検出コンテンツ: Drovorub マルウェア

先週、FBIとNSAは 共同のセキュリティ警告 を発表し、APT28に新たに渡ったDrovorubマルウェアに関する詳細を公開しました。これはLinuxマルウェアで、侵入されたネットワークにバックドアを展開するために使用されます。このマルウェアは、カーネルモジュールルートキット、インプラント、C&Cサーバー、ポートフォワードモジュール、ファイル転送ツールから成るマルチコンポーネントシステムです。

Drovorubは APT28 グループがファイルの窃取や攻撃されたシステムの遠隔操作を含む様々な機能を実行することを可能にします。このマルウェアは非常にステルス性が高く、その作成者は検出を困難にするために高度な「ルートキット」技術を装備しました。Drovorubマルウェアは複数段階のキャンペーンで使用されており、APTグループが正常にインストールするにはルート権限を取得する必要があります。

システム管理者は、Linuxカーネル3.7以降にアップグレードして、攻撃に弱くならないようにすることを推奨します。 アリエル・ミリャウエル は、Linuxシステム上でDrovorubマルウェアの痕跡を暴く新しいコミュニティルールをリリースしました： https://tdm.socprime.com/tdm/info/RndBRUBsT9xr/mkH0AHQBPeJ4_8xcaxwx/?p=1

このルールは次のプラットフォーム用に翻訳されています：

SIEM：ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, Logpoint, Humio

EDR：Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術： 実行、防御回避

技術： コマンドラインインターフェイス (T1059)、ルートキット (T1014)

SOC Prime TDMを試してみませんか？ 無料登録。または Threat Bounty Programに参加 して、自分のコンテンツを作成し、TDMコミュニティと共有しましょう。