… takiego zdania są amerykańskie NSA i FBI. Zaledwie kilka dni temu – 15 sierpnia – obie agencje opublikowały wspólny alert bezpieczeństwa zawierający szczegółowe informacje o wcześniej nieznanym rosyjskim szkodliwym oprogramowaniu.
Autopsja nowego malware
Drovorub jest trochę niczym szwajcarski scyzoryk – tyle że służy do hackowania Linuksa. Paczka składa się z implantu połączonego z rootkitem modułu jądra, narzędzia do przesyłania plików, kolejnego odpowiadającego za przekierowywanie portów i ostatniego, które odpowiada za ponowne łączenie się z serwerem C&C. Wszystkie komponenty komunikują się za pośrednictwem JSON i WebSocket’ów.
Drovorub może stanowić poważne wyzwanie dla wielu specjalistów od bezpieczeństwa. Ukrywa on swoją obecność przed powszechnie stosowanymi narzędziami. Sieciowe systemy wykrywania włamań (NIDS) mają realną szansę zidentyfikować polecenia i komunikaty sterujące przekazywane między klientem Drovorub, agentem Drovorub a serwerem Drovorub. Korzystanie z rozwiązań do analizy lub zabezpieczania może dodatkowo dać wgląd w niektóre operacje – w tym wykrywanie funkcji rootkita. Jednak w tej sytuacji najlepszą strategią działania będzie wdrożenie zapobiegawczych środków zaradczych i to jak najszybciej. Będziemy się powtarzać, ale najlepsze co może zrobić Administrator to przeprowadzać na bieżąco aktualizacje systemów i łatać podatności. Ważne: upewnij się, że posiadasz wersję systemu Linux Kernel 3.7 lub nowszą. Tylko wtedy możesz w pełni wykorzystać ochronę przed podpisywaniem jądra.
