Contenu de détection : Malware Drovorub

La semaine dernière, le FBI et la NSA ont publié une alerte de sécurité conjointe contenant des détails sur le malware Drovorub, un nouvel outil entre les mains de l’APT28. Il s’agit d’un malware Linux qui est utilisé pour déployer des portes dérobées dans les réseaux compromis. Le malware est un système à plusieurs composants qui se compose d’un module rootkit du noyau, d’un implant, d’un serveur C&C, d’un module de redirection de port et d’un outil de transfert de fichiers.

Drovorub permet au groupe APT28 d’effectuer diverses fonctions, y compris le vol de fichiers et le contrôle à distance du système attaqué. Le malware est très furtif, ses auteurs l’ont armé de technologies avancées de ‘rootkit’ pour compliquer la détection. Le malware Drovorub est utilisé dans des campagnes à plusieurs phases et nécessite que le groupe APT obtienne les privilèges root avant une installation réussie.

Les administrateurs système sont conseillés de passer à Linux Kernel 3.7 ou version ultérieure afin d’éviter d’être susceptible à une attaque. Ariel Millahuel a publié une nouvelle règle communautaire qui dévoile les traces du malware Drovorub sur les systèmes Linux : https://tdm.socprime.com/tdm/info/RndBRUBsT9xr/mkH0AHQBPeJ4_8xcaxwx/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, Logpoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Evasion de défense

Techniques : Interface en ligne de commande (T1059), Rootkit (T1014)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.