IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueuse Actualités

    Femme Profil pro
    Rédacteur Web
    Inscrit en
    mars 2020
    Messages
    278
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur Web

    Informations forums :
    Inscription : mars 2020
    Messages : 278
    Points : 4 194
    Points
    4 194
    Par défaut La NSA et le FBI dévoilent le nouveau malware Drovorub de fabrication russe ciblant Linux
    La NSA et le FBI dévoilent le nouveau malware Drovorub de fabrication russe ciblant Linux,
    les agences émettent une alerte commune contenant des détails techniques sur ce logiciel malveillant

    Le FBI et la NSA ont publié hier une alerte de sécurité commune contenant des détails sur une nouvelle souche de logiciel malveillant Linux qui, selon les deux agences, a été développée et déployée lors d'attaques réelles par les pirates militaires russes. Les deux agences affirment que les pirates russes ont utilisé le logiciel malveillant, nommé Drovorub, pour installer des portes dérobées à l'intérieur des réseaux piratés.

    Nom : Screenshot_2020-08-14 NSA and FBI Expose Russian Previously Undisclosed Malware “Drovorub” in Cy.png
Affichages : 23646
Taille : 254,3 Ko

    Le logiciel malveillant comporte différents modules qui garantissent la discrétion, la persistance et un accès complet à la machine compromise avec les plus hauts privilèges. « Drovorub est un ensemble de logiciels malveillants pour Linux composé d'un implant (client) couplé à un rootkit de module de noyau, d'un outil de transfert de fichiers et de transfert de ports et d'un serveur de commande et de contrôle (C2) », peut-on lire dans le document publié par les deux agences américaines.

    Dans ce rapport technique publié par la NSA et le FBI, on trouve des détails sur les capacités de Drovorub et des propositions de solutions de détection et de prévention. Selon le rapport, le rootkit est très efficace pour se cacher sur une machine infectée et survit aux redémarrages « à moins que le démarrage sécurisé UEFI (Unified Extensible Firmware Interface) soit activé en mode "Full" ou "Thorough" ». Le rapport décrit les détails techniques de chaque partie de Drovorub, qui communiquent entre elles via JSON sur des WebSockets et chiffrent le trafic vers et depuis le module serveur en utilisant l'algorithme RSA.

    Le "bûcheron" russe

    La NSA et le FBI attribuent le malware à la Direction principale du renseignement de l'état-major général russe, 85e centre principal de services spéciaux (GTsSS), unité militaire 26165. La cyberactivité de cette organisation est liée aux campagnes du collectif de piratage avancé connu sous le nom de Fancy Bear (APT28, Strontium, Group 74, PawnStorm, Sednit, Sofacy, Iron Twilight). Cette attribution est basée sur l'infrastructure de commandement et de contrôle opérationnel qui a été publiquement associée au GTsSS par des entreprises se défendant contre les cyber-attaques. Un indice est une adresse IP que Microsoft a trouvée dans une campagne de Strontium exploitant des dispositifs IoT en avril 2019 et qui a également été utilisée pour accéder à un Drovorub C2 pendant la même période.

    Détection et prévention

    Les recherches de la NSA ont déterminé que l'activité du malware est visible grâce à des techniques de détection complémentaires, mais celles-ci ne sont pas trop efficaces pour le module du noyau Drovorub. Les systèmes de détection d'intrusion dans les réseaux (NIDS) comme Suricata, Snort, Zeek peuvent désobstruer dynamiquement les messages "masqués" du protocole WebSocket (via des scripts) et identifier les messages C2 entre les composants du client, de l'agent et du serveur de Drovorub. Un proxy TLS permettrait d'obtenir le même résultat même si le canal de communication utilise le protocole TLS pour le chiffrement. Une mise en garde s'impose toutefois pour ces méthodes : l'échange de trafic peut passer inaperçu si le TLS est utilisé ou si l'acteur passe à un format de message différent.

    Nom : Screenshot_2020-08-14 FBI and NSA expose new Linux malware Drovorub, used by Russian state hacke.png
Affichages : 4672
Taille : 184,4 Ko

    Pour la détection basée sur l'hôte, la NSA et le FBI fournissent les solutions suivantes :
    • sonder la présence du module du noyau Drovorub via un script (inclus dans le rapport à la page 35) ;
    • des produits de sécurité qui peuvent détecter les artefacts de logiciels malveillants et la fonctionnalité de rootkit, comme le système d'audit du noyau Linux ;
    • techniques de réponse en direct, recherche de noms de fichiers spécifiques, de chemins, de hachages, et avec les règles de Yara (fournies dans le rapport avec les règles de Snort) ;
    • l'analyse de la mémoire, la méthode la plus efficace pour trouver le rootkit ;
    • analyse de l'image du disque, les artefacts de logiciels malveillants sont persistants sur le disque, mais cachés des binaires et des appels normaux du système par le rootkit.


    Comme méthodes de prévention, les deux agences recommandent d'installer les dernières mises à jour de Linux et d'utiliser les dernières versions de logiciels disponibles. En outre, les administrateurs système devraient s'assurer que les machines fonctionnent au moins avec le noyau Linux 3.7, qui offre une application de la signature du noyau. Configurer les systèmes pour ne charger que les modules qui ont une signature numérique valide augmente le niveau de difficulté pour planter des modules de noyau malveillants.

    Une autre recommandation est d'activer le mécanisme de vérification UEFI Secure Boot (application complète) qui ne permet de charger que des modules de noyau légitimes. Cependant, cela ne protège pas contre la vulnérabilité BootHole récemment divulguée jusqu'à ce qu'une mise à jour permanente de DBX apparaisse.

    Source : Bulletin d'information sur la cybersécurité

    Et vous ?

    Qu'en pensez-vous?

    Voir aussi :

    La NSA a publié un support de cours sur Python qu'elle utilise pour former ses ingénieurs, après avoir reçu une demande d'un ingénieur logiciel conformément à loi Freedom of Information Act de 1966

    Le FBI mène actuellement environ 1 000 enquêtes sur le vol de technologie américaine par la Chine, selon son directeur Christopher Wray

    Edward Snowden travaille sur un boitier anti-NSA pour iPhone qui avertit l'utilisateur en cas de transmission de données par le smartphone à son insu

    Le Sénat US adopte une mesure qui permet au FBI de collecter sans mandat l'historique de navigation des Américains, dans une mise à jour du Patriot Act de 2001
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    février 2016
    Messages
    223
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : février 2016
    Messages : 223
    Points : 554
    Points
    554
    Par défaut
    j'ai pas compris comment ils font pour savoir tout cela au sujet du botnet master. Ils savent tout de celui ci, qu'il utilise mysql etc, mais si tu fais juste du forensic tu ne peux voir que la partie client, pas la partie serveur. C'est pas très logique cette histoire.. ptet que les militaires russes ont bavés dans "Department of Justice. (2018, October 5). U.S. Attorney Brady Announces Charges Against 7 Russian Military Hackers. The United States Attorney's Office Western District of Pennsylvania. Retrieved from https://www.justice.gov/usao-wdpa/pr/us-attorney-brady-announces-charges-against-7-russian-military-hackers"

Discussions similaires

  1. Sécurité : un nouveau malware cible principalement les serveurs Tomcat
    Par Cedric Chevalier dans le forum Sécurité
    Réponses: 5
    Dernier message: 29/11/2013, 10h14
  2. Janicab.A le nouveau malware sur OS X signé d'un Apple ID valide
    Par Stéphane le calme dans le forum Apple
    Réponses: 1
    Dernier message: 19/07/2013, 11h44
  3. Réponses: 57
    Dernier message: 19/07/2013, 02h25
  4. Réponses: 1
    Dernier message: 01/11/2011, 14h51
  5. Réponses: 27
    Dernier message: 07/12/2009, 18h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo