National Security Agency ug US Federal Bureau of Investigation , sumala sa diin ang ika-85 nga panguna nga sentro sa espesyal nga serbisyo (85 GCSS GRU) usa ka malware complex nga gitawag og "Drovorub" ang gigamit. Ang Drovorub naglakip sa usa ka rootkit sa porma sa usa ka Linux kernel module, usa ka himan alang sa pagbalhin sa mga file ug pag-redirect sa mga pantalan sa network, ug usa ka control server. Ang bahin sa kliyente mahimong mag-download ug mag-upload og mga file, magpatuman sa arbitraryong mga sugo ingon nga gamut nga tiggamit, ug mag-redirect sa mga pantalan sa network ngadto sa ubang mga node sa network.
Ang Drovorub control center nakadawat sa dalan sa configuration file sa JSON format isip command line argument:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"hugpong sa mga pulong" : " »
}
Ang MySQL DBMS gigamit isip backend. Ang WebSocket protocol gigamit sa pagkonektar sa mga kliyente.
Ang kliyente adunay built-in nga configuration, lakip ang server URL, ang RSA public key niini, username ug password. Human ma-install ang rootkit, ang configuration gitipigan isip text file sa JSON format, nga gitago gikan sa sistema sa Drovoruba kernel module:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"key": "Y2xpZW50a2V5"
}
Dinhi ang "id" usa ka talagsaon nga identifier nga gi-isyu sa server, diin ang katapusan nga 48 bits katumbas sa MAC address sa network interface sa server. Ang default nga parameter nga "key" usa ka base64 nga gi-encode nga string nga "clientkey" nga gigamit sa server sa panahon sa una nga paglamano. Dugang pa, ang configuration file mahimong adunay impormasyon bahin sa mga tinago nga mga file, modules ug network ports:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
"monitor" : {
"file": [
{
"aktibo" : "tinuod"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
"module": [
{
"aktibo" : "tinuod"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask" : "testmodule1"
}
],
"pukot" : [
{
"aktibo" : "tinuod"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"protocol": "tcp"
}
]}
}
Ang laing bahin sa Drovorub mao ang ahente; ang configuration file niini adunay impormasyon alang sa pagkonektar sa server:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" : "public_key",
"server_host" : "192.168.57.100",
"server_port" : "45122",
"server_uri" :"/ws"
}
Ang mga natad nga "clientid" ug "clientkey_base64" sa sinugdan nawala; kini gidugang pagkahuman sa inisyal nga pagrehistro sa server.
Human sa pag-instalar, ang mosunod nga mga operasyon gihimo:
- ang kernel module gikarga, nga nagparehistro sa mga kaw-it alang sa mga tawag sa sistema;
- ang kliyente nagparehistro sa kernel module;
- Ang kernel module nagtago sa nagdagan nga proseso sa kliyente ug ang executable file niini sa disk.
Usa ka pseudo-device, pananglitan /dev/zero, gigamit sa pagpakigsulti tali sa kliyente ug sa kernel module. Ang kernel module nag-parse sa tanan nga mga datos nga gisulat sa device, ug alang sa transmission sa atbang nga direksyon kini nagpadala sa SIGUSR1 signal ngadto sa kliyente, nga human niana kini nagbasa sa datos gikan sa samang device.
Aron mahibal-an ang Lumberjack, mahimo nimong gamiton ang pagtuki sa trapiko sa network gamit ang NIDS (dili mamatikdan ang malisyoso nga kalihokan sa network sa nataptan nga sistema mismo, tungod kay gitago sa kernel module ang mga socket sa network nga gigamit niini, mga lagda sa netfilter, ug mga pakete nga mahimong ma-intercept sa mga hilaw nga socket) . Sa sistema diin gi-install ang Drovorub, mahimo nimong mahibal-an ang module sa kernel pinaagi sa pagpadala niini sa mando aron itago ang file:
touch test file
echo “ASDFZXCV:hf:testfile”> /dev/zero
ls
Ang gibuhat nga "testfile" nga file mahimong dili makita.
Ang ubang mga pamaagi sa pag-ila naglakip sa memorya ug pagtuki sa sulod sa disk. Aron malikayan ang impeksyon, girekomenda nga gamiton ang mandatory signature verification sa kernel ug modules, nga magamit sugod sa Linux kernel version 3.7.
Ang report naglangkob sa mga lagda sa Snort alang sa pag-ila sa kalihokan sa network sa Drovorub ug Yara nga mga lagda alang sa pag-ila sa mga sangkap niini.
Atong hinumdoman nga ang 85th GTSSS GRU (militar nga yunit 26165) nalangkit sa grupo , responsable sa daghang mga pag-atake sa cyber.
Source: opennet.ru