National Security Agency ja Yhdysvaltain liittovaltion tutkintavirasto , jonka mukaan 85. pääkeskus erikoispalvelu (85 GCSS GRU) käytetään haittaohjelmakompleksia nimeltä "Drovorub". Drovorub sisältää rootkitin Linux-ydinmoduulin muodossa, työkalun tiedostojen siirtoon ja verkkoporttien uudelleenohjaukseen sekä ohjauspalvelimen. Asiakasosa voi ladata ja lähettää tiedostoja, suorittaa mielivaltaisia komentoja pääkäyttäjänä ja ohjata verkkoportteja muihin verkkosolmuihin.
Drovorub-ohjauskeskus vastaanottaa polun määritystiedostoon JSON-muodossa komentoriviargumenttina:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"lause": " »
}
MySQL DBMS:ää käytetään taustaohjelmistona. WebSocket-protokollaa käytetään asiakkaiden yhdistämiseen.
Asiakkaalla on sisäänrakennettu kokoonpano, mukaan lukien palvelimen URL-osoite, sen julkinen RSA-avain, käyttäjätunnus ja salasana. Rootkit-asennuksen jälkeen kokoonpano tallennetaan tekstitiedostona JSON-muodossa, jonka Drovoruba-ydinmoduuli piilottaa järjestelmältä:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"avain": "Y2xpZW50a2V5"
}
Tässä "id" on palvelimen antama yksilöllinen tunniste, jonka viimeiset 48 bittiä vastaavat palvelimen verkkoliitännän MAC-osoitetta. Oletusarvoinen "avain"-parametri on base64-koodattu "clientkey"-merkkijono, jota palvelin käyttää ensimmäisen kättelyn aikana. Lisäksi asetustiedosto voi sisältää tietoja piilotiedostoista, moduuleista ja verkkoporteista:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"avain": "Y2xpZW50a2V5",
"monitori" : {
"tiedosto" : [
{
"aktiivinen" : "tosi"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testitiedosto1"
}
],
"moduuli" : [
{
"aktiivinen" : "tosi"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask" : "testimoduuli1"
}
],
"netto" : [
{
"aktiivinen" : "tosi"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"portti" : "12345",
"protokolla": "tcp"
}
]}
}
Toinen Drovorubin komponentti on agentti, jonka asetustiedosto sisältää tietoja palvelimeen yhdistämisestä:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"julkinen_avain",
"server_host" : "192.168.57.100",
"server_port" :"45122",
"palvelin_uri" :"/ws"
}
Kentät "clientid" ja "clientkey_base64" puuttuvat aluksi, vaan ne lisätään ensimmäisen rekisteröinnin jälkeen palvelimelle.
Asennuksen jälkeen suoritetaan seuraavat toimenpiteet:
- ydinmoduuli ladataan, joka rekisteröi koukut järjestelmäkutsuille;
- asiakas rekisteröityy ydinmoduuliin;
- Ydinmoduuli piilottaa käynnissä olevan asiakasprosessin ja sen suoritettavan tiedoston levylle.
Pseudolaitetta, esimerkiksi /dev/zero, käytetään viestimään asiakkaan ja ydinmoduulin välillä. Ydinmoduuli jäsentää kaiken laitteelle kirjoitetun tiedon ja lähetystä varten vastakkaiseen suuntaan lähettää asiakkaalle SIGUSR1-signaalin, jonka jälkeen se lukee tiedot samalta laitteelta.
Tunnistaaksesi Lumberjackin, voit käyttää verkkoliikenneanalyysiä NIDS:n avulla (haitallista verkkotoimintaa tartunnan saaneessa järjestelmässä itsessään ei voida havaita, koska ydinmoduuli piilottaa käyttämänsä verkkopistokkeet, netfilter-säännöt ja paketit, jotka raakapistokkeet voivat siepata) . Järjestelmässä, johon Drovorub on asennettu, voit tunnistaa ydinmoduulin lähettämällä sille komennon piilottaa tiedosto:
kosketa testitiedostoa
echo “ASDFZXCV:hf:testitiedosto” > /dev/zero
ls
Luodusta "testfile" -tiedostosta tulee näkymätön.
Muita tunnistusmenetelmiä ovat muistin ja levyn sisällön analysointi. Tartunnan estämiseksi on suositeltavaa käyttää ytimen ja moduulien pakollista allekirjoituksen tarkistusta, joka on saatavilla Linux-ytimen versiosta 3.7 alkaen.
Raportti sisältää Snort-säännöt Drovorubin verkkotoiminnan havaitsemiseksi ja Yara-säännöt sen komponenttien havaitsemiseksi.
Muistakaamme, että 85. GTSSS GRU (sotilasyksikkö 26165) liittyy ryhmään , joka on vastuussa lukuisista kyberhyökkäyksistä.
Lähde: opennet.ru