National Security Agency a me ka US Federal Bureau of Investigation , e like me ka 85th kumu nui o ka lawelawe kūikawā (85 ГЦСС ГРУ) используется комплекс вредоносного ПО под названием «Дроворуб». В состав «Дроворуба» входят руткит в виде модуля ядра Linux, инструмент для пересылки файлов и перенаправления сетевых портов и управляющий сервер. Клиентская часть может скачивать и выгружать файлы, выполнять произвольные команды от имени пользователя root и перенаправлять сетевые порты на другие узлы сети.
Loaʻa i ka Drovorub control center ke ala i ka faila hoʻonohonoho ma JSON format ma ke ʻano he hoʻopaʻapaʻa laina kauoha:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
«lport» : «<LPORT>»,
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"hua'ōlelo" : " »
}
Hoʻohana ʻia ʻo MySQL DBMS ma ke ʻano he backend. Hoʻohana ʻia ka protocol WebSocket e hoʻopili i nā mea kūʻai aku.
Ua kūkulu ka mea kūʻai aku i ka hoʻonohonoho hoʻonohonoho, me ka URL kikowaena, kāna kī lehulehu RSA, inoa inoa a me ka ʻōlelo huna. Ma hope o ka hoʻokomo ʻana i ka rootkit, mālama ʻia ka hoʻonohonoho ʻana ma ke ʻano he faila kikokikona ma JSON format, i hūnā ʻia mai ka ʻōnaehana e ka module kernel Drovoruba:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"kī": "Y2xpZW50a2V5"
}
Ma ʻaneʻi ʻo "id" kahi mea hōʻike kūʻokoʻa i hoʻopuka ʻia e ke kikowaena, kahi i pili ai nā 48 bits hope loa i ka helu MAC o ka ʻaoʻao pūnaewele o ka server. ʻO ka ʻāpana "ki" paʻamau he string base64 i hoʻopaʻa ʻia "clientkey" i hoʻohana ʻia e ke kikowaena i ka wā o ka lulu lima mua. Eia hou, hiki i ka faila hoʻonohonoho ke loaʻa ka ʻike e pili ana i nā faila huna, nā modules a me nā awa pūnaewele:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"kī": "Y2xpZW50a2V5",
"nānā" : {
"faila" : [
{
"active" : "ʻoiaʻiʻo"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
"module" : [
{
"active" : "ʻoiaʻiʻo"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
«mask» : «testmodule1»
}
],
"ʻupena" : [
{
"active" : "ʻoiaʻiʻo"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"protocol" : "tcp"
}
] }
}
Ещё один компонент «Дроворуба» — агент, его конфигурационный файл содержит информацию для подключения к серверу:
{
"client_login" : "mea hoʻohana123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" : "kī_public",
"server_host" : "192.168.57.100",
"server_port" : "45122″,
"server_uri" :"/ws"
}
Ua nalo mua nā kahua "clientid" a me "clientkey_base64"; ua hoʻohui ʻia lākou ma hope o ka hoʻopaʻa inoa mua ʻana ma ke kikowaena.
Ma hope o ke kau ʻana, hana ʻia nā hana aʻe:
- hoʻouka ʻia ka module kernel, e hoʻopaʻa inoa i nā makau no nā kelepona ʻōnaehana;
- hoʻopaʻa inoa ka mea kūʻai aku me kahi module kernel;
- Huna ka module kernel i ke kaʻina hana o ka mea kūʻai aku a me kāna faila hiki ke hoʻokō ʻia ma ka disk.
Hoʻohana ʻia kahi pseudo-device, no ka laʻana /dev/zero, e kamaʻilio ma waena o ka mea kūʻai aku a me ka module kernel. Hoʻopili ka module kernel i nā ʻikepili āpau i kākau ʻia i ka hāmeʻa, a no ka hoʻouna ʻana i ka ʻaoʻao ʻē aʻe e hoʻouna i ka hōʻailona SIGUSR1 i ka mea kūʻai aku, a laila heluhelu ʻo ia i ka ʻikepili mai ka mea like.
Для обнаружения «Дроворуба» можно использовать анализ сетевого трафика средствами NIDS (вредоносную сетевую активность в самой заражённой системе выявить не удаётся, так как модуль ядра скрывает используемые им сетевые сокеты, правила netfilter и пакеты, которые могли бы перехватиться raw-сокетами). В системе, где установлен «Дроворуб», можно обнаружить модуль ядра, отправив ему команду сокрытия файла:
pā hoʻāʻo waihona
e hoʻokani "ASDFZXCV: hf: testfile" > /dev/zero
ls
ʻAʻole ʻike ʻia ka faila "testfile" i hana ʻia.
ʻO nā ʻano ʻike ʻē aʻe e pili ana i ka hoʻomanaʻo a me ka nānā ʻana i ka ʻike disk. No ka pale ʻana i ka maʻi, ʻōlelo ʻia e hoʻohana i ka hōʻoia hōʻoia o ka kernel a me nā modules, loaʻa mai ka Linux kernel version 3.7.
Aia ka hōʻike i nā lula Snort no ka ʻike ʻana i ka hana pūnaewele o Drovorub a me Yara lula no ka ʻike ʻana i kāna mau ʻāpana.
E hoʻomanaʻo kākou e pili ana ka 85th GTSSS GRU (pūʻali koa 26165) me ka hui. , kuleana no nā hoʻouka kaua he nui.
Source: opennet.ru