Jump to content
  • NSA revela Drovorub: novo rootkit pra Linux


    Fernando Mercês
     Share

    A NSA, agência de espionagem norte-americana, acaba de publicar um documento de 45 páginas detalhando o funcionamento de um malware chamado Drovorub, a quem atribuiu o desenvolvimento ao governo Russo.

    Segundo o relatório, o malware é composto por 4 partes:

    Cliente, usado como implante.
    Módulo de kernel que é o rootkit.
    Agente que faz o redirecionamento de portas e transfere arquivos entre vítima e C2.
    Servidor que tem o software do C2.

    O diagrama geral de funcionamento do malware é mostrado na figura abaixo:

    drovorub.thumb.png.b709a22979ac80cee076bc8c901c284e.png 

    O cliente recebe comandos do servidor, pode transferir arquivos e abrir uma shell remota. Além disso, ele também instala o rootkit, que é capaz de ocultar processos (fazendo com que não apareçam na listagem de comandos como ps e top do Linux), arquivos, sockets abertos e até mesmo pacotes recebidos pelo Netfilter. Em resumo, o atacante tem total controle de seu servidor Linux. Talvez até mais controle que você. ??

    Pra saber se seu servidor está infectado, a NSA recomenda buscar pelas strings "sc!^2a", "do_fork" e "net_list_request" num dump de memória. Recomendações adicionais, incluindo regras para detectar o tráfego de rede  Snort e Yara para encontrar os arquivos podem ser encontradas no documento. Sinistro. O.o

    Edited by Fernando Mercês

     Share


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...