« FedRAMP パブコメ コンテナの展開と使用のための脆弱性スキャン要件 | Main | INTERPOLが「アフリカのオンライン犯罪は表のインターネットからダークウェブに」という報告書を出していますね。。。 »

2020.08.16

FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

こんにちは、丸山満彦です。

FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

Drovorub は、

  • カーネル・モジュール・ルートキット
  • ファイル転送およびポート転送ツール
  • コマンド・アンド・コントロール (C2) サーバー

と結合したインプラントで構成される Linuxマルウェア・ツールセットとのことです。。。

被害者のマシンに配備されると、攻撃者が制御するC2基盤との直接通信機能が装備され、

  • ファイルのダウンロードとアップロード
  • 任意のコマンドの実行
  • ネットワーク上の他のホストへのネットワークトラフィックのポート転送
  • 検出を回避するための隠蔽技術

実装されるとのことです。。。

PDFが詳細です。。。(読んでいませんが・・・)

FBI

・2020.08.13 (Publication) NSA and FBI Expose Russian Previously Undisclosed Malware Drovorub in Cybersecurity Advisory



The National Security Agency (NSA) and the Federal Bureau of Investigation (FBI) released a new cybersecurity advisory about previously undisclosed Russian malware.

・[PDF] Cybersecurity Advisory - Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware

TABLE OF CONTENTS

Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware

Notices and history
 Disclaimer of Warranties and Endorsement
 Sources and Methods

Publication Information
Purpose
Contact Information
Trademark Recognition

Executive Summary

List of Figures

List of Tables

Introduction
 What is Drovorub? 
 Drovorub-server
 Drovorub-client 
 Drovorub-kernel module
 Drovorub-agent

Attribution
 Why is the malware called “Drovorub”, and what does it mean?

Drovorub Technical Details
 Drovorub Components Configuration
  Drovorub-server Configuration
  Drovorub-client Configuration
  Drovorub-agent Configuration
 Drovorub Implant Operation
  Drovorub-client and Drovorub-kernel module Installation
  Linux Kernel Module Persistence
  Network Communications
  Host-based Communications
  Evasion
 Detection
  Detection Methodologies
  Memory Analysis with Volatility
  Drovorub-kernel Module Detection Method
  Snort Rules
  Yara Rules
 Preventative Mitigations
  Apply Linux Updates
  Prevent Untrusted Kernel Modules

Works Cited

 


 

■ 報道等

xakep
・2020.08.14 НОВОСТИ ФБР и АНБ обнаружили Linux-малварь Drovorub, якобы созданную российскими спецслужбами by  


|

« FedRAMP パブコメ コンテナの展開と使用のための脆弱性スキャン要件 | Main | INTERPOLが「アフリカのオンライン犯罪は表のインターネットからダークウェブに」という報告書を出していますね。。。 »

Comments

Post a comment



(Not displayed with comment.)




« FedRAMP パブコメ コンテナの展開と使用のための脆弱性スキャン要件 | Main | INTERPOLが「アフリカのオンライン犯罪は表のインターネットからダークウェブに」という報告書を出していますね。。。 »