L'Agenzia di Sicurezza Naziunale è l'Uffiziu Federale di Investigazione di i Stati Uniti , secondu chì u centru principale 85 di serviziu speciale (85 GCSS GRU) hè utilizatu un cumplessu di malware chjamatu "Drovorub". Drovorub include un rootkit in a forma di un modulu di kernel Linux, un strumentu per trasferimentu di fugliali è redirecting porti di rete, è un servitore di cuntrollu. A parte di u cliente pò scaricà è cullà i fugliali, eseguisce cumandamenti arbitrarii cum'è l'utilizatore root, è redirige i porti di rete à altri nodi di rete.
U centru di cuntrollu di Drovorub riceve u percorsu à u schedariu di cunfigurazione in formatu JSON cum'è un argumentu di linea di cummanda:
{
"db_host" : "",
"db_port" : "",
"db_db" : "",
"db_user" : "",
"db_password" : "",
"lport" : "",
"lhost" : "",
"ping_sec" : "",
"priv_key_file" : "",
"frase" : ""
}
MySQL DBMS hè utilizatu cum'è backend. U protocolu WebSocket hè utilizatu per cunnette i clienti.
U cliente hà una cunfigurazione integrata, cumprese l'URL di u servitore, a so chjave publica RSA, u nome d'utilizatore è a password. Dopu a stallazione di u rootkit, a cunfigurazione hè salvata cum'è un schedariu di testu in formatu JSON, chì hè oculatu da u sistema da u modulu di u kernel Drovoruba:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"key": "Y2xpZW50a2V5"
}
Quì "id" hè un identificatore unicu emessu da u servitore, in quale l'ultimi 48 bits currispondenu à l'indirizzu MAC di l'interfaccia di rete di u servitore. U paràmetru "chiave" predeterminatu hè una stringa codificata in base64 "clientkey" chì hè utilizata da u servitore durante a stretta di manu iniziale. Inoltre, u schedariu di cunfigurazione pò cuntene infurmazioni nantu à i schedarii nascosti, i moduli è i porti di rete:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
"monitor" : {
"file" : [
{
"active" : "veru"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
"modulu" : [
{
"active" : "veru"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask" : "testmodule1"
}
],
"net" : [
{
"active" : "veru"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"protocol" : "tcp"
}
] }
}
Un altru cumpunente di Drovorub hè l'agente; u so schedariu di cunfigurazione cuntene informazioni per cunnette à u servitore:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" : "public_key",
"server_host" : "192.168.57.100",
"server_port" : "45122",
"server_uri" :"/ws"
}
I campi "clientid" è "clientkey_base64" sò inizialmente mancanti; sò aghjuntu dopu a registrazione iniziale in u servitore.
Dopu à a stallazione, i seguenti operazioni sò realizati:
- u modulu di u kernel hè caricatu, chì registra i ganci per e chjama di u sistema;
- u cliente si registra cù u modulu di u kernel;
- U modulu di kernel oculta u prucessu di u cliente in esecuzione è u so schedariu eseguibile nantu à u discu.
Un pseudo-dispositivu, per esempiu /dev/zero, hè utilizatu per cumunicà trà u cliente è u modulu di u kernel. U modulu di u kernel analizeghja tutte e dati scritte à u dispusitivu, è per a trasmissioni in a direzzione opposta manda u signale SIGUSR1 à u cliente, dopu chì leghje e dati da u stessu dispusitivu.
Per detectà u Lumberjack, pudete utilizà l'analisi di u trafficu di a rete utilizendu NIDS (l'attività di a rete maliciosa in u sistema infettatu stessu ùn pò esse rilevata, postu chì u modulu di u kernel oculta i sockets di rete chì usa, e regule di filtru di rete, è i pacchetti chì puderanu esse interceptati da sockets crudi) . In u sistema induve Drovorub hè stallatu, pudete detectà u modulu di u kernel mandendu u cumandamentu per ammuccià u schedariu:
toccu u schedariu di prova
echo "ASDFZXCV:hf:testfile"> /dev/zero
ls
U schedariu "testfile" creatu diventa invisibile.
L'altri metudi di rilevazione includenu l'analisi di u cuntenutu di memoria è di discu. Per prevene l'infezzione, hè cunsigliatu di utilizà a verificazione di a firma obligatoria di u kernel è di i moduli, dispunibuli da a versione di u kernel Linux 3.7.
U rapportu cuntene e regule Snort per detecting l'attività di a reta di Drovorub è e regule Yara per detectà i so cumpunenti.
Ricurdemu chì u 85th GTSSS GRU (unità militare 26165) hè assuciatu cù u gruppu , rispunsevuli di numerosi attacchi cibernetici.
Source: opennet.ru