A NSA, agência de espionagem norte-americana, acaba de publicar um documento de 45 páginas detalhando o funcionamento de um malware chamado Drovorub, a quem atribuiu o desenvolvimento ao governo Russo.
Segundo o relatório, o malware é composto por 4 partes:
Cliente, usado como implante.
Módulo de kernel que é o rootkit.
Agente que faz o redirecionamento de portas e transfere arquivos entre vítima e C2.
Servidor que tem o software do C2.
O diagrama geral de funcionamento do malware é mostrado na figura abaixo:
O cliente recebe comandos do servidor, pode transferir arquivos e abrir uma shell remota. Além disso, ele também instala o rootkit, que é capaz de ocultar processos (fazendo com que não apareçam na listagem de comandos como ps e top do Linux), arquivos, sockets abertos e até mesmo pacotes recebidos pelo Netfilter. Em resumo, o atacante tem total controle de seu servidor Linux. Talvez até mais controle que você. ??
Pra saber se seu servidor está infectado, a NSA recomenda buscar pelas strings "sc!^2a", "do_fork" e "net_list_request" num dump de memória. Recomendações adicionais, incluindo regras para detectar o tráfego de rede Snort e Yara para encontrar os arquivos podem ser encontradas no documento. Sinistro. O.o
Editado por Fernando Mercês
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.