検出コンテンツ: Drovorub マルウェア

[post-views]
8月 20, 2020 · 3 分で読めます
検出コンテンツ: Drovorub マルウェア

先週、FBIとNSAは 共同のセキュリティ警告 を発表し、APT28に新たに渡ったDrovorubマルウェアに関する詳細を公開しました。これはLinuxマルウェアで、侵入されたネットワークにバックドアを展開するために使用されます。このマルウェアは、カーネルモジュールルートキット、インプラント、C&Cサーバー、ポートフォワードモジュール、ファイル転送ツールから成るマルチコンポーネントシステムです。

Drovorubは APT28 グループがファイルの窃取や攻撃されたシステムの遠隔操作を含む様々な機能を実行することを可能にします。このマルウェアは非常にステルス性が高く、その作成者は検出を困難にするために高度な「ルートキット」技術を装備しました。Drovorubマルウェアは複数段階のキャンペーンで使用されており、APTグループが正常にインストールするにはルート権限を取得する必要があります。

システム管理者は、Linuxカーネル3.7以降にアップグレードして、攻撃に弱くならないようにすることを推奨します。 アリエル・ミリャウエル は、Linuxシステム上でDrovorubマルウェアの痕跡を暴く新しいコミュニティルールをリリースしました: https://tdm.socprime.com/tdm/info/RndBRUBsT9xr/mkH0AHQBPeJ4_8xcaxwx/?p=1

 

このルールは次のプラットフォーム用に翻訳されています:

SIEM:ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, Logpoint, Humio

EDR:Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

戦術: 実行、防御回避

技術: コマンドラインインターフェイス (T1059)、ルートキット (T1014)


SOC Prime TDMを試してみませんか? 無料登録。または Threat Bounty Programに参加 して、自分のコンテンツを作成し、TDMコミュニティと共有しましょう。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事

実行戦術 | TA0002
ブログ, 最新の脅威 — 11 分で読めます
実行戦術 | TA0002
Daryna Olyniychuk
EvilnumグループによるPyVil RAT
ブログ, 最新の脅威 — 3 分で読めます
EvilnumグループによるPyVil RAT
Eugene Tkachenko
JSOutProx RAT
ブログ, 最新の脅威 — 4 分で読めます
JSOutProx RAT
Eugene Tkachenko