دانلود کتاب Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware
کتاب GRU 85 GTsSS روسیه بدافزار Drovorub را که قبلاً فاش نشده بود، مستقر کرد نسخه زبان اصلی
دانلود کتاب GRU 85 GTsSS روسیه بدافزار Drovorub را که قبلاً فاش نشده بود، مستقر کرد بعد از پرداخت مقدور خواهد بود
توضیحات کتاب در بخش جزئیات آمده است و می توانید موارد را مشاهده فرمایید
توضیحاتی در مورد کتاب Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware
نام کتاب : Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware
عنوان ترجمه شده به فارسی : GRU 85 GTsSS روسیه بدافزار Drovorub را که قبلاً فاش نشده بود، مستقر کرد
سری :
نویسندگان : National Security Agency, Federal Bureau of Investigation, Cybersecurity Advisory
ناشر : National Security Agency, Federal Bureau of Investigation
سال نشر : 2020
تعداد صفحات : 45
زبان کتاب : English
فرمت کتاب : pdf
حجم کتاب : 2 مگابایت
بعد از تکمیل فرایند پرداخت لینک دانلود کتاب ارائه خواهد شد. درصورت ثبت نام و ورود به حساب کاربری خود قادر خواهید بود لیست کتاب های خریداری شده را مشاهده فرمایید.
توضیحاتی در مورد کتاب :
اداره اطلاعات اصلی ستاد کل روسیه (GRU) 85 مرکز خدمات ویژه اصلی (GTsSS)، واحد نظامی 26165، بدافزاری که قبلاً فاش نشده بود برای سیستمهای Linux®، به نام Drovorub، به عنوان بخشی از عملیات جاسوسی سایبری خود مستقر میکند. فعالیتهای سایبری مخرب GTsSS قبلاً توسط بخش خصوصی با استفاده از نامهای Fancy Bear، APT28، Strontium و انواع دیگر شناسهها نسبت داده میشد. (وزارت دادگستری، 2018) (واشنگتن پست، 2018) (CrowdStrike، 2016) این نشریه پیشینه ای در مورد Drovorub، انتساب استفاده از آن به GTsSS، اطلاعات فنی دقیق در مورد بدافزار Drovorub، راهنمایی در مورد نحوه شناسایی Drovorub در سیستم های آلوده ارائه می دهد. ، و توصیه های کاهش. اطلاعات موجود در این مشاوره امنیت سایبری برای کمک به صاحبان سیستم امنیت ملی و مردم برای مقابله با تواناییهای GRU، سازمانی که به تهدید ایالات متحده و متحدان ایالات متحده به عنوان بخشی از رفتار سرکش خود، از جمله دخالت آنها در انتخابات ریاست جمهوری 2016 ایالات متحده همانطور که در ارزیابی جامعه اطلاعاتی 2017، ارزیابی فعالیت ها و مقاصد روسیه در انتخابات اخیر ایالات متحده توضیح داده شده است (دفتر مدیر اطلاعات ملی، 2017). Drovorub یک مجموعه ابزار بدافزار لینوکس است که از یک ایمپلنت همراه با یک روت کیت ماژول هسته، یک ابزار انتقال فایل و پورت و یک سرور Command and Control (C2) تشکیل شده است. هنگامی که روی ماشین قربانی مستقر می شود، ایمپلنت Drovorub (مشتری) قابلیت ارتباط مستقیم با زیرساخت C2 کنترل شده توسط بازیگر را فراهم می کند. قابلیت دانلود و آپلود فایل؛ اجرای دستورات دلخواه به عنوان "ریشه"؛ و ارسال پورت ترافیک شبکه به هاست های دیگر در شبکه. تعدادی از تکنیک های تشخیص مکمل به طور موثری فعالیت بدافزار Drovorub را شناسایی می کنند. با این حال، ماژول Drovorub-kernel یک چالش برای تشخیص در مقیاس بزرگ در میزبان ایجاد می کند زیرا مصنوعات Drovorub را از ابزارهایی که معمولاً برای پاسخگویی زنده در مقیاس استفاده می شوند پنهان می کند. در حالی که بازرسی بسته در مرزهای شبکه می تواند برای شناسایی Drovorub در شبکه ها استفاده شود، روش های مبتنی بر میزبان شامل کاوش، محصولات امنیتی، پاسخ زنده، تجزیه و تحلیل حافظه و تجزیه و تحلیل رسانه (تصویر دیسک) است. راهنمای ویژه برای اجرای Volatility®، بررسی رفتار پنهان کردن فایل، قوانین Snort®، و قوانین Yara® همگی در بخش تشخیص این توصیه گنجانده شده است. برای جلوگیری از آسیب پذیری سیستم در برابر پنهان شدن و ماندگاری Drovorub، مدیران سیستم باید به Linux Kernel 3.7 یا جدیدتر به روز رسانی کنند تا از مزایای اجرایی امضای هسته استفاده کامل کنند. علاوه بر این، به صاحبان سیستم توصیه میشود که سیستمها را طوری پیکربندی کنند که فقط ماژولهایی با امضای دیجیتال معتبر بارگیری کنند و این کار را برای بازیگر دشوارتر میکند تا یک ماژول هسته مخرب را به سیستم وارد کند.
توضیحاتی در مورد کتاب به زبان اصلی :
The Russian General Staff Main Intelligence Directorate (GRU) 85th Main Special Service Center (GTsSS), military unit 26165, is deploying previously undisclosed malware for Linux® systems, called Drovorub, as part of its cyber espionage operations. GTsSS malicious cyber activity has previously been attributed by the private sector using the names Fancy Bear, APT28, Strontium, and a variety of other identifiers. (Department of Justice, 2018) (Washington Post, 2018) (CrowdStrike, 2016) This publication provides background on Drovorub, attribution of its use to the GTsSS, detailed technical information on the Drovorub malware, guidance on how to detect Drovorub on infected systems, and mitigation recommendations. Information in this Cybersecurity Advisory is being disclosed publicly to assist National Security System owners and the public to counter the capabilities of the GRU, an organization which continues to threaten the United States and U.S. allies as part of its rogue behavior, including their interference in the 2016 U.S. Presidential Election as described in the 2017 Intelligence Community Assessment, Assessing Russian Activities and Intentions in Recent US Elections (Office of the Director of National Intelligence, 2017). Drovorub is a Linux malware toolset consisting of an implant coupled with a kernel module rootkit, a file transfer and port forwarding tool, and a Command and Control (C2) server. When deployed on a victim machine, the Drovorub implant (client) provides the capability for direct communications with actor- controlled C2 infrastructure; file download and upload capabilities; execution of arbitrary commands as "root"; and port forwarding of network traffic to other hosts on the network. A number of complementary detection techniques effectively identify Drovorub malware activity. However, the Drovorub-kernel module poses a challenge to large-scale detection on the host because it hides Drovorub artifacts from tools commonly used for live-response at scale. While packet inspection at network boundaries can be used to detect Drovorub on networks, host-based methods include probing, security products, live response, memory analysis, and media (disk image) analysis. Specific guidance for running Volatility®, probing for file hiding behavior, Snort® rules, and Yara® rules are all included in the Detection section of this advisory. To prevent a system from being susceptible to Drovorub’s hiding and persistence, system administrators should update to Linux Kernel 3.7 or later in order to take full advantage of kernel signing enforcement. Additionally, system owners are advised to configure systems to load only modules with a valid digital signature making it more difficult for an actor to introduce a malicious kernel module into the system.
پست ها تصادفی