Erkennungsinhalt: Drovorub-Malware

Letzte Woche veröffentlichten das FBI und die NSA eine gemeinsame Sicherheitswarnung mit Details über die Drovorub-Malware, einem neuen Werkzeug in den Händen der APT28. Dies ist eine Linux-Malware, die verwendet wird, um Hintertüren in kompromittierten Netzwerken zu installieren. Die Malware ist ein mehrkomponentiges System, das aus einem Kernel-Modul-Rootkit, einem Implantat, einem C&C-Server, einem Port-Forwarding-Modul und einem Dateiübertragungstool besteht.

Drovorub ermöglicht der APT28 Gruppe, verschiedene Funktionen durchzuführen, einschließlich dem Stehlen von Dateien und der Fernsteuerung des angegriffenen Systems. Die Malware ist äußerst unauffällig, ihre Autoren haben sie mit fortschrittlichen ‚Rootkit‘-Technologien ausgestattet, um die Erkennung zu erschweren. Die Drovorub-Malware wird in mehrstufigen Kampagnen eingesetzt und erfordert, dass die APT-Gruppe Root-Privilegien erlangt, bevor sie erfolgreich installiert werden kann.

Systemadministratoren wird geraten, auf Linux Kernel 3.7 oder neuer aufzurüsten, um anfällig für Angriffe zu vermeiden. Ariel Millahuel veröffentlichte eine neue Community-Regel, die Spuren der Drovorub-Malware auf Linux-Systemen aufdeckt: https://tdm.socprime.com/tdm/info/RndBRUBsT9xr/mkH0AHQBPeJ4_8xcaxwx/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung, Umgehung der Verteidigung

Techniken: Befehlszeilenschnittstelle (T1059), Rootkit (T1014)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder nehmen Sie am Threat Bounty Program teil um eigene Inhalte zu erstellen und sie der TDM-Community zur Verfügung zu stellen.