ФБР сообщает о вредоносном ПО Linux, DROVORUB

ФБР сообщает о вредоносном ПО Linux, DROVORUB

ФБР и АНБ выпустили отчет о российском вредоносном программном обеспечении, атакующем Linux, известном как Drovorub, и это очень интересное чтение.

Drovorub использует руткит модуля ядра и позволяет удаленно злоумышленнику контролировать ваш компьютер, передавать файлы и перенаправлять порты. И модуль ядра принимает экстраординарные меры, чтобы избежать обнаружения при этом.

Что, пожалуй, наиболее интересно, так это то, что агентства проделали большую работу, чтобы отследить вредоносное ПО до его источника: это ГРУ — российская разведка. Имя Drovorub переводится как «лесоруб» и, по-видимому, именно так ГРУ использует свою программу.

Заглянув внутрь кода, видно, что это довольно обыденно. Есть сервер с файлом конфигурации JSON и серверная часть MySQL. Это похоже на любой другой фрагмент кода из множества вариантов. Для начальной загрузки клиента жестко запрограммированная конфигурация позволяет программе установить связь с сервером, а затем создает файл конфигурации, который модуль ядра активно скрывает. Интересно, что часть конфигурации — это UUID, который содержит MAC-адрес серверного компьютера.

Руткит не сохранится, если у вас полностью включена загрузка UEFI (хотя многие компьютеры использующие ОС Linux отключают UEFI, а не выполняют действия по установке ОС с включенной загрузкой). Вредоносную программу легко обнаружить, если вы выгружаете необработанную информацию из сети, но модуль ядра затрудняет ее поиск на локальной машине. Он перехватывает многие функции ядра, поэтому может скрывать процессы как от ps команды, так и от файловой системы / proc. Другие хуки удаляют имена файлов из списков каталогов, а также скрывают сокеты.

В документе описывается, как идентифицировать вредоносное ПО, они заинтересованы в обнаружении его — то есть, если у вас есть к примеру 1000 компьютеров с Linux в сети, как определить, на каких из них уже есть это вредоносное ПО.

 



Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии