Drovorub Linux malware de rootkit

Resumen

La Agencia de seguridad nacional de Estados Unidos y la Oficina Federal de investigación han publicado una notificación de Cybersecurity sobre la Drovorub malware.

Según el documento informativo, Drovorub es una Linux malware conjunto de herramientas que consta de un Implant junto con lo siguiente:

Un módulo de kernel rootkit
Una herramienta de transferencia de archivos y reenvío de puertos
Un servidor de comandos y control (C2)

Al desplegarse en un sistema víctima, la Drovorub Implant (cliente) proporciona la capacidad de establecer comunicaciones directas con una infraestructura C2 controlada por actor, que permite lo siguiente:

Capacidades de carga y descarga de archivos
Ejecución de comandos arbitrarios como raíz
Se reenvía el puerto del tráfico de red a otros hosts de la red.

Para evitar que un sistema sea susceptible a Drovorub's ocultación y persistencia, los administradores del sistema deben actualizar a Linux kernel 3.7 o posterior para aprovechar al máximo la implementación de la firma de kernel. Además, se recomienda a los propietarios del sistema que configuren los sistemas para cargar solo módulos con una firma digital válida. Esta acción hace que resulte más difícil que un actor Introduzca un módulo de kernel malicioso en el sistema.

Para obtener más información, consulte:

Solución

Cobertura con soluciones de McAfee:

Conjunto de firmas de seguridad de red
Utilice los siguientes valores de UDS para detectar la Drovorub Tráfico C&C en la red. Esta configuración de UDS se ha incorporado al grupo de firmas NSP semanal publicado el 18 de agosto de 2020:

AttackName = UDS-Malware: Drovorub Malware C2 Traffic Detected

La información sobre los conjuntos de firmas definidos por el usuario se proporciona en KB55447-registro: versiones de firma definidas por el usuario de Network Security Platform.

ENS para Linux y VSE para Linux
Cobertura para el Drovorub malware se proporciona en los archivos DAT del 14 de agosto de 2020 AMCore versiones de contenido. La cobertura se basa en la amplia información proporcionada en el asesoramiento de seguridad de NSA/FBI. Es posible que las variantes futuras del malware requieran nuevas actualizaciones de firmas.

McAfee Active Response y MVISION Endpoint de detección y respuesta
Siga los pasos que se indican a continuación para crear un recopilador personalizado que detecte los hashes de archivo utilizados por la Drovorub malware.

Recopilador de hash de archivo:

Si el archivo hash recopilador estuviera activado en el sistema, podría ser posible buscar artefactos creados antes del rootkit Implant, donde el nombre de archivo contiene dr_client, o bien dr_mod.

Recopilador personalizado:

El siguiente ejemplo especifica /dev/zero como dispositivo de prueba, pero puede cambiar o actualizar el recopilador según sea necesario.
Además, proporciona el resultado de /etc/modules, o bien /etc/modules-load.d/ archivos en los que buscar patrones adicionales.

Indica

Cree un recopilador personalizado (catálogo, Nuevo recopilador):
1. Para EDR: nombre: _DR , Descripción Drovorub detector.
  Para MAR: nombre: DR , Descripción Drovorub detector.
2. Activa Linuxy escriba Script de Bash.
3. Copie y pegue el contenido del adjunto sample_collector.txt archivo en la sección datos adjuntos de este artículo.
4. Agregue tres columnas:

El DrFileTest, Escriba Tipo.
El ModulesContent, Escriba Tipo.
El ModulesFiles, Escriba Tipo.

Ejecute el recopilador mediante la búsqueda Real Time:

Columnist	Value
DrFileTest	"Prueba de archivo superada": el archivo > no está oculto tras la creación "File test Hidden-puede estar infectado: paso de detección activado del archivo >. Requerir más investigación "Error": error en la prueba de > por otro motivo
ModulesContent	Contenido de /etc/modules File
ModulesFiles	Lista de archivos presentes en /etc/modules-load.d/

Archivo adjunto

sample_collector.txt
805Bytes • < 1 minute @ broadband

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Productos implicados

Endpoint Security for Linux Threat Prevention 10.x
McAfee Active Response 2.x
MVISION EDR - All Versions
Network Security Signature Set - All Versions
VirusScan Enterprise for Linux 2.0.x
VirusScan Enterprise for Linux 1.9.x
Vulnerability Response

Idiomas:

Este artículo se encuentra disponible en los siguientes idiomas:

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro

Knowledge Center

Drovorub Linux malware de rootkit

Entorno

Resumen

Solución

Archivo adjunto

Descargo de responsabilidad

Productos implicados

Idiomas:

Title

Title

Knowledge Center

Drovorub Linux malware de rootkit

Entorno

Resumen

Solución

Archivo adjunto

Descargo de responsabilidad

Productos implicados

Idiomas:

Elija su región

Title

Title