McAfee 製品の対応状況については、下記をご参照ください。
Network Security シグネチャ セット
次の UDS を使用して、ネットワーク上の Drovorub C&C トラフィックを検出できます。 2020 年 8 月 18 日にリリースされる毎週の NSP シグネチャセットに組み込まれます。
AttackName = UDS-Malware: Drovorub Malware C2 Traffic Detected
暫定的に、即時検出が必要なお客様は、提供されているユーザー定義シグネチャセットを使用できます。
KB55447 - REGISTERED - Network Security Platform User-Defined Signature Releases
ENS for Linux および VSE for Linux
Drovorub マルウェアのカバレッジは、8 月 14 日の DAT および AMCore コンテンツリリースで提供されます。 補償範囲は、NSA / FBI セキュリティアドバイザリで提供される広範な情報に基づいています。 マルウェアの将来の亜種では、更に DAT および AMCore コンテンツの更新が必要になる可能性があります。
この記事の下部に添付されている EXTRA.zip ファイルを抽出し、DAT / AMCore コンテンツのリリース前にカバレッジを提供するために利用できます。
Extra.DAT パッケージを ePO にチェックイン及び配備する方法については、
KB67602 を参照してください。
McAfee Active Response および MVISION Endpoint Detection and Response
以下の手順を使用して、Drovorub マルウェアが使用するファイルハッシュを検出するカスタムコレクターを作成します。
File Hash Collector:
- システムで File Hash Collector が有効になっている場合、ルートキットの埋め込み前に作成されたアーティファクトを探すことができる場合があります。
- ファイル名に「dr_client」またはファイル名に「dr_mod」が含まれるファイル
Custom Collector:
- 以下の例では、テストデバイスとして「/dev/zero」を指定していますが、コレクターは必要に応じて変更または更新できます。
- さらに、追加のパターンを検索するための /etc/modulesまたは /etc/modules-load.d/ ファイルの出力を提供します。
Steps:
- Custom Collector を作成します (Catalog -> New Collector):
- EDR: Name: “_DR” , Description: “Drovorub detector”
MAR: Name: “DR” , Description: “Drovorub detector”
- Linux を選択し Bash Script を入力
- Content: (本記事下部に添付の "sample_collector.txt" からコピーアンドペースト)
- 3 つの項目を追加:
i.Name:
DrFileTest Type: String
ii.Name:
ModulesContent Type: String
iii.Name:
ModulesFiles Type: String
- Real Time Search を使用しコレクターを実行します:
項目 |
値 |
DrFileTest |
- “File Test Passed” -> File is not hidden after creation
- “File Test Hidden - May be infected -> File triggered detection step. Require further investigation
- “Error” -> Test failed for another reason
|
ModulesContent |
Content of /etc/modules file |
ModulesFiles |
List of files present in /etc/modules-load.d/ |