Ирина Дмитриева, инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», объясняет, как работает вредонос: «Злоумышленники, эксплуатирующие FireWood, отталкиваются от первоначальных веб-шеллов на конечные устройства. Соответственно, вредоносное ПО позволяет расширить возможности на скомпрометированных устройствах и проводить разведку, сбор данных и наносить ущерб целостности информации системы».
Из технических особенностей архитектура ВПО претерпела ряд изменений. Теперь FireWood поддерживает проверку на наличие прав root или ядра после демонизации и сохранения PID. Для обеспечения стабильности выделяется улучшенная проверка привилегий (root/kernel) после запуска. Проверка стабильности подключения к серверу злоумышленников проводится через настойчивые попытки соединения с сервером с задержками при неудаче на базе протокола связи через ConnectToSvr().
«FireWood представляет собой значимую угрозу для Linux-инфраструктур из-за своей скрытности и функциональности. Для построения проактивной защиты требуется слаженная работа ряда компонентов системы защиты информации, включая EDR-системы с поведенческим анализом, HIDS, NGFW/IPS с SSL-инспекцией, WAF и строгий контроль привилегий IDM-систем. Эффективным решением с точки зрения мониторинга несанкционированного влияния на сетевую инфраструктуру может стать NAC (Network Access Control), который заметит нелегитимные действия и отразит соответствующую информацию. Именное такое решение может предложить компания "Газинформсервис" в составе комплекса Efros DefOps», — подчёркивает киберэксперт компании «Газинформсервис».
«Кроме того, стоит отметить важность роли SOC-аналитиков в настройке детектирования потенциальных угроз и выстраивания процессов реагирования на инциденты, а также интеграции разведки киберугроз для постоянного развития защитных мер. Здесь "Газинформсервис" может оказать поддержку — специалисты GSOC готовы прийти на помощь с оперативным реагированием 24/7 в согласованные SLA», — заключает Дмитриева.
