避免受 Drovorub 惡意軟體的 rootkit 感染。
該聯合警報建議運行記憶體取證,探測文件隱藏行為,同時包含 snort 規則和 Yara 規則以檢測威脅。
專家還建議,網路邊界的封包數據檢測可用於發現網路上的 Drovorub 惡意軟體,而基於主機的威脅檢測方法包括掃瞄、資安產品、即時回應、記憶體分析和媒體(磁碟映像)分析,專家還建議系統擁有者使用有效且已簽章的模組進行登入。
欲了解更多關於 Drovorub 惡意軟體的相關情資,可至 OTX 社群:
https://otx.alienvault.com/pulse/5f3581cc4138be1d82c183b8
竣盟科技官網: