Badan Keamanan Nasional lan Biro Investigasi Federal AS , miturut kang 85 pusat utama layanan khusus (85 GCSS GRU) kompleks malware sing diarani "Drovorub" digunakake. Drovorub kalebu rootkit ing wangun modul kernel Linux, alat kanggo nransfer file lan ngarahake port jaringan, lan server kontrol. Bagian klien bisa ngundhuh lan ngunggah file, nglakokake perintah sewenang-wenang minangka pangguna root, lan ngarahake port jaringan menyang node jaringan liyane.
Pusat kontrol Drovorub nampa path menyang file konfigurasi ing format JSON minangka argumen baris perintah:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_sandi" : " ",
"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"tembung" : " »
}
MySQL DBMS digunakake minangka backend. Protokol WebSocket digunakake kanggo nyambungake klien.
Klien duwe konfigurasi sing dibangun, kalebu URL server, kunci umum RSA, jeneng pangguna lan sandhi. Sawise nginstal rootkit, konfigurasi kasebut disimpen minangka file teks ing format JSON, sing didhelikake saka sistem dening modul kernel Drovoruba:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"kunci": "Y2xpZW50a2V5"
}
Ing kene "id" minangka pengenal unik sing diterbitake dening server, ing ngendi 48 bit pungkasan cocog karo alamat MAC antarmuka jaringan server. Parameter "tombol" standar yaiku string "clientkey" sing dienkode base64 sing digunakake dening server sajrone salaman awal. Kajaba iku, file konfigurasi bisa uga ngemot informasi babagan file, modul lan port jaringan sing didhelikake:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"kunci": "Y2xpZW50a2V5",
"monitor" : {
"file": [
{
"aktif": "bener"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"topeng": "testfile1"
}
],
"modul": [
{
"aktif": "bener"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"topeng" : "testmodule1"
}
],
"net": [
{
"aktif": "bener"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port": "12345",
"protokol": "tcp"
}
]}
}
Komponen liyane saka Drovorub yaiku agen; file konfigurasi ngemot informasi kanggo nyambungake menyang server:
{
"client_login" : "user123",
"klien_pass" : "pass4567",
"klien" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" : "public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122",
"server_uri" :"/ws"
}
Kolom "clientid" lan "clientkey_base64" wiwitane ora ana; ditambahake sawise registrasi awal ing server.
Sawise instalasi, operasi ing ngisor iki ditindakake:
- modul kernel dimuat, kang ndhaptar pancingan kanggo telpon sistem;
- klien ndhaptar nganggo modul kernel;
- Modul kernel ndhelikake proses klien sing mlaku lan file sing bisa dieksekusi ing disk.
Piranti pseudo, contone /dev/zero, digunakake kanggo komunikasi antarane klien lan modul kernel. Modul kernel parses kabeh data sing ditulis ing piranti, lan kanggo transmisi ing arah ngelawan ngirim sinyal SIGUSR1 kanggo klien, sawise kang maca data saka piranti padha.
Kanggo ndeteksi Lumberjack, sampeyan bisa nggunakake analisis lalu lintas jaringan nggunakake NIDS (aktivitas jaringan angkoro ing sistem sing kena infeksi dhewe ora bisa dideteksi, amarga modul kernel ndhelikake soket jaringan sing digunakake, aturan netfilter, lan paket sing bisa dicegat dening soket mentah) . Ing sistem sing diinstal Drovorub, sampeyan bisa ndeteksi modul kernel kanthi ngirim printah kanggo ndhelikake file kasebut:
tutul testfile
echo "ASDFZXCV: hf: testfile" > /dev/zero
ls
File "testfile" sing digawe dadi ora katon.
Cara deteksi liyane kalebu memori lan analisis isi disk. Kanggo nyegah infeksi, disaranake nggunakake verifikasi tandha wajib saka kernel lan modul, kasedhiya wiwit saka kernel Linux versi 3.7.
Laporan kasebut ngemot aturan Snort kanggo ndeteksi aktivitas jaringan aturan Drovorub lan Yara kanggo ndeteksi komponen kasebut.
Ayo kita elinga yen 85th GTSSS GRU (unit militer 26165) digandhengake karo grup kasebut. , tanggung jawab kanggo akeh serangan cyber.
Source: opennet.ru