A NSA divulgou um relatório técnico em que revela os detalhes de um novo malware russo Drovorub, voltado para Linux e que inclui um rootkit de módulo de kernel.
A NSA (National Security Agency, ou Agência de Segurança Nacional) dos EUA está alertando sobre as operações de espionagem do Russian Intelligence Directorate (GRU) usando um conjunto de ferramentas de malware Linux anteriormente não divulgado, chamado Drovorub.
A estrutura maliciosa tem vários módulos que garantem sigilo, persistência e acesso completo à máquina comprometida com os mais altos privilégios.
NSA expôs novo malware russo Drovorub em relatório
Sim. A NSA divulgou um relatório técnico (um esforço conjunto com o FBI) detalhando as capacidades de Drovorub e oferecendo soluções de detecção e prevenção.
A agência diz que a estrutura do malware russo Drovorub inclui um rootkit de módulo de kernel que torna difícil para as soluções de segurança em toda a rede detectá-lo.
Segundo a agência:
“Drovorub é um conjunto de ferramentas de malware Linux que consiste em um implante [cliente] acoplado a um rootkit de módulo de kernel, uma ferramenta de transferência de arquivos e encaminhamento de portas e um servidor de Comando e Controle (C2).”
O lado do cliente do malware pode se comunicar diretamente com a infraestrutura C2 do ator da ameaça, tem recursos de upload/download de arquivos, executa comandos arbitrários com privilégios de “root” e pode encaminhar o tráfego de rede para outras máquinas na rede.
De acordo com o relatório, o rootkit é muito bem-sucedido em se esconder em uma máquina infectada e sobrevive a reinicializações “a menos que a inicialização segura UEFI [Unified Extensible Firmware Interface] esteja habilitada no modo “Full” ou “Thorough”.
O relatório da NSA descreve os detalhes técnicos de cada parte do Drovorub, que se comunicam entre si via JSON sobre WebSockets e criptografam o tráfego de e para o módulo de servidor usando o algoritmo RSA.
Tanto a NSA quanto o FBI atribuem o malware ao Russian General Staff Main Intelligence Directorate 85th Main Special Service Center (GTsSS), military unit 26165 (85º Centro Principal de Serviços Especiais da Diretoria de Inteligência do Estado-Maior General Russo, unidade militar 26165).
A atividade cibernética desta organização está ligada a campanhas do coletivo de hackers avançado conhecido como Fancy Bear (APT28, Strontium, Grupo 74, PawnStorm, Sednit, Sofacy, Iron Twilight).
Essa atribuição é baseada na infraestrutura de comando e controle operacional que foi publicamente associada ao GTsSS por empresas de defesa contra ataques cibernéticos.
Uma pista é um endereço IP que a Microsoft encontrou em uma campanha do Strontium explorando dispositivos IoT em abril de 2019, que também foi usado para acessar um Drovorub C2 durante o mesmo período.
O nome do malware significa “lenhador” em russo e a NSA diz que é assim que GTsSS se refere ao conjunto de ferramentas. É cunhado das palavras Drovo e e Rub, que se traduzem do russo para “madeira/lenha” e “cortar/derrubar”, respectivamente.
Uma análise técnica completa para cada componente Drovorub está disponível no relatório da NSA, junto com métodos para prevenir e detectar o ataque.
Os pesquisadores devem tomar nota de que os endereços IP, portas, chaves criptográficas, arquivos e seus caminhos não são de operações ao vivo, mas o resultado da análise de laboratório da agência.
Detecção e prevenção
A pesquisa da NSA determinou que a atividade do malware é visível para técnicas de detecção complementares, mas estas não são muito eficazes para o módulo de kernel Drovorub.
Sistemas de detecção de intrusão de rede (NIDS) como Suricata, Snort, Zeek podem desofuscar dinamicamente mensagens de protocolo WebSocket “mascaradas” (via script) e identificar mensagens C2 entre cliente, agente e componentes de servidor Drovorub.
Um proxy TLS obteria o mesmo resultado, mesmo se o canal de comunicação usar o protocolo TLS para criptografia.
Uma advertência para esses métodos, entretanto, é que a troca de tráfego pode escapar do radar se o TLS for usado ou se o ator mudar para um formato de mensagem diferente.
Para detecção baseada em host, a NSA oferece as seguintes soluções:
- Sondar a presença do módulo do kernel Drovorub por meio de um script (incluído no relatório na página 35);
- Produtos de segurança que podem detectar artefatos de malware e a funcionalidade de rootkit, assim como o Linux Kernel Auditing System;
- Técnicas de resposta ao vivo – pesquisa de nomes de arquivos, caminhos, hashes específicos e regras Yara (fornecidas no relatório junto com as regras Snort);
- Análise de memória – o método mais eficaz para encontrar o rootkit;
- Análise de imagem de disco – artefatos de malware são persistentes no disco, mas ocultos dos binários regulares do sistema e chamadas pelo rootkit.
Como métodos de prevenção, a NSA recomenda instalar as atualizações mais recentes do Linux e executar as versões de software mais recentes disponíveis.
Além disso, os administradores de sistema devem certificar-se de que as máquinas estão executando pelo menos o Linux Kernel 3.7, que oferece reforço de assinatura do kernel.
Configurar sistemas para carregar apenas módulos que tenham uma assinatura digital válida aumenta o nível de dificuldade para o plantio de módulos de kernel maliciosos.
Outra recomendação é habilitar o mecanismo de verificação de inicialização segura UEFI (aplicação completa ou completa), que permite que apenas módulos de kernel legítimos sejam carregados. No entanto, isso não protege contra a vulnerabilidade BootHole divulgada recentemente até que uma atualização DBX permanente surja.
- Como instalar o driver para o controle do Xbox no Ubuntu
- Como instalar o NeoGeo Pocket Emulator no Linux via Snap
- Como instalar o jogo Space Station 14 no Linux via Flatpak
- Como habilitar o repositório Games no openSUSE