탐지 콘텐츠: 드로보럽 멀웨어

지난주, FBI와 NSA는 공동 보안 경고를 발표했습니다 Drovorub 멀웨어에 대한 세부 내용을 담고 있으며, 이는 APT28에 의해 사용되는 새로운 유틸리티입니다. 이는 손상된 네트워크에 백도어를 배포하는 리눅스 멀웨어입니다. 이 멀웨어는 커널 모듈 루트킷, 임플란트, C&C 서버, 포트 포워딩 모듈, 파일 전송 도구로 구성된 다중 구성 요소 시스템입니다.

Drovorub은 APT28 그룹이 파일을 훔치고 공격된 시스템을 원격 조종하는 등 다양한 기능을 수행할 수 있게 해 줍니다. 이 멀웨어는 매우 은밀하며, 그 작성자들은 고급 ‘루트킷’ 기술로 이를 강화하여 탐지를 복잡하게 만들었습니다. Drovorub 멀웨어는 다단계 캠페인에서 사용되며, APT 그룹이 성공적인 설치 전에 루트 권한을 얻어야 합니다.

시스템 관리자는 공격에 취약하지 않도록 리눅스 커널 3.7 이상으로 업그레이드할 것을 권장합니다. 아리엘 밀라우엘 은 리눅스 시스템에서 Drovorub 멀웨어의 흔적을 밝혀내는 새로운 커뮤니티 규칙을 발표했습니다: https://tdm.socprime.com/tdm/info/RndBRUBsT9xr/mkH0AHQBPeJ4_8xcaxwx/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 방어 회피

기술: 명령줄 인터페이스 (T1059), 루트킷 (T1014)

SOC 프라임 TDM을 시도해 보시겠습니까? 무료로 가입하세요. 또는 위협 바운티 프로그램에 참여하세요 자신의 콘텐츠를 제작하고 TDM 커뮤니티와 공유해 보세요.