通过迈克尔Mehlberg

2020年8月13日，美国国家安全局(National Security Agency)和联邦调查局(Federal Bureau of investigation)发布了一份网络安全警告，警告任何部署或维护Linux系统的人提防名为Drovorub的新的俄罗斯(现在是全球)网络间谍威胁。

Drovorub是由俄罗斯总参谋部主要情报理事会(GRU)第85主要特种服务中心(GTsSS)军事单位26165开发的(根据这个咨询警告)，被美国国家安全局和联邦调查局描述为一个“…Linux恶意软件工具集，由一个植入体和一个内核模块rootkit，一个文件传输和端口转发工具，以及一个命令和控制服务器组成。当部署在受害机器上时，Drovorub提供了与参与者控制的命令和控制基础设施直接通信的能力;文件下载和上传功能;执行任意命令;将网络流量转发到网络上其他主机的端口;并采用隐藏技术来逃避侦查。”

换句话说，如果你的嵌入式Linux系统感染了Drovorub，它就会被pwn 'ed -允许攻击者直接访问你的系统，同时隐藏自己不被发现和删除。

当然，这并不是政府支持的网络威胁第一次蔓延开来。但它的新闻价值并不在于它的起源、新奇性或有效性，而在于它从一开始就可以被完全阻止。

彻底摧毁Drovorub(以及类似的网络威胁)

美国国家安全局和联邦调查局建议升级到Linux内核3.7或更高版本，以便利用内核签名，并将系统配置为“只加载具有有效数字签名的模块”，但这只是加固Linux系统抵御Drovorub等恶意软件的表面工作。事实上，正如我们在最近的博文中所概述的，安全嵌入式系统的10个特性，多种对策一起工作，可以完全保护基于linux的嵌入式系统免受Drovorub和许多其他网络威胁。

安全启动

因为Drovorub文档中没有指明如何恶意软件是安装在一个系统，许多不同的攻击向量存在，可以允许攻击者安装这个(和其他)恶意软件。

在系统引导序列中存在成百上千个漏洞，如果不加以保护，可能会被潜在的攻击者利用(在这种情况下)在Linux系统上安装俄罗斯网络间谍恶意软件。一个精心设计的安全引导序列可以防止攻击者获得对系统的访问和维护持久性，并/或破坏其他结构，如应用程序白名单，或潜在地禁用安全特性，如内核驱动程序签名。

下载我们的白皮书>>使用TrueBoot保护嵌入式系统引导序列。

操作系统硬化

基于NSA和FBI的建议，安全配置你的内核来强制驱动签名和身份验证可以防止像Drovorub这样的恶意软件获得对系统的初始访问，因为没有正确的签名，内核将不会加载Drovorub开始。但这只是一个有帮助的内核配置选项。

例如，地址空间布局随机化(ASLR)使得恶意有效负载不可能知道关键应用程序或数据的位置，从而无法利用它们。对内存的直接访问是另一个配置选项，还有安全用户/内核拷贝，等等。

星实验室的钛安全套件Linux提供了一个完全加固的Linux内核配置，阻止一个内核级rootkit，如Drovorub死在它的轨道。

强制执行最小权限和强制访问控制

如果系统配置仅授予用户应用程序所需的最小权限，则可以防止Drovorub等恶意负载以意想不到的方式利用系统。此外，通过使用强制访问控制(MAC)——明确指定文件/进程/内核访问和基于运行时总是强制执行的系统策略的限制，没有用户或管理员可以绕过或禁用现场设备中的安全控制。

简而言之，这意味着即使攻击者获得了对系统的管理权限，他们也无法安装恶意软件、控制或禁用这些策略执行的安全保护。通过正确的MAC配置，Drovorub将变得有效地无效。

良好的网络卫生可以防止外国的网络间谍活动

所有这一切都是为了说明，良好的网络卫生可以防止外国的网络间谍威胁，如Drovorub渗透到你的嵌入式Linux系统。而且，由于Drovorub不是Linux系统面临的第一个网络威胁(也不会是最后一个)，任何没有遵循适当的网络卫生原则部署的Linux系统都意味着一个未受保护的系统很容易受到网络威胁。

有关安全配置和保护系统免受Drovorub之类威胁的更多信息，请阅读安全嵌入式系统的10个特性。有关能够安全引导嵌入式系统、用虚拟机隔离操作系统和应用程序、用强制访问控制和其他对策加固Linux系统的产品的更多信息，请查看我们的TrueBoot, Crucible，和钛产品分别或联系我们在星实验室为更多的信息。

*最初发表于starlab.io