Milli Təhlükəsizlik Agentliyi və ABŞ Federal Təhqiqatlar Bürosu , buna görə xüsusi xidmətin 85-ci əsas mərkəzi (85 GCSS GRU) "Drovorub" adlı zərərli proqram kompleksindən istifadə olunur. Drovorub Linux nüvə modulu şəklində bir rootkit, faylların ötürülməsi və şəbəkə portlarının yönləndirilməsi üçün alət və idarəetmə serverini ehtiva edir. Müştəri hissəsi faylları yükləyə və yükləyə, kök istifadəçi kimi ixtiyari əmrləri yerinə yetirə və şəbəkə portlarını digər şəbəkə qovşaqlarına yönləndirə bilər.
Drovorub idarəetmə mərkəzi JSON formatında konfiqurasiya faylına gedən yolu komanda xətti arqumenti kimi qəbul edir:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"ifade" : " »
}
MySQL DBMS backend kimi istifadə olunur. WebSocket protokolu müştəriləri birləşdirmək üçün istifadə olunur.
Müştərinin daxili konfiqurasiyası var, o cümlədən server URL-i, onun RSA ictimai açarı, istifadəçi adı və parol. Rootkiti quraşdırdıqdan sonra konfiqurasiya Drovoruba nüvə modulu tərəfindən sistemdən gizlədilən JSON formatında mətn faylı kimi saxlanılır:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"açar": "Y2xpZW50a2V5"
}
Burada "id" server tərəfindən buraxılan unikal identifikatordur, burada son 48 bit serverin şəbəkə interfeysinin MAC ünvanına uyğundur. Defolt "açar" parametri ilkin əl sıxma zamanı server tərəfindən istifadə edilən base64 kodlu "clientkey" sətridir. Bundan əlavə, konfiqurasiya faylında gizli fayllar, modullar və şəbəkə portları haqqında məlumat ola bilər:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"açar": "Y2xpZW50a2V5",
"ekran" : {
"fayl" : [
{
"aktiv": "doğru"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask": "testfile1"
}
],
"modul" : [
{
"aktiv": "doğru"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask": "testmodule1"
}
],
"şəbəkə" : [
{
"aktiv": "doğru"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"protokol": "tcp"
}
] }
}
Drovorub-un başqa bir komponenti agentdir; onun konfiqurasiya faylında serverə qoşulmaq üçün məlumatlar var:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
“clientid” və “clientkey_base64” sahələri əvvəlcə yoxdur; onlar serverdə ilkin qeydiyyatdan sonra əlavə edilir.
Quraşdırıldıqdan sonra aşağıdakı əməliyyatlar həyata keçirilir:
- sistem zəngləri üçün qarmaqları qeyd edən kernel modulu yüklənir;
- müştəri kernel modulu ilə qeydiyyatdan keçir;
- Kernel modulu işləyən müştəri prosesini və onun icra olunan faylını diskdə gizlədir.
Pseudo-cihaz, məsələn, /dev/zero, müştəri ilə nüvə modulu arasında əlaqə yaratmaq üçün istifadə olunur. Kernel modulu cihaza yazılan bütün məlumatları təhlil edir və əks istiqamətdə ötürülməsi üçün müştəriyə SIGUSR1 siqnalını göndərir, bundan sonra eyni cihazdan məlumatları oxuyur.
Lumberjack-i aşkar etmək üçün siz NIDS-dən istifadə edərək şəbəkə trafikinin təhlilindən istifadə edə bilərsiniz (yoluxmuş sistemdə zərərli şəbəkə fəaliyyəti aşkar edilə bilməz, çünki nüvə modulu istifadə etdiyi şəbəkə yuvalarını, şəbəkə filtri qaydalarını və xam rozetkalar tərəfindən tutula bilən paketləri gizlədir) . Drovorub-un quraşdırıldığı sistemdə, nüvə modulunu faylı gizlətmək əmrini göndərməklə aşkar edə bilərsiniz:
toxunma test faylı
əks-səda “ASDFZXCV: hf: test faylı” > /dev/sıfır
ls
Yaradılmış "test faylı" faylı görünməz olur.
Digər aşkarlama üsullarına yaddaş və disk məzmununun təhlili daxildir. İnfeksiyanın qarşısını almaq üçün Linux nüvəsinin 3.7 versiyasından başlayaraq mövcud olan kernel və modulların məcburi imza yoxlamasından istifadə etmək tövsiyə olunur.
Hesabatda Drovorub-un şəbəkə fəaliyyətinin aşkarlanması üçün Snort qaydaları və onun komponentlərinin aşkarlanması üçün Yara qaydaları var.
Xatırladaq ki, 85-ci GTSSS GRU (26165 saylı hərbi hissə) qrupla əlaqəlidir. , çoxsaylı kiberhücumlardan məsuldur.
Mənbə: opennet.ru