Badan Keamanan Nasional dan Biro Investigasi Federal AS , yang menurutnya merupakan pusat layanan khusus utama ke-85 (85 GCSS GRU) kompleks malware yang disebut “Drovorub” digunakan. Drovorub menyertakan rootkit dalam bentuk modul kernel Linux, alat untuk mentransfer file dan mengarahkan ulang port jaringan, dan server kontrol. Bagian klien dapat mengunduh dan mengunggah file, menjalankan perintah sewenang-wenang sebagai pengguna root, dan mengarahkan port jaringan ke node jaringan lainnya.
Pusat kendali Drovorub menerima jalur ke file konfigurasi dalam format JSON sebagai argumen baris perintah:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_pengguna" : " ",
"kata sandi_db" : " ",
"laporan" : " ",
"tuhan" : " ",
"ping_detik" : " ",
"priv_key_file" : " ",
"frasa" : " »
}
DBMS MySQL digunakan sebagai backend. Protokol WebSocket digunakan untuk menghubungkan klien.
Klien memiliki konfigurasi bawaan, termasuk URL server, kunci publik RSA, nama pengguna dan kata sandi. Setelah menginstal rootkit, konfigurasi disimpan sebagai file teks dalam format JSON, yang disembunyikan dari sistem oleh modul kernel Drovoruba:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"kunci": "Y2xpZW50a2V5"
}
Di sini "id" adalah pengidentifikasi unik yang dikeluarkan oleh server, di mana 48 bit terakhir sesuai dengan alamat MAC antarmuka jaringan server. Parameter "kunci" default adalah string "kunci klien" yang dikodekan base64 yang digunakan oleh server selama jabat tangan awal. Selain itu, file konfigurasi mungkin berisi informasi tentang file tersembunyi, modul, dan port jaringan:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"kunci": "Y2xpZW50a2V5",
"memantau" : {
"berkas" : [
{
"aktif" : "benar"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"topeng": "file uji1"
}
],
"modul" : [
{
"aktif" : "benar"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"topeng": "modul tes1"
}
],
"bersih" : [
{
"aktif" : "benar"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"pelabuhan": "12345",
"protokol": "tcp"
}
] }
}
Komponen lain dari Drovorub adalah agen; file konfigurasinya berisi informasi untuk menghubungkan ke server:
{
"klien_login" : "pengguna123",
"client_pass" : "pass4567",
"id klien": "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"kunci_publik",
"server_host" : "192.168.57.100",
"port_server" :"45122″,
"server_uri" :"/ws"
}
Bidang "clientid" dan "clientkey_base64" awalnya hilang; mereka ditambahkan setelah pendaftaran awal di server.
Setelah instalasi, operasi berikut dilakukan:
- modul kernel dimuat, yang mendaftarkan kait untuk panggilan sistem;
- klien mendaftar dengan modul kernel;
- Modul kernel menyembunyikan proses klien yang sedang berjalan dan file yang dapat dieksekusi di disk.
Perangkat semu, misalnya /dev/zero, digunakan untuk berkomunikasi antara klien dan modul kernel. Modul kernel mem-parsing semua data yang ditulis ke perangkat, dan untuk transmisi dalam arah yang berlawanan, ia mengirimkan sinyal SIGUSR1 ke klien, setelah itu membaca data dari perangkat yang sama.
Untuk mendeteksi Lumberjack, Anda dapat menggunakan analisis lalu lintas jaringan menggunakan NIDS (aktivitas jaringan berbahaya dalam sistem yang terinfeksi itu sendiri tidak dapat dideteksi, karena modul kernel menyembunyikan soket jaringan yang digunakannya, aturan netfilter, dan paket yang dapat disadap oleh soket mentah) . Pada sistem tempat Drovorub diinstal, Anda dapat mendeteksi modul kernel dengan mengirimkan perintah untuk menyembunyikan file:
sentuh file tes
gema “ASDFZXCV:hf:file uji” > /dev/zero
ls
File “testfile” yang dibuat menjadi tidak terlihat.
Metode deteksi lainnya termasuk analisis memori dan konten disk. Untuk mencegah infeksi, disarankan untuk menggunakan verifikasi tanda tangan wajib pada kernel dan modul, tersedia mulai dari kernel Linux versi 3.7.
Laporan tersebut berisi aturan Snort untuk mendeteksi aktivitas jaringan Drovorub dan aturan Yara untuk mendeteksi komponennya.
Mari kita ingat bahwa GTSSS GRU ke-85 (unit militer 26165) dikaitkan dengan grup , bertanggung jawab atas berbagai serangan dunia maya.
Sumber: opennet.ru