توضیحات
The Russian General Staff Main Intelligence Directorate (GRU) 85th Main Special Service Center (GTsSS), military unit 26165, is deploying previously undisclosed malware for Linux systems, called Drovorub, as part of its cyber espionage operations. GTsSS malicious cyber activity has previously been attributed by the private sector using the names Fancy Bear, APT28, Strontium, and a variety of other identifiers. (Department of Justice, 2018) (Washington Post, 2018) (CrowdStrike, 2016) This publication provides background on Drovorub, attribution of its use to the GTsSS, detailed technical information on the Drovorub malware, guidance on how to detect Drovorub on infected systems, and mitigation recommendations. Information in this Cybersecurity Advisory is being disclosed publicly to assist National Security System owners and the public to counter the capabilities of the GRU, an organization which continues to threaten the United States and U.S. allies as part of its rogue behavior, including their interference in the 2016 U.S. Presidential Election as described in the 2017 Intelligence Community Assessment, Assessing Russian Activities and Intentions in Recent US Elections (Office of the Director of National Intelligence, 2017).
Drovorub is a Linux malware toolset consisting of an implant coupled with a kernel module rootkit, a file transfer and port forwarding tool, and a Command and Control (C2) server. When deployed on a victim machine, the Drovorub implant (client) provides the capability for direct communications with actor- controlled C2 infrastructure; file download and upload capabilities; execution of arbitrary commands as ‘root’; and port forwarding of network traffic to other hosts on the network.
A number of complementary detection techniques effectively identify Drovorub malware activity. However, the Drovorub-kernel module poses a challenge to large-scale detection on the host because it hides Drovorub artifacts from tools commonly used for live-response at scale. While packet inspection at network boundaries can be used to detect Drovorub on networks, host-based methods include probing, security products, live response, memory analysis, and media (disk image) analysis. Specific guidance for running Volatility, probing for file hiding behavior, Snort rules, and Yara rules are all included in the Detection section of this advisory.
To prevent a system from being susceptible to Drovorubs hiding and persistence, system administrators should update to Linux Kernel 3.7 or later in order to take full advantage of kernel signing enforcement. Additionally, system owners are advised to configure systems to load only modules with a valid digital signature making it more difficult for an actor to introduce a malicious kernel module into the system.
————————————————————–
ترجمه ماشینی :
اداره اطلاعات اصلی ستاد کل روسیه (GRU) 85 مرکز خدمات ویژه اصلی (GTsSS)، واحد نظامی 26165، بدافزاری را که قبلاً فاش نشده بود برای سیستم های لینوکس به نام Drovorub به عنوان بخشی از عملیات جاسوسی سایبری خود مستقر می کند. فعالیتهای سایبری مخرب GTsSS قبلاً توسط بخش خصوصی با استفاده از نامهای Fancy Bear، APT28، Strontium و انواع دیگر شناسهها نسبت داده میشد. (وزارت دادگستری، 2018) (واشنگتن پست، 2018) (CrowdStrike، 2016) این نشریه پیشینه ای در مورد Drovorub، انتساب استفاده از آن به GTsSS، اطلاعات فنی دقیق در مورد بدافزار Drovorub، راهنمایی در مورد نحوه شناسایی Drovorub در سیستم های آلوده ارائه می دهد. ، و توصیه های کاهش. اطلاعات این مشاوره امنیت سایبری برای کمک به صاحبان سیستم امنیت ملی و مردم برای مقابله با تواناییهای GRU، سازمانی که به تهدید ایالات متحده و متحدان ایالات متحده به عنوان بخشی از رفتار سرکش خود، از جمله دخالت آنها در انتخابات ریاست جمهوری 2016 ایالات متحده همانطور که در ارزیابی جامعه اطلاعاتی 2017، ارزیابی فعالیت ها و نیات روسیه در انتخابات اخیر ایالات متحده (دفتر مدیر اطلاعات ملی، 2017) توضیح داده شده است. Drovorub یک مجموعه ابزار بدافزار لینوکس است که از یک ایمپلنت همراه با یک روت کیت ماژول هسته، یک ابزار انتقال فایل و پورت و یک سرور Command and Control (C2) تشکیل شده است. هنگامی که روی
tag : دانلود کتاب روسی GRU 85 GTsSS بدافزار Drovorub را که قبلاً فاش نشده بود مستقر می کند , Download روسی GRU 85 GTsSS بدافزار Drovorub را که قبلاً فاش نشده بود مستقر می کند , دانلود روسی GRU 85 GTsSS بدافزار Drovorub را که قبلاً فاش نشده بود مستقر می کند , Download Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware Book , روسی GRU 85 GTsSS بدافزار Drovorub را که قبلاً فاش نشده بود مستقر می کند دانلود , buy روسی GRU 85 GTsSS بدافزار Drovorub را که قبلاً فاش نشده بود مستقر می کند , خرید کتاب روسی GRU 85 GTsSS بدافزار Drovorub را که قبلاً فاش نشده بود مستقر می کند , دانلود کتاب Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware , کتاب Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware , دانلود Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware , خرید Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware , خرید کتاب Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware ,
نقد و بررسیها
هنوز بررسیای ثبت نشده است.