A National Security Agency e o Federal Bureau of Investigation dos Estados Unidos lançaram um comunicado cibersegurança sobre o
Drovorub malware.
De acordo com o comunicado,
Drovorub o é um conjunto de ferramentas Linux malware que consiste em um Implant combinado com o seguinte:
- Um módulo kernel rootkit
- Uma ferramenta de transferência e encaminhamento de porta arquivo
- Um servidor de comando e controle (C2)
Quando distribuída em um sistema vítima, o
Drovorub o Implant (cliente) fornece a capacidade de comunicação direta com uma infraestrutura C2 controlada por ator, o que permite o seguinte:
- Recursos de download e upload de arquivos
- Execução de comandos arbitrários como raiz
- Encaminhamento de porta do tráfego de rede para outros hosts na rede.
Para evitar que um sistema seja suscetível a
Drovorub's ocultação e persistência, os administradores do sistema devem atualização ao kernel do Linux 3.7 ou posterior para aproveitar ao máximo a imposição de assinatura do kernel. Além disso, os proprietários do sistema são aconselhados a configurar sistemas para carregar apenas módulos com uma assinatura digital válida. Essa ação faz com que seja mais difícil para um ator introduzir um módulo de kernel mal-intencionado no sistema.
Para mais informações, consulte: