NSA, Linux'u hedef alan yeni Rus yapımı Drovorub malware yazılımını açıkladı
Ulusal Güvenlik Ajansı, Drovorub adlı daha önceden açıklanmayan bir Linux malware yazılım araç setini kullanan Rus İstihbarat Müdürlüğü?nden (GRU) casusluk operasyonları hakkında uyarılar yapıldı.
Kötü amaçlı sistem, gizliliği, kalıcılığı ve en yüksek ayrıcalıklara sahip tehlikeye atılmış makineye tam erişim sağlayan çeşitli modüllere sahiptir.
Başta Rootkit
NSA bugün Drovorub?un yeteneklerini detaylandıran ve tespit ve önleme çözümleri sunan teknik bir rapor (FBI ile ortak bir çaba) yayınladı. Ajans, sistemin ağ çapında güvenlik çözümlerinin onu yakalamasını zorlaştıran bir çekirdek modüllü rootkit içerdiğini söylüyor.
?Drovorub bir çekirdek modülü rootkit ile birleştiğinde bir implant (istemci, bir dosya aktarım ve port yönlendirme aracı ve bir komut kontrol (C2) sunucusundan oluşan bir Linux kötü amaçlı yazılım araç setidir.? ? Ulusal Güvenlik Ajansı
Kötü amaçlı yazılımın istemci tarafı, tehdit aktörünün C2 altyapısı ile doğrudan iletişim kurar, dosya yükleme/indirme yetenekleri var, ?root? ayrıcalıklarıyla rastgele komutları yürütür ve ağ trafiğini ağdaki diğer makinelere iletebilir.
Rapora göre rootkit, virüslü makinede saklanmakta oldukça başarılı ve UEFI (Birleşik Genişletilmiş Yazılım Arayüzü) güvenli ön yükleme ?Tam? veya ?Kapsamlı? modda etkinleştirilmediği sürece yeniden başlatmalardan kurtulabilir.
NSA?in raporu her Drovorub parçası için teknik ayrıntıyı şöyle açıklıyor: WebSockets üzerinden JSON aracılığıyla birbirleriyle iletişim kurar ve RSA algoritmasını kullanarak sunucu modülüne gelen trafiği şifreler.
Rus ?Oduncu?
Hem NSA hem de FBI, malware kaynağını Rusya Genelkurmay Ana İstihbarat Müdürlüğü 85. Ana Özel Servis Merkezine (GTsSS), askeri birlik 26165, dayandırdı.
Bu organizasyonun siber faaliyeti, Fancy Bear olarak bilinen gelişmiş bir hacker kolektifinin kampanyalarıyla ilgilidir (APT28, Strontium, Group 74, PanStorm, Sednit, Sofacy, Iron Twilight).
Bu özellik, siber saldırılara karşı savunan şirketler tarafından GTsSS ile kamuya açık bir şekilde ilişkilendirilen operasyonel komuta ve kontrol altyapısına dayanmaktadır.
Microsoft?un bulduğu bir IP adresi, Nisan 2019?da IoT cihazlarını kullanan bir Stronsiyum kampanyasında bulunduğu ve aynı zamanda bunun bir Drovorub C2?ye erişmek için kullanıldığı tespit edildi.
Kötü amaçlı yazılımın adı Rusça?da ?oduncu? anlamına gelir ve NSA, GTsSS?nin araç setinden böyle bahsettiğini söylüyor. ?Rusça?dan ?odun/yakacak odun? ve ?kesmek/düşmek? anlamına gelen Drovo ve Rub kelimelerinden icat edilmiştir.
Her Drovorubun bileşeni için eksiksiz bir teknik analizi NSA?in raporunda saldırıyı önleme ve tespit etme yöntemleri ile birlikte mevcuttur.
Araştırmacılar, IP adreslerinin, portların, şifreleme anahtarlarının, dosyaların ve yollarının canlı işlemler sonucu değil ajans laboratuvarında yapılan analiz sonucu elde edildiğine dikkat etmesi gerekli.
Tespit Etme ve Önleme
NSA?in araştırması, malware etkinliğinin tamamlayıcı tespit etme teknikleri tarafından görülebileceğini tespit etti ancak bunlar Drovorub kernel modülü için çok etkili değildir.
Suricata, Snort, Zeek gibi Ağ Saldırı Tespit Sistemleri, ?maskeli? WebSocket protokol mesajlarını (komut dosyası aracılığıyla) dinamik olarak gizleyebilir ve Drovorub istemcisi, aracı ve sunucu bileşenleri arasındaki C2 mesajlarını tanımlayabilir.
İletişim kanalı şifreleme için TLS protokolünü kullansa bile bir TLS proxy?si aynı sonucu elde eder.
Ancak bu yöntemler için bir uyarı şudur: TLS kullanılıyorsa veya katılımcı farklı bir mesaj biçimine geçerse, trafik değişimi radardan kaçabilir.
Host tabanlı tespit etme için NSA aşağıdaki çözümleri sunar:
? Drovorub kernel modülünün varlığını bir script ile araştırmak (Raporun 35. Sayfasında dahil edilmiş)
? Linux Kernel Denetim Sistemi gibi malware eserlerini ve rootkit işlevselliğini tespit edebilen güvenlik ürünleri
? Canlı Müdahale Tekniği ? belirli dosya adlarını, yolları, hashlerini Yara kurallarına göre arama (Raporda Snort kuralları ile birlikte dahil edildi)
? Bellek analizi ? Rootkit bulmak için en etkili yöntem
? Disk görüntü analizi - malware eserleri diskte kalıcıdır, ancak normal sistem binarylerinden ve rootkit çağrılarından gizlenir.
NSA önleme yöntemleri olarak, Linux?un en son güncellemelerini yüklemeyi ve mevcut en son yazılım sürümünü çalıştırmanızı önerir.
Bundan başka, sistem yöneticileri makinelerinin kernel imzalama uygulaması sunan en az Linux Kernel 3.7 çalıştırdığından emin olmalıdır.
Sistemleri yalnızca geçerli bir dijital imzaya sahip modülleri yüklemek için ayarlamak, kötü amaçlı çekirdek modüllerini yerleştirmenin zorluk seviyesini arttırır.
Başka bir öneri ise, yalnızca resmi kernel modüllerinin yüklenmesine izin veren UEFI güvenli önyükleme doğrulama mekanizmasını (derin veya tam uygulama) etkinleştirmektir. Ancak, kalıcı bir DBX güncellemesi çıkana kadar yakın zamanda açıklanan BootHole güvenlik açığına karşı koruma sağlamıyordu.
Ulusal Güvenlik Ajansı, Drovorub adlı daha önceden açıklanmayan bir Linux malware yazılım araç setini kullanan Rus İstihbarat Müdürlüğü?nden (GRU) casusluk operasyonları hakkında uyarılar yapıldı.
Kötü amaçlı sistem, gizliliği, kalıcılığı ve en yüksek ayrıcalıklara sahip tehlikeye atılmış makineye tam erişim sağlayan çeşitli modüllere sahiptir.
Başta Rootkit
NSA bugün Drovorub?un yeteneklerini detaylandıran ve tespit ve önleme çözümleri sunan teknik bir rapor (FBI ile ortak bir çaba) yayınladı. Ajans, sistemin ağ çapında güvenlik çözümlerinin onu yakalamasını zorlaştıran bir çekirdek modüllü rootkit içerdiğini söylüyor.
?Drovorub bir çekirdek modülü rootkit ile birleştiğinde bir implant (istemci, bir dosya aktarım ve port yönlendirme aracı ve bir komut kontrol (C2) sunucusundan oluşan bir Linux kötü amaçlı yazılım araç setidir.? ? Ulusal Güvenlik Ajansı
Kötü amaçlı yazılımın istemci tarafı, tehdit aktörünün C2 altyapısı ile doğrudan iletişim kurar, dosya yükleme/indirme yetenekleri var, ?root? ayrıcalıklarıyla rastgele komutları yürütür ve ağ trafiğini ağdaki diğer makinelere iletebilir.
Rapora göre rootkit, virüslü makinede saklanmakta oldukça başarılı ve UEFI (Birleşik Genişletilmiş Yazılım Arayüzü) güvenli ön yükleme ?Tam? veya ?Kapsamlı? modda etkinleştirilmediği sürece yeniden başlatmalardan kurtulabilir.
NSA?in raporu her Drovorub parçası için teknik ayrıntıyı şöyle açıklıyor: WebSockets üzerinden JSON aracılığıyla birbirleriyle iletişim kurar ve RSA algoritmasını kullanarak sunucu modülüne gelen trafiği şifreler.
Rus ?Oduncu?
Hem NSA hem de FBI, malware kaynağını Rusya Genelkurmay Ana İstihbarat Müdürlüğü 85. Ana Özel Servis Merkezine (GTsSS), askeri birlik 26165, dayandırdı.
Bu organizasyonun siber faaliyeti, Fancy Bear olarak bilinen gelişmiş bir hacker kolektifinin kampanyalarıyla ilgilidir (APT28, Strontium, Group 74, PanStorm, Sednit, Sofacy, Iron Twilight).
Bu özellik, siber saldırılara karşı savunan şirketler tarafından GTsSS ile kamuya açık bir şekilde ilişkilendirilen operasyonel komuta ve kontrol altyapısına dayanmaktadır.
Microsoft?un bulduğu bir IP adresi, Nisan 2019?da IoT cihazlarını kullanan bir Stronsiyum kampanyasında bulunduğu ve aynı zamanda bunun bir Drovorub C2?ye erişmek için kullanıldığı tespit edildi.
Kötü amaçlı yazılımın adı Rusça?da ?oduncu? anlamına gelir ve NSA, GTsSS?nin araç setinden böyle bahsettiğini söylüyor. ?Rusça?dan ?odun/yakacak odun? ve ?kesmek/düşmek? anlamına gelen Drovo ve Rub kelimelerinden icat edilmiştir.
Her Drovorubun bileşeni için eksiksiz bir teknik analizi NSA?in raporunda saldırıyı önleme ve tespit etme yöntemleri ile birlikte mevcuttur.
Araştırmacılar, IP adreslerinin, portların, şifreleme anahtarlarının, dosyaların ve yollarının canlı işlemler sonucu değil ajans laboratuvarında yapılan analiz sonucu elde edildiğine dikkat etmesi gerekli.
Tespit Etme ve Önleme
NSA?in araştırması, malware etkinliğinin tamamlayıcı tespit etme teknikleri tarafından görülebileceğini tespit etti ancak bunlar Drovorub kernel modülü için çok etkili değildir.
Suricata, Snort, Zeek gibi Ağ Saldırı Tespit Sistemleri, ?maskeli? WebSocket protokol mesajlarını (komut dosyası aracılığıyla) dinamik olarak gizleyebilir ve Drovorub istemcisi, aracı ve sunucu bileşenleri arasındaki C2 mesajlarını tanımlayabilir.
İletişim kanalı şifreleme için TLS protokolünü kullansa bile bir TLS proxy?si aynı sonucu elde eder.
Ancak bu yöntemler için bir uyarı şudur: TLS kullanılıyorsa veya katılımcı farklı bir mesaj biçimine geçerse, trafik değişimi radardan kaçabilir.
Host tabanlı tespit etme için NSA aşağıdaki çözümleri sunar:
? Drovorub kernel modülünün varlığını bir script ile araştırmak (Raporun 35. Sayfasında dahil edilmiş)
? Linux Kernel Denetim Sistemi gibi malware eserlerini ve rootkit işlevselliğini tespit edebilen güvenlik ürünleri
? Canlı Müdahale Tekniği ? belirli dosya adlarını, yolları, hashlerini Yara kurallarına göre arama (Raporda Snort kuralları ile birlikte dahil edildi)
? Bellek analizi ? Rootkit bulmak için en etkili yöntem
? Disk görüntü analizi - malware eserleri diskte kalıcıdır, ancak normal sistem binarylerinden ve rootkit çağrılarından gizlenir.
NSA önleme yöntemleri olarak, Linux?un en son güncellemelerini yüklemeyi ve mevcut en son yazılım sürümünü çalıştırmanızı önerir.
Bundan başka, sistem yöneticileri makinelerinin kernel imzalama uygulaması sunan en az Linux Kernel 3.7 çalıştırdığından emin olmalıdır.
Sistemleri yalnızca geçerli bir dijital imzaya sahip modülleri yüklemek için ayarlamak, kötü amaçlı çekirdek modüllerini yerleştirmenin zorluk seviyesini arttırır.
Başka bir öneri ise, yalnızca resmi kernel modüllerinin yüklenmesine izin veren UEFI güvenli önyükleme doğrulama mekanizmasını (derin veya tam uygulama) etkinleştirmektir. Ancak, kalıcı bir DBX güncellemesi çıkana kadar yakın zamanda açıklanan BootHole güvenlik açığına karşı koruma sağlamıyordu.