Agencija za nacionalnu sigurnost i američki Federalni istražni biro , prema kojem je 85. glavni centar specijalne službe (85 GCSS GRU) koristi se kompleks zlonamjernog softvera pod nazivom “Drovorub”. Drovorub uključuje rootkit u obliku Linux kernel modula, alat za prijenos datoteka i preusmjeravanje mrežnih portova i kontrolni server. Klijentski dio može preuzimati i postavljati datoteke, izvršavati proizvoljne komande kao root korisnik i preusmjeravati mrežne portove na druge mrežne čvorove.
Kontrolni centar Drovorub prima putanju do konfiguracijske datoteke u JSON formatu kao argument komandne linije:
{
"db_host" : " ",
"db_port": " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"fraza": " »
}
MySQL DBMS se koristi kao backend. WebSocket protokol se koristi za povezivanje klijenata.
Klijent ima ugrađenu konfiguraciju, uključujući URL servera, njegov RSA javni ključ, korisničko ime i lozinku. Nakon instaliranja rootkita, konfiguracija se sprema kao tekstualna datoteka u JSON formatu, koja je skrivena od sistema od strane Drovoruba kernel modula:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"ključ": "Y2xpZW50a2V5"
}
Ovdje je “id” jedinstveni identifikator koji izdaje server, u kojem posljednjih 48 bita odgovara MAC adresi mrežnog interfejsa servera. Podrazumevani parametar "ključ" je base64 kodirani niz "clientkey" koji koristi server tokom početnog rukovanja. Osim toga, konfiguracijska datoteka može sadržavati informacije o skrivenim datotekama, modulima i mrežnim portovima:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"ključ": "Y2xpZW50a2V5",
"monitor" : {
"fajl" : [
{
"aktivan" : "tačno"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"maska" : "testfile1"
}
],
"modul" : [
{
"aktivan" : "tačno"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"maska" : "testmodule1"
}
],
"net" : [
{
"aktivan" : "tačno"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"protokol" : "tcp"
}
] }
}
Druga komponenta Drovoruba je agent; njegova konfiguracijska datoteka sadrži informacije za povezivanje sa serverom:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122",
"server_uri" :"/ws"
}
Polja “clientid” i “clientkey_base64” u početku nedostaju, dodaju se nakon početne registracije na serveru.
Nakon instalacije izvode se sljedeće operacije:
- modul kernela je učitan, koji registruje zakačice za sistemske pozive;
- klijent se registruje sa modulom kernela;
- Modul kernela skriva pokrenuti klijentski proces i njegovu izvršnu datoteku na disku.
Pseudo-uređaj, na primjer /dev/zero, koristi se za komunikaciju između klijenta i modula kernela. Modul kernela analizira sve podatke upisane u uređaj, a za prijenos u suprotnom smjeru šalje SIGUSR1 signal klijentu, nakon čega čita podatke sa istog uređaja.
Da biste otkrili Lumberjack-a, možete koristiti analizu mrežnog prometa pomoću NIDS-a (zlonamjerna mrežna aktivnost u samom zaraženom sistemu ne može se otkriti, budući da modul kernela skriva mrežne utičnice koje koristi, pravila netfilter-a i pakete koji bi mogli biti presretnuti sirovim utičnicama) . Na sistemu na kojem je Drovorub instaliran, modul kernela možete otkriti tako što ćete mu poslati naredbu za skrivanje datoteke:
touch test fajl
echo “ASDFZXCV:hf:testfile” > /dev/zero
ls
Kreirana datoteka "testfile" postaje nevidljiva.
Druge metode detekcije uključuju analizu sadržaja memorije i diska. Da biste spriječili infekciju, preporučuje se korištenje obavezne provjere potpisa kernela i modula, koja je dostupna počevši od verzije Linux kernela 3.7.
Izvještaj sadrži Snort pravila za otkrivanje mrežne aktivnosti Drovoruba i Yara pravila za otkrivanje njegovih komponenti.
Podsjetimo, 85. GTSSS GRU (vojna jedinica 26165) je povezana sa grupom , odgovoran za brojne sajber napade.
izvor: opennet.ru