Agència de Seguretat Nacional i Oficina Federal d'Investigacions dels Estats Units , segons el qual el 85è centre principal de servei especial (85 GCSS GRU) s'utilitza un complex de programari maliciós anomenat "Drovorub". Drovorub inclou un rootkit en forma de mòdul del nucli de Linux, una eina per transferir fitxers i redirigir ports de xarxa i un servidor de control. La part del client pot descarregar i carregar fitxers, executar ordres arbitràries com a usuari root i redirigir els ports de xarxa a altres nodes de xarxa.
El centre de control de Drovorub rep el camí del fitxer de configuració en format JSON com a argument de línia d'ordres:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport": " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"frase": " »
}
El SGBD MySQL s'utilitza com a backend. El protocol WebSocket s'utilitza per connectar clients.
El client té una configuració integrada, que inclou l'URL del servidor, la seva clau pública RSA, el nom d'usuari i la contrasenya. Després d'instal·lar el rootkit, la configuració es desa com a fitxer de text en format JSON, que el mòdul del nucli Drovoruba amaga al sistema:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"key": "Y2xpZW50a2V5"
}
Aquí "id" és un identificador únic emès pel servidor, en el qual els últims 48 bits corresponen a l'adreça MAC de la interfície de xarxa del servidor. El paràmetre "clau" per defecte és una cadena codificada en base64 "clientkey" que el servidor utilitza durant l'enllaç inicial. A més, el fitxer de configuració pot contenir informació sobre fitxers, mòduls i ports de xarxa ocults:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
"monitor" : {
"dossier" : [
{
"active": "cert"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask": "testfile1"
}
],
"mòdul": [
{
"active": "cert"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask": "testmodule1"
}
],
"net": [
{
"active": "cert"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port": "12345",
"protocol": "tcp"
}
] }
}
Un altre component de Drovorub és l'agent; el seu fitxer de configuració conté informació per connectar-se al servidor:
{
"client_login": "usuari123",
"client_pass": "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"clau_publica",
"server_host" : "192.168.57.100",
"server_port" :"45122",
"server_uri" :"/ws"
}
Els camps "clientid" i "clientkey_base64" falten inicialment; s'afegeixen després del registre inicial al servidor.
Després de la instal·lació, es realitzen les operacions següents:
- es carrega el mòdul del nucli, que registra els ganxos per a les trucades del sistema;
- el client es registra amb un mòdul del nucli;
- El mòdul del nucli amaga el procés del client en execució i el seu fitxer executable al disc.
Un pseudo-dispositiu, per exemple /dev/zero, s'utilitza per comunicar-se entre el client i el mòdul del nucli. El mòdul del nucli analitza totes les dades escrites al dispositiu i, per a la transmissió en sentit contrari, envia el senyal SIGUSR1 al client, després del qual llegeix les dades del mateix dispositiu.
Per detectar el llenyataire, podeu utilitzar l'anàlisi del trànsit de xarxa mitjançant NIDS (no es pot detectar l'activitat maliciosa de la xarxa en el propi sistema infectat, ja que el mòdul del nucli amaga els endolls de xarxa que utilitza, les regles de netfilter i els paquets que podrien ser interceptats per endolls en brut). . Al sistema on està instal·lat Drovorub, podeu detectar el mòdul del nucli enviant-li l'ordre per amagar el fitxer:
toqueu el fitxer de prova
echo "ASDFZXCV:hf:testfile" > /dev/zero
ls
El fitxer "testfile" creat esdevé invisible.
Altres mètodes de detecció inclouen l'anàlisi del contingut de la memòria i del disc. Per prevenir la infecció, es recomana utilitzar la verificació de signatura obligatòria del nucli i dels mòduls, disponible a partir de la versió 3.7 del nucli de Linux.
L'informe conté regles Snort per detectar l'activitat de xarxa de Drovorub i regles de Yara per detectar els seus components.
Recordem que el 85è GTSSS GRU (unitat militar 26165) està associat al grup , responsable de nombrosos atacs cibernètics.
Font: opennet.ru