Nacia Sekureca Agentejo kaj Usona Federacia Oficejo de Enketo , laŭ kiu la 85-a ĉefa centro de speciala servo (85 GCSS GRU) malware komplekso nomita "Drovorub" estas uzata. Drovorub inkluzivas radikilon en formo de Linuksa kernomodulo, ilon por transdoni dosierojn kaj redirekti retajn havenojn, kaj kontrolservilon. La klienta parto povas elŝuti kaj alŝuti dosierojn, efektivigi arbitrajn komandojn kiel la radika uzanto, kaj redirekti retajn havenojn al aliaj retaj nodoj.
La Drovorub-kontrolcentro ricevas la vojon al la agorda dosiero en JSON-formato kiel komandlinia argumento:
{
«db_host» : «<DB_IP_ADDR>»,
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"frazo" : " »
}
MySQL DBMS estas uzata kiel backend. La WebSocket-protokolo estas uzata por konekti klientojn.
La kliento havas enkonstruitan agordon, inkluzive de la servila URL, ĝia RSA publika ŝlosilo, uzantnomo kaj pasvorto. Post instalo de la rootkit, la agordo estas konservita kiel tekstdosiero en JSON-formato, kiu estas kaŝita de la sistemo per la Drovoruba kernomodulo:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
«key»: «Y2xpZW50a2V5»
}
Ĉi tie "id" estas unika identigilo eldonita de la servilo, en kiu la lastaj 48 bitoj respondas al la MAC-adreso de la retinterfaco de la servilo. La defaŭlta "ŝlosilo" parametro estas baz64 kodita ĉeno "clientkey" kiu estas uzata de la servilo dum la komenca manpremo. Krome, la agorda dosiero povas enhavi informojn pri kaŝitaj dosieroj, moduloj kaj retaj havenoj:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"ŝlosilo": "Y2xpZW50a2V5",
"monitor" : {
"dosiero" : [
{
"active" : "vera"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"masko" : "testdosiero1"
}
],
"modulo" : [
{
"active" : "vera"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"masko" : "testmodulo1"
}
],
"reto" : [
{
"active" : "vera"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"protokolo" : "tcp"
}
] }
}
Alia komponento de Drovorub estas la agento; ĝia agorda dosiero enhavas informojn por konektiĝi al la servilo:
{
"client_login" : "uzanto123",
"client_pass" : "pass4567",
"kliento" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"publika_ŝlosilo",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
La kampoj "clientid" kaj "clientkey_base64" komence mankas; ili estas aldonitaj post la komenca registrado en la servilo.
Post instalado, la sekvaj operacioj estas faritaj:
- загружается модуль ядра, который регистрирует хуки для системных вызовов;
- la kliento registras kun la kernomodulo;
- La kernomodulo kaŝas la kurantan klientprocezon kaj ĝian ruleblan dosieron sur disko.
Pseŭdo-aparato, ekzemple /dev/zero, estas uzata por komuniki inter la kliento kaj la kernomodulo. La kernomodulo analizas ĉiujn datumojn skribitajn al la aparato, kaj por transsendo en la kontraŭa direkto ĝi sendas la SIGUSR1-signalon al la kliento, post kio ĝi legas datumojn de la sama aparato.
Por detekti la Lumberjack, vi povas uzi retan trafikan analizon per NIDS (malica reto-agado en la infektita sistemo mem ne povas esti detektita, ĉar la kernmodulo kaŝas la retajn ingojn kiujn ĝi uzas, netfiltrilregulojn, kaj pakaĵetojn kiuj povus esti kaptitaj de krudaj ingoj) . En la sistemo, kie Drovorub estas instalita, vi povas detekti la kernan modulon sendante al ĝi la komandon por kaŝi la dosieron:
tuŝu testdosieron
echo "ASDFZXCV:hf:testfile" > /dev/zero
ls
La kreita "testdosiero" dosiero fariĝas nevidebla.
Aliaj detektmetodoj inkludas memoron kaj diskenhavan analizon. Por malhelpi infekton, oni rekomendas uzi devigan subskriban konfirmon de la kerno kaj moduloj, disponebla ekde Linukso-kerna versio 3.7.
La raporto enhavas Snort-regulojn por detekti la retan agadon de Drovorub kaj Yara-reguloj por detekti ĝiajn komponantojn.
Ni memoru, ke la 85-a GTSSS GRU (armea unuo 26165) estas rilata al la grupo , respondeca pri multaj ciberatakoj.
fonto: opennet.ru