Gli Stati Uniti National Security Agency e Federal Bureau of Investigation hanno rilasciato un Cybersecurity di consulenza per quanto riguarda il
Drovorub malware.
Per il servizio di consulenza,
Drovorub è un set di strumenti di Linux malware costituito da un impianto accoppiato a quanto segue:
- Un modulo di kernel rootkit
- Un trasferimento di file e uno strumento di inoltro delle porte
- Un server di comando e controllo (C2)
Quando viene distribuito su un sistema di vittima, il
Drovorub l'impianto (client) fornisce la capacità di comunicazione diretta con un'infrastruttura C2 controllata dall'attore, che consente le seguenti operazioni:
- Funzionalità di download e caricamento del file
- Esecuzione di comandi arbitrari come root
- Inoltro delle porte del traffico di rete ad altri host sulla rete.
Per impedire a un sistema di essere suscettibile a
Drovorub's occultamento e persistenza, gli amministratori di sistema devono eseguire l'aggiornamento a Linux kernel 3.7 o versioni successive per trarre il massimo vantaggio dalla kernel applicazione della firma. Inoltre, si consiglia ai titolari di sistema di configurare i sistemi per caricare solo i moduli con una firma digitale valida. Questa azione rende più difficile per un attore introdurre un modulo kernel dannoso nel sistema.
Per ulteriori informazioni, vedere: