Conteúdo de Detecção: Malware Drovorub

Na semana passada, o FBI e a NSA lançaram um alerta conjunto de segurança contendo detalhes sobre o malware Drovorub, uma nova ferramenta nas mãos do APT28. Este é um malware Linux que é usado para implantar backdoors em redes comprometidas. O malware é um sistema de múltiplos componentes que consiste em um módulo rootkit de kernel, um implante, um servidor C&C, um módulo de encaminhamento de portas e uma ferramenta de transferência de arquivos.

O Drovorub permite que o grupo APT28 realize várias funções, incluindo roubar arquivos e controlar remotamente o sistema atacado. O malware é altamente furtivo, seus autores o armaram com tecnologias avançadas de ‘rootkit’ para complicar a detecção. O malware Drovorub é usado em campanhas de múltiplas etapas e requer que o grupo APT obtenha privilégios de root antes da instalação bem-sucedida.

Os administradores de sistemas são aconselhados a atualizar para o Linux Kernel 3.7 ou posterior para evitar serem suscetíveis a ataques. Ariel Millahuel lançou uma nova regra comunitária que descobre vestígios do malware Drovorub em sistemas Linux: https://tdm.socprime.com/tdm/info/RndBRUBsT9xr/mkH0AHQBPeJ4_8xcaxwx/?p=1

A regra possui traduções para as seguintes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução, Evasão de Defesa

Técnicas: Interface de Linha de Comando (T1059), Rootkit (T1014)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.