የብሄራዊ ደህንነት ኤጀንሲ እና የአሜሪካ ፌደራል የምርመራ ቢሮ , በዚህ መሠረት 85 ኛው የልዩ አገልግሎት ዋና ማእከል (85 GCSS GRU) “Drovorub” የሚባል የማልዌር ስብስብ ጥቅም ላይ ይውላል። Drovorub በሊኑክስ ከርነል ሞጁል መልክ የ rootkitን፣ ፋይሎችን ለማስተላለፍ እና የኔትወርክ ወደቦችን የማዘዋወር መሳሪያ እና የቁጥጥር አገልጋይን ያካትታል። የደንበኛው ክፍል ፋይሎችን ማውረድ እና መስቀል ፣ የዘፈቀደ ትዕዛዞችን እንደ ስር ተጠቃሚ ማድረግ እና የአውታረ መረብ ወደቦችን ወደ ሌላ የአውታረ መረብ አንጓዎች ማዞር ይችላል።
የ Drovorub መቆጣጠሪያ ማእከል ወደ ውቅር ፋይል የሚወስደውን መንገድ በJSON ቅርጸት እንደ የትዕዛዝ መስመር ክርክር ይቀበላል፡
{
"db_host" : " "፣
"db_port" : " "፣
"db_db" : " "፣
"db_user" : " "፣
"db_password" : " "፣
"lport" :" "፣
"lhost" :" "፣
"ፒንግ_ሰከንድ" : " "፣
"priv_key_file" : " "፣
"ሀረግ" : " »
}
MySQL DBMS እንደ ደጋፊ ጥቅም ላይ ይውላል። የዌብሶኬት ፕሮቶኮል ደንበኞችን ለማገናኘት ይጠቅማል።
ደንበኛው የአገልጋይ ዩአርኤልን፣ የ RSA ህዝባዊ ቁልፉን፣ የተጠቃሚ ስም እና የይለፍ ቃል ጨምሮ አብሮ የተሰራ ውቅር አለው። ሩትኪትን ከጫኑ በኋላ፣ አወቃቀሩ በJSON ቅርጸት እንደ የጽሑፍ ፋይል ተቀምጧል፣ ይህም ከስርዓቱ በ Drovoruba kernel ሞጁል ተደብቋል።
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"ቁልፍ": "Y2xpZW50a2V5"
}
እዚህ "መታወቂያ" በአገልጋዩ የተሰጠ ልዩ መለያ ነው፣ በዚህ ውስጥ የመጨረሻዎቹ 48 ቢት ከአገልጋዩ የአውታረ መረብ በይነገጽ MAC አድራሻ ጋር ይዛመዳሉ። ነባሪው የ"ቁልፍ" መለኪያ ቤዝ64 ኮድ የተደረገበት "clientkey" በመጀመርያው መጨባበጥ ወቅት በአገልጋዩ ጥቅም ላይ የሚውል ሕብረቁምፊ ነው። በተጨማሪም የማዋቀሪያው ፋይል ስለተደበቁ ፋይሎች፣ ሞጁሎች እና የአውታረ መረብ ወደቦች መረጃ ሊይዝ ይችላል።
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"ቁልፍ": "Y2xpZW50a2V5",
"ተቆጣጠር" : {
"ፋይል":
{
"አክቲቭ" : "እውነት"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"ጭንብል" : "testfile1"
}
],
"ሞዱል":
{
"አክቲቭ" : "እውነት"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"ጭንብል" : "testmodule1"
}
],
"መረብ":
{
"አክቲቭ" : "እውነት"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"ወደብ" : "12345",
"ፕሮቶኮል" : "tcp"
}
]}
}
ሌላው የ Drovorub አካል ወኪሉ ነው፣ የማዋቀሪያ ፋይሉ ከአገልጋዩ ጋር ለመገናኘት መረጃ ይዟል፡
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"የወል_ቁልፍ",
"አገልጋይ_አስተናጋጅ": "192.168.57.100",
"የአገልጋይ_ወደብ":"45122"፣
"server_uri" :"/ws"
}
መስኮች “clientid” እና “clientkey_base64” መጀመሪያ ላይ ጠፍተዋል፤ እነሱ የተጨመሩት በአገልጋዩ ላይ ከመጀመሪያው ምዝገባ በኋላ ነው።
ከተጫነ በኋላ የሚከተሉት ተግባራት ይከናወናሉ.
- ለስርዓት ጥሪዎች መንጠቆዎችን የሚመዘግብ የከርነል ሞጁል ተጭኗል።
- ደንበኛው በከርነል ሞጁል ይመዘገባል;
- የከርነል ሞጁል የደንበኛ ሂደቱን እና ተፈጻሚነቱን በዲስክ ላይ ይደብቃል.
የውሸት መሳሪያ፣ ለምሳሌ /dev/zero፣ በደንበኛው እና በከርነል ሞጁል መካከል ለመግባባት ይጠቅማል። የከርነል ሞጁል በመሳሪያው ላይ የተፃፈውን ሁሉንም መረጃዎች ይመረምራል, እና በተቃራኒው አቅጣጫ ለማስተላለፍ የSIGUSR1 ምልክት ወደ ደንበኛው ይልካል, ከዚያ በኋላ ከተመሳሳይ መሳሪያ ላይ መረጃን ያነብባል.
Lumberjackን ለመለየት NIDS ን በመጠቀም የኔትወርክ ትራፊክ ትንታኔን መጠቀም ይችላሉ (በተበከለው ስርዓት ውስጥ ያለው ተንኮል-አዘል የአውታረ መረብ እንቅስቃሴ በራሱ ሊታወቅ ስለማይችል የከርነል ሞጁል የሚጠቀመውን የአውታረ መረብ ሶኬቶችን ፣ የኔትፋይተር ህጎችን እና በጥሬ ሶኬቶች ሊጠለፉ የሚችሉ ፓኬቶች) . Drovorub በተጫነበት ስርዓት ላይ ፋይሉን ለመደበቅ ትዕዛዙን በመላክ የከርነል ሞጁሉን ማወቅ ይችላሉ-
ንካ testfile
አስተጋባ "ASDFZXCV: hf: testfile" > /dev/ዜሮ
ls
የተፈጠረው "የሙከራ ፋይል" ፋይል የማይታይ ይሆናል።
ሌሎች የመፈለጊያ ዘዴዎች የማህደረ ትውስታ እና የዲስክ ይዘት ትንተና ያካትታሉ. ኢንፌክሽኑን ለመከላከል ከሊኑክስ ከርነል ስሪት 3.7 ጀምሮ የሚገኘውን የከርነል እና ሞጁሎችን አስገዳጅ ፊርማ ማረጋገጥ ይመከራል።
ሪፖርቱ የድሮቮሩብ እና የያራ ሕጎችን የኔትወርክ እንቅስቃሴን ለመለየት የ Snort ደንቦችን አካትቶ ይዟል።
85ኛው GTSSS GRU (ወታደራዊ ክፍል 26165) ከቡድኑ ጋር የተያያዘ መሆኑን እናስታውስ። ለብዙ የሳይበር ጥቃቶች ተጠያቂ።
ምንጭ: opennet.ru