Segurtasun Agentzia Nazionala eta AEBetako Ikerketa Bulego Federala , zeinaren arabera zerbitzu bereziko 85. zentro nagusia (85 GCSS GRU) "Drovorub" izeneko malware konplexua erabiltzen da. Drovorub-ek Linux kernel modulu moduan rootkit bat dakar, fitxategiak transferitzeko eta sareko atakak birbideratzeko tresna eta kontrol zerbitzari bat. Bezeroaren zatiak fitxategiak deskargatu eta igo ditzake, komando arbitrarioak exekutatu ditzake root erabiltzaile gisa eta sareko atakak beste sare nodo batzuetara birbideratu ditzake.
Drovorub kontrol zentroak konfigurazio-fitxategiaren bidea jasotzen du JSON formatuan komando-lerroko argumentu gisa:
{
"db_host" : "",
"db_port" : "",
"db_db" : "",
"db_user" : "",
"db_password" : "",
"lport" : "",
"lhost" : "",
"ping_sec" : "",
"priv_key_file" : "",
"phrase" : ""
}
MySQL DBMS backend gisa erabiltzen da. WebSocket protokoloa bezeroak konektatzeko erabiltzen da.
Bezeroak barne-konfigurazioa du, zerbitzariaren URLa, bere RSA gako publikoa, erabiltzaile-izena eta pasahitza barne. Rootkit-a instalatu ondoren, konfigurazioa testu-fitxategi gisa gordetzen da JSON formatuan, Drovoruba kernel moduluak sistematik ezkutatzen duena:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"gakoa": "Y2xpZW50a2V5"
}
Hemen "id" zerbitzariak emandako identifikatzaile esklusibo bat da, azken 48 bitak zerbitzariaren sareko interfazearen MAC helbideari dagozkion. Lehenetsitako "gakoa" parametroa base64 kodetutako "clientkey" kate bat da, zerbitzariak hasierako esku-ematean erabiltzen duena. Horrez gain, konfigurazio-fitxategiak ezkutuko fitxategi, modulu eta sareko atakei buruzko informazioa izan dezake:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"gakoa": "Y2xpZW50a2V5",
"monitorea" : {
"fitxategia" : [
{
"active" : "egia"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
"modulua" : [
{
"active" : "egia"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"maskara" : "testmodule1"
}
],
"sarea": [
{
"active" : "egia"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"protokoloa" : "tcp"
}
]}
}
Drovorub-en beste osagai bat agentea da; bere konfigurazio fitxategiak zerbitzariarekin konektatzeko informazioa dauka:
{
"client_login" : "erabiltzailea123",
"client_pass" : "pass4567",
"bezeroa" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
"clientid" eta "clientkey_base64" eremuak falta dira hasieran; zerbitzarian hasierako erregistroa egin ondoren gehitzen dira.
Instalatu ondoren, eragiketa hauek egiten dira:
- nukleoaren modulua kargatzen da, sistema deietarako amuak erregistratzen dituena;
- bezeroa kernel modulu batekin erregistratzen da;
- Nukleoaren moduluak exekutatzen ari den bezeroaren prozesua eta bere fitxategi exekutagarria diskoan ezkutatzen ditu.
Sasi-gailu bat, adibidez /dev/zero, bezeroaren eta nukleoaren moduluaren artean komunikatzeko erabiltzen da. Kernel moduluak gailuan idatzitako datu guztiak analizatzen ditu, eta kontrako noranzkoan transmititzeko SIGUSR1 seinalea bidaltzen dio bezeroari, eta ondoren gailu bereko datuak irakurtzen ditu.
Lumberjack detektatzeko, sareko trafikoaren analisia erabil dezakezu NIDS erabiliz (infektatutako sisteman bertan sare-jarduera gaiztoa ezin da detektatu, nukleoaren moduluak erabiltzen dituen sare-entxufeak, netfilter-en arauak eta socket gordinak atzeman ditzaketen paketeak ezkutatzen dituelako) . Drovorub instalatuta dagoen sisteman, nukleoaren modulua detekta dezakezu fitxategia ezkutatzeko komandoa bidalita:
ukitu proba fitxategia
echo "ASDFZXCV:hf:testfile" > /dev/zero
ls
Sortutako "testfile" fitxategia ikusezina bihurtzen da.
Beste detekzio metodo batzuk memoria eta diskoaren edukiaren analisia dira. Infekzioa saihesteko, kernelaren eta moduluen derrigorrezko sinadura egiaztapena erabiltzea gomendatzen da, Linux kernelaren 3.7 bertsiotik hasita eskuragarri.
Txostenak Drovorub-en sareko jarduera detektatzeko Snort arauak eta bere osagaiak detektatzeko Yara arauak ditu.
Gogora dezagun 85. GTSSS GRU (26165 unitate militarra) taldearekin lotuta dagoela , zibereraso ugariren arduraduna.
Iturria: opennet.ru