Ajans Sekirite Nasyonal ak Biwo Envestigasyon Federal Etazini , selon ki sant prensipal 85th nan sèvis espesyal (85 GCSS GRU) yo itilize yon konplèks malveyan ki rele "Drovorub". Drovorub gen ladan yon routki nan fòm lan nan yon modil nwayo Linux, yon zouti pou transfere dosye ak redireksyon pò rezo, ak yon sèvè kontwòl. Pati kliyan an ka telechaje ak telechaje dosye, egzekite kòmandman abitrè kòm itilizatè rasin lan, ak redireksyon pò rezo yo nan lòt nœuds rezo yo.
Sant kontwòl Drovoub resevwa chemen an nan fichye konfigirasyon an nan fòma JSON kòm yon agiman liy lòd:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"fraz" : " »
}
MySQL DBMS yo itilize kòm yon backend. Pwotokòl WebSocket yo itilize pou konekte kliyan yo.
Kliyan an gen konfigirasyon entegre, ki gen ladan URL sèvè a, kle piblik RSA li yo, non itilizatè ak modpas. Apre enstale routki a, konfigirasyon an sove kòm yon dosye tèks nan fòma JSON, ki se kache nan sistèm nan pa modil la Kernel Drovoruba:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"kle": "Y2xpZW50a2V5"
}
Isit la "id" se yon idantifyan inik ki bay sèvè a, kote dènye 48 bit yo koresponn ak adrès MAC nan koòdone rezo sèvè a. Paramèt "kle" default la se yon kòd "clientkey" ki kode base64 ki sèvi ak sèvè a pandan premye lanmen. Anplis de sa, fichye konfigirasyon an ka gen enfòmasyon sou dosye kache, modil ak pò rezo:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"kle": "Y2xpZW50a2V5",
"moniteur" : {
"dosye" : [
{
"active" : "vre"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
"modil" : [
{
"active" : "vre"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask" : "testmodule1"
}
],
"net" : [
{
"active" : "vre"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"pwotokòl" : "tcp"
}
]}
}
Yon lòt eleman nan Drovoub se ajan an; fichye konfigirasyon li yo gen enfòmasyon pou konekte ak sèvè a:
{
"client_login": "user123",
"client_pass" : "pass4567",
"kliyan" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
Jaden "clientid" ak "clientkey_base64" yo manke okòmansman; yo ajoute yo apre premye enskripsyon an sou sèvè a.
Apre enstalasyon, operasyon sa yo fèt:
- modil nwayo a chaje, ki anrejistre kwòk pou apèl sistèm;
- kliyan an anrejistre ak yon modil nwayo;
- Modil nwayo a kache pwosesis kliyan an kouri ak dosye ègzèkutabl li yo sou disk.
Yo itilize yon pseudo-aparèy, pou egzanp /dev/zero, pou kominike ant kliyan an ak modil nwayo a. Modil nwayo a analize tout done ki ekri sou aparèy la, epi pou transmisyon nan direksyon opoze a li voye siyal SIGUSR1 bay kliyan an, apre sa li li done ki soti nan menm aparèy la.
Pou detekte Lumberjack a, ou ka itilize analiz trafik rezo lè l sèvi avèk NIDS (aktivite rezo move nan sistèm ki enfekte a li menm pa ka detekte, paske modil nwayo a kache priz rezo li itilize yo, règ netfilter, ak pake ki ta ka entèsepte pa priz anvan tout koreksyon) . Sou sistèm kote Drovorub enstale a, ou ka detekte modil nwayo a lè w voye lòd pou kache fichye a:
manyen dosye tès la
eko "ASDFZXCV:hf:testfile"> /dev/zero
ls
Fichye "testfile" kreye a vin envizib.
Lòt metòd deteksyon gen ladan memwa ak analiz kontni disk. Pou anpeche enfeksyon, li rekòmande pou itilize verifikasyon obligatwa siyati nwayo a ak modil, ki disponib apati de vèsyon kernel Linux 3.7.
Rapò a gen règ Snort pou detekte aktivite rezo Drovorub ak règ Yara pou detekte eleman li yo.
Ann sonje ke 85th GTSSS GRU (inite militè 26165) asosye ak gwoup la. , responsab anpil atak cyber.
Sous: opennet.ru