聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
FBI和NSA联合发布安全警告,详细披露了据称是俄罗斯军事黑客开发并部署在真实攻击活动中的Linux新型恶意软件Drovorub。据称该恶意软件用于在被黑网络中植入后门。
FBI 和 NSA 指出,Drovorub 出自 APT28(Fancy Bear 或 Sednit)之手,即俄罗斯总参谋部情报总局(GRU,格鲁乌)第85主要特种服务中心 (GTsSS) 第26165分队。它们表示发出警告的原因是提高美国民营和公共部门的意识,帮助 IT 管理员快速部署检测规则和防御措施。
APT28 入侵 Linux 系统的瑞士军刀
FBI 和 NSA 表示,Drovorub 是多组件系统,包含一个植入、一个内核模块 rootkit、一个文件传输工具、一个端口转发模块和一个命令和控制服务器。
McAfee 公司的首席技术官 Steve Brobman 认为,“Drovorub 具有瑞士军刀的能力,可导致攻击者执行多种功能如窃取文件并远程控制受害者的计算机。除了多种能力外,它利用高级的 rootkit 技术使检测变得更加困难。这种隐秘性可使操纵者在多种不同类型的目标中植入恶意软件,随时发动攻击。”
Grobman 表示,“美国是潜在网络攻击的目标。Drovorub 的目标并非在报告中提到,但可能包括工业间谍到选举干涉等等方面不一而足。NSA 和 FBI 发布的技术详情对于美国的网络防御人员而言具有很高的价值。”
为阻止这些攻击活动,FBI 和 NSA 加以美国组织机构将任何 Linux 系统更新至运行内核版本 3.7 或后续版本,“以充分利用内核签名执行”特性,它将阻止 APT 28 黑客安装 Drovorub 的 rootkit。
这份联合安全警告中HIA包含运行 Volatility、探查文件隐藏行为、Snort 规则和 Yara 规则的指南,目的都是为了部署正确的检测措施。
这份长达45页的安全警告中提到如下有意思的细节:
“Drovorub”这一名称是 APT28 为恶意软件起的,而不是 NSA 或 FBI 分配的。
该名称源自 drovo 和 rub,前者意思是“柴火”或“木头”,后者是“倒下”或“砍倒”。
FBI 和 NSA 表示它们是在俄罗斯黑客在多次攻击活动中复用服务器后将该恶意软件和 APT28 联系在一起的。例如,它们声称APT28 在春攻击物联网设备时使用的C2服务器和 Drovorub 连接。微软曾记录了相关的IP地址。
推荐阅读
严重的 BootHole 漏洞影响所有 Linux 发行版和 Windows 系统(详细分析)
无法检测的新型 Linux 恶意软件利用 Dogecoin API 攻击 Docker 服务器
原文链接
/article/fbi-and-nsa-expose-new-linux-malware-drovorub-used-by-russian-state-hackers/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 ”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个“在看” 吧~
