L'FBI e la NSA hanno rilasciato ieri un avviso di sicurezza contenenti collettivamente dettagli di un nuovo malware che colpisce Linux e che secondo le due agenzie, È stato sviluppato e utilizzato in attacchi reali da parte di hacker militari russi.
Entrambe le agenzie affermano che gli hacker russi hanno utilizzato il malware, chiamato drovorub, per installare backdoor all'interno di reti compromesse.
A proposito di Drovorub
Il malware ha diversi moduli che garantiscono la furtività, persistenza e pieno accesso alla macchina impegnati per i più alti privilegi.
Nel rapporto tecnico pubblicato dalla NSA e dall'FBI, Rilasciati dettagli sulle capacità di Drovorub e proposte per soluzioni di rilevamento e prevenzione.
Secondo il rapporto, il rootkit è molto efficace per nascondersi su una macchina infetta e sopravvive ai riavvii a meno che:
"L'avvio protetto Unified Extensible Firmware Interface (UEFI) è abilitato in modalità" Full "o" Full ".
Il rapporto descrive i dettagli tecnici di ogni parte di Drovorub, che comunicano tra loro tramite JSON su WebSocket e crittografano il traffico da e verso il modulo server utilizzando l'algoritmo RSA.
NSA e FBI ha attribuito il malware alla principale direzione dell'intelligence dello stato maggiore russo, 85 ° centro principale di servizi speciali (GTsSS), unità militare 26165.
L'attività informatica di questa organizzazione è legata alle campagne del collettivo di hacking avanzato noto come Fancy Bear (APT28, Strontium, Group 74, PawnStorm, Sednit, Sofacy, Iron Twilight).
Questa allocazione si basa sull'infrastruttura operativa di comando e controllo che le aziende hanno associato pubblicamente al GTsSS per difendersi dagli attacchi informatici. Un indizio è un indirizzo IP che Microsoft ha trovato in una campagna di stronzio dispositivi IoT operativi nell'aprile 2019 e utilizzati anche per accedere a Drovorub C2 durante lo stesso periodo.
Rilevazione e prevenzione
L'indagine della NSA lo ha stabilito l'attività del malware è visibile tramite tecniche di rilevamento aggiuntive, ma non sono molto efficaci per il modulo kernel Drovorub.
Sistemi di rilevamento delle intrusioni di rete (NIDI) come Meerkat, Snort, Zeek possono sbloccare dinamicamente i messaggi Protocollo WebSocket "nascosto" (tramite script) e identificare i messaggi C2 tra i componenti client e agente e il server Drovorub.
Un proxy TLS otterrebbe lo stesso risultato anche se il canale di comunicazione utilizza TLS per la crittografia. Tuttavia, un avvertimento con questi metodi è che il peering può passare inosservato se viene utilizzato TLS o se l'attore passa a un formato di messaggio diverso.
Per la scoperta basato su host, il La NSA e l'FBI offrono le seguenti soluzioni:
- Testare la presenza del modulo kernel Drovorub utilizzando uno script incluso nel report (alla pagina 35)
- Prodotti di sicurezza in grado di rilevare artefatti malware e funzionalità rootkit, come il sistema di controllo del kernel Linux;
- Tecniche di risposta dal vivo, ricerca di nomi di file, percorsi, hash specifici e con le regole di Yara (fornite nel rapporto sulle regole di Snort)
- Scansione della memoria, il modo più efficiente per trovare il rootkit;
- Scansione dell'immagine del disco, artefatti malware sono persistenti sul disco, ma i rootkit li nascondono dai file binari e dalle normali chiamate di sistema.
Come metodi di prevenzione, entrambe le agenzie consigliano di installare gli ultimi aggiornamenti di Linux e utilizzare le ultime versioni software disponibili.
Inoltre, amministratori di sistema dovrebbero assicurarsi che le macchine eseguano almeno il kernel Linux 3.7, che offre l'implementazione della firma del kernel. La configurazione dei sistemi per caricare solo i moduli che hanno una firma digitale valida aumenta il livello di difficoltà nel bloccare i moduli nocivi del kernel.
Un'altra raccomandazione è abilitare il meccanismo di verifica UEFI Secure Boot (applicazione completa) che consente il caricamento solo dei moduli del kernel legittimi. Tuttavia, ciò non protegge dalla vulnerabilità BootHole recentemente rivelata.
fonte: https://www.zdnet.com