🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

FBI y la NSA revelan nuevo malware dirigido a Linux utilizado por hackers rusos

La Agencia de Seguridad Nacional ha advertido sobre las operaciones de espionaje de la Dirección de Inteligencia Rusa (GRU). La agencia rusa está utilizando un conjunto de herramientas de malware para Linux no revelado anteriormente. El malware ha sido llamado Drovorub.

El framework malicioso tiene varios módulos que garantizan el sigilo, la persistencia y el acceso completo a la máquina comprometida con los privilegios más altos.

La NSA publicó hoy un informe técnico (en conjunto con el FBI) ​​que detalla las capacidades de Drovorub y ofrece soluciones de detección y prevención. La agencia dice que el framework incluye un rootkit para el kernel que dificulta que las soluciones de seguridad de la red lo detecten.

“Drovorub es un conjunto de herramientas de malware de Linux que consta de un implante [cliente] junto con un rootkit para kernel. Además, una herramienta de transferencia de archivos y reenvío de puertos, y un servidor de comando y control (C2)”

Agencia de Seguridad Nacional

El lado del cliente del malware puede comunicarse directamente con la infraestructura C2 del actor de la amenaza, tiene capacidades de carga/descarga de archivos. También ejecuta comandos arbitrarios con privilegios de ‘root’ y puede reenviar el tráfico de red a otras máquinas en la red.

Según el informe, el rootkit tiene mucho éxito al ocultarse en una máquina infectada y sobrevive a los reinicios. Esto “a menos que el arranque seguro UEFI [Interfaz de firmware extensible unificada] esté habilitado en el modo “Completo”

El informe de la NSA describe los detalles técnicos de cada parte de Drovorub, que se comunican entre sí por medio de JSON a través de WebSockets. Posteriormente cifran el tráfico hacia y desde el módulo del servidor mediante el algoritmo RSA.

“Leñador” ruso

Tanto la NSA como el FBI atribuyen el malware al Directorio Principal de Inteligencia del Estado Mayor Ruso 85, Centro Principal de Servicios Especiales (GTsSS), unidad militar 26165.

La actividad cibernética de esta organización está vinculada a campañas del colectivo de hacking avanzado conocido como Fancy Bear. Este grupo también es concoido como APT28, Strontium, Group 74, PawnStorm, Sednit, Sofacy o Iron Twilight.

Esta atribución se basa en la infraestructura de mando y control operativo que las empresas defensivas contra los ciberataques han asociado públicamente con el GTsSS.

Una pista es una dirección IP que Microsoft encontró en una campaña de Strontium que explotaba dispositivos IoT en abril de 2019. La dirección IP también se utilizó para acceder a un Drovorub C2 durante la misma fecha.

El nombre del malware significa ‘leñador’ en ruso y la NSA dice que así es como GTsSS se refiere al conjunto de herramientas. Se acuñó de las palabras Drovo y y Rub, que se traducen del ruso como “madera / leña” y “cortar / talar, respectivamente.

Un análisis técnico completo para cada componente de Drovorub está disponible en el informe de la NSA. El informe también está acompañado con los métodos para prevenir y detectar el ataque.

Los investigadores deben tener en cuenta que las direcciones IP, los puertos, las claves criptográficas, los archivos y rutas no son de operaciones en vivo. Esta información es producto del análisis de laboratorio de la agencia.

Detección y prevención

La investigación de la NSA determinó que la actividad del malware es visible a las técnicas de detección complementarias. No obstante, estas no son demasiado efectivas para el módulo del kernel de Drovorub.

Los sistemas de detección de intrusiones de red (NIDS) como Suricata, Snort, Zeek pueden desofuscar dinámicamente mensajes de protocolo WebSocket “enmascarados”. Pueden hacer esto mediante secuencias de comandos. también pueden identificar mensajes C2 entre el cliente Drovorub, el agente y los componentes del servidor.

Un proxy TLS lograría el mismo resultado incluso si el canal de comunicación utiliza el protocolo TLS para el cifrado.

Sin embargo, una advertencia para estos métodos es que el intercambio de tráfico puede pasar desapercibido si se usa TLS o si el actor cambia a un formato de mensaje diferente.

Contramedidas

Para la detección basada en host, la NSA ofrece las siguientes soluciones:

  • Probar la presencia del módulo del kernel Drovorub a través de un script (incluido en el informe en la página 35)
  • Productos de seguridad que pueden detectar artefactos de malware y la funcionalidad de rootkit, al igual que el sistema de auditoría del kernel de Linux.
  • Técnicas de respuesta en vivo. Búsqueda de nombres de archivos específicos, rutas, hash y con las reglas de Yara (proporcionadas en el informe junto con las reglas de Snort)
  • Análisis de memoria: el método más eficaz para encontrar el rootkit
  • Análisis de imágenes de disco: los artefactos de malware son persistentes en el disco. Empero, el rootkit los oculta de los binarios del sistema y las llamadas habituales.

Como métodos de prevención, la NSA recomienda instalar las últimas actualizaciones de Linux y ejecutar las últimas versiones de software disponibles.

Además, los administradores de sistemas deben asegurarse de que las máquinas estén ejecutando al menos Linux Kernel 3.7, esta versión ofrece mayor seguridad.

La configuración de sistemas para cargar solo módulos que tienen una firma digital válida aumenta el nivel de dificultad para plantar módulos de kernel maliciosos.

Otra recomendación es habilitar el mecanismo de verificación de arranque seguro UEFI (Thorough o Full) que permite que solo se carguen módulos legítimos del kernel. Sin embargo, esto no protege contra la vulnerabilidad BootHole recientemente revelada hasta que surja una actualización permanente de DBX.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información