La Agencia de seguridad nacional de Estados Unidos y la Oficina Federal de investigación han publicado una notificación de Cybersecurity sobre la
Drovorub malware.
Según el documento informativo,
Drovorub es una Linux malware conjunto de herramientas que consta de un Implant junto con lo siguiente:
- Un módulo de kernel rootkit
- Una herramienta de transferencia de archivos y reenvío de puertos
- Un servidor de comandos y control (C2)
Al desplegarse en un sistema víctima, la
Drovorub Implant (cliente) proporciona la capacidad de establecer comunicaciones directas con una infraestructura C2 controlada por actor, que permite lo siguiente:
- Capacidades de carga y descarga de archivos
- Ejecución de comandos arbitrarios como raíz
- Se reenvía el puerto del tráfico de red a otros hosts de la red.
Para evitar que un sistema sea susceptible a
Drovorub's ocultación y persistencia, los administradores del sistema deben actualizar a Linux kernel 3.7 o posterior para aprovechar al máximo la implementación de la firma de kernel. Además, se recomienda a los propietarios del sistema que configuren los sistemas para cargar solo módulos con una firma digital válida. Esta acción hace que resulte más difícil que un actor Introduzca un módulo de kernel malicioso en el sistema.
Para obtener más información, consulte: