通过迈克尔Mehlberg

2020年8月13日，美国国家安全局和联邦调查局发布了一份网络安全咨询，警告任何部署或维护Linux系统的人，一种名为Drovorub的新型俄罗斯(现在是全世界)网络间谍威胁。

Drovorub是由俄罗斯总参谋部情报总局(GRU)第85主特种服务中心(GTsSS) 26165军事单位开发的(根据该警告)，被美国国家安全局和联邦调查局描述为“……Linux恶意软件工具集，包括植入与内核模块rootkit，文件传输和端口转发工具，以及命令和控制服务器。当部署在受害机器上时，Drovorub提供了与参与者控制的命令和控制基础设施直接通信的能力;文件下载和上传功能;任意命令的执行;将网络流量转发到网络上的其他主机的端口;并使用隐藏技术来逃避检测。”

换句话说，如果你的嵌入式Linux系统感染了Drovorub病毒，它就会被pwn 'ed——允许攻击者完全访问你的系统，同时隐藏自己不被发现和删除。

当然，这并不是政府资助的网络威胁第一次出现在现实中。但它的新闻价值不在于它的起源、新颖性或效力，而在于它从一开始就可以被完全阻止。

扼杀Drovorub(以及类似的网络威胁)

美国国家安全局和联邦调查局建议升级到Linux内核3.7或更高版本，以便利用内核签名和配置系统“只加载具有有效数字签名的模块”，但这只是加强Linux系统抵御Drovorub等恶意软件的皮毛。事实上，正如我们在最近的博客文章中所概述的，安全嵌入式系统的10个特性，各种各样的对策一起工作，可以完全保护基于linux的嵌入式系统免受Drovorub和许多许多其他网络威胁。

安全启动

因为没有Drovorub文档表明如何恶意软件要安装在系统中，存在许多不同的攻击载体，可以允许攻击者安装这个(和其他)恶意软件。

系统引导序列中存在数百(可能数千)个漏洞，如果不加以保护，可能而且将会被潜在的攻击者利用(在这种情况下)在Linux系统上安装俄罗斯的网络间谍恶意软件负载。一个设计良好的安全引导序列可以防止攻击者获得对系统的访问和维护持久性，以及/或破坏其他结构(如应用程序白名单)，或潜在地禁用安全特性(如内核驱动程序签名)。

下载我们的白皮书>>使用TrueBoot保护嵌入式系统启动序列。

操作系统硬化

基于美国国家安全局和联邦调查局的建议，安全地配置您的内核来强制执行驱动程序签名和身份验证，可以防止恶意软件如Drovorub获得对系统的初始访问，因为没有适当的签名，内核一开始就不会加载Drovorub。但是这只是一个有用的内核配置选项。

例如，地址空间布局随机化(ASLR)使得恶意有效负载不可能知道关键应用程序或数据的位置，因此无法利用它们。直接访问内存是另一种配置选项，还有安全的用户/内核副本，等等。

星实验室的Linux的钛安全套件提供一个完全硬化的Linux内核配置，停止内核级rootkit如Drovorub死在其轨道。

实施最小特权和强制访问控制

如果您的系统配置只向用户应用程序授予最低限度的必要权限，则可以防止Drovorub等恶意有效负载以非预期的方式利用系统。此外，通过使用强制访问控制(MAC)——显式地指定文件/进程/内核访问和基于运行时总是强制执行的系统策略的限制，没有用户或管理员可以绕过或禁用现场设备中的安全控制。

简而言之，这意味着即使攻击者获得了对系统的管理访问权，他们也不能安装恶意软件，控制或禁用这些策略执行的安全保护。在正确的MAC配置下，Drovorub会变得非常低效。

良好的网络卫生可以防止外国的网络间谍活动

这一切都是说，良好的网络卫生可以防止外国的网络间谍威胁，如Drovorub永远渗透到你的嵌入式Linux系统。而且，由于Drovorub不是Linux系统的第一个网络威胁(也不会是最后一个)，任何部署的Linux系统如果没有遵循适当的网络卫生，意味着一个未受保护的系统将很容易受到网络威胁。

有关安全配置和保护您的系统免受Drovorub等威胁的更多信息，请阅读安全嵌入式系统的10个特性。有关可以安全引导嵌入式系统、使用虚拟机隔离操作系统和应用程序、使用强制访问控制和其他对策加固Linux系统的产品的更多信息，请查看我们的TrueBoot，坩埚，钛产品分别或在Star实验室联系我们为更多的信息。

*文章最初发表于starlab.io