Nacionalna sigurnosna agencija i američki Federalni istražni ured , prema kojem 85. glavno središte posebne službe (85 GCSS GRU) koristi se kompleks zlonamjernog softvera pod nazivom "Drovorub". Drovorub uključuje rootkit u obliku Linux kernel modula, alat za prijenos datoteka i preusmjeravanje mrežnih priključaka te kontrolni poslužitelj. Klijentski dio može preuzimati i uploadati datoteke, izvršavati proizvoljne naredbe kao root korisnik i preusmjeravati mrežne portove na druge mrežne čvorove.
Kontrolni centar Drovorub prima put do konfiguracijske datoteke u JSON formatu kao argument naredbenog retka:
{
"db_host": " ",
"db_port" : " ",
"db_db" : " ",
"db_user": " ",
"db_lozinka": " ",
"lport" : " ",
"lhost": " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"fraza" : " »
}
MySQL DBMS se koristi kao backend. Za povezivanje klijenata koristi se WebSocket protokol.
Klijent ima ugrađenu konfiguraciju, uključujući URL poslužitelja, njegov RSA javni ključ, korisničko ime i lozinku. Nakon instaliranja rootkita, konfiguracija se sprema kao tekstualna datoteka u JSON formatu, koju od sustava skriva Drovoruba kernel modul:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"ključ": "Y2xpZW50a2V5"
}
Ovdje je "id" jedinstveni identifikator koji izdaje poslužitelj, u kojem zadnjih 48 bitova odgovara MAC adresi mrežnog sučelja poslužitelja. Zadani parametar "key" je base64 kodirani niz "clientkey" koji koristi poslužitelj tijekom početnog rukovanja. Osim toga, konfiguracijska datoteka može sadržavati informacije o skrivenim datotekama, modulima i mrežnim priključcima:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"ključ": "Y2xpZW50a2V5",
"monitor" : {
"datoteka" : [
{
"aktivno" : "istinito"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"maska": "testna datoteka1"
}
],
"modul" : [
{
"aktivno" : "istinito"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"maska" : "testmodule1"
}
],
"net" : [
{
"aktivno" : "istinito"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port": "12345",
"protokol": "tcp"
}
]}
}
Još jedna komponenta Drovoruba je agent; njegova konfiguracijska datoteka sadrži informacije za povezivanje s poslužiteljem:
{
"client_login": "user123",
"client_pass": "pass4567",
"clientid": "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" : "javni_ključ",
"server_host": "192.168.57.100",
"server_port" : "45122",
"server_uri" :"/ws"
}
Polja “clientid” i “clientkey_base64” inicijalno nedostaju; dodaju se nakon početne registracije na poslužitelju.
Nakon instalacije izvode se sljedeće radnje:
- učitava se kernel modul koji registrira zakačke za sistemske pozive;
- klijent se registrira s kernel modulom;
- Kernel modul skriva pokrenuti proces klijenta i njegovu izvršnu datoteku na disku.
Pseudo-uređaj, na primjer /dev/zero, koristi se za komunikaciju između klijenta i kernel modula. Modul jezgre analizira sve podatke zapisane na uređaj, te za prijenos u suprotnom smjeru klijentu šalje signal SIGUSR1, nakon čega čita podatke s istog uređaja.
Da biste otkrili Lumberjack, možete upotrijebiti analizu mrežnog prometa pomoću NIDS-a (zlonamjerna mrežna aktivnost u samom zaraženom sustavu ne može se otkriti, budući da modul kernela skriva mrežne utičnice koje koristi, pravila netfiltera i pakete koji bi mogli biti presretnuti neobrađenim utičnicama) . Na sustavu na kojem je instaliran Drovorub, možete otkriti modul kernela slanjem naredbe za skrivanje datoteke:
dodirna testna datoteka
echo “ASDFZXCV:hf:testfile” > /dev/nula
ls
Stvorena datoteka "testfile" postaje nevidljiva.
Ostale metode otkrivanja uključuju analizu sadržaja memorije i diska. Kako biste spriječili infekciju, preporučuje se korištenje obvezne provjere potpisa jezgre i modula, dostupne počevši od verzije 3.7 jezgre Linuxa.
Izvješće sadrži Snort pravila za otkrivanje mrežne aktivnosti Drovoruba i Yara pravila za otkrivanje njegovih komponenti.
Podsjetimo, 85. GTSSS GRU (vojna jedinica 26165) povezana je s grupom , odgovoran za brojne cyber napade.
Izvor: opennet.ru