Ұлттық қауіпсіздік агенттігі және АҚШ Федералдық тергеу бюросы , оған сәйкес арнайы қызметтің 85-ші бас орталығы (85 GCSS GRU) «Drovorub» деп аталатын зиянды бағдарлама кешені пайдаланылады. Drovorub құрамына Linux ядросының модулі түріндегі руткит, файлдарды тасымалдау және желі порттарын қайта бағыттау құралы және басқару сервері кіреді. Клиент бөлігі файлдарды жүктеп алып, жүктей алады, түбірлік пайдаланушы ретінде ерікті пәрмендерді орындай алады және желі порттарын басқа желі түйіндеріне қайта бағыттай алады.
Drovorub басқару орталығы JSON пішіміндегі конфигурация файлына жолды пәрмен жолы аргументі ретінде алады:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"фраза" : " »
}
MySQL ДҚБЖ сервер ретінде пайдаланылады. WebSocket протоколы клиенттерді қосу үшін пайдаланылады.
Клиентте сервердің URL мекенжайын, оның RSA ашық кілтін, пайдаланушы аты мен құпия сөзін қамтитын кірістірілген конфигурация бар. Руткит орнатқаннан кейін конфигурация Drovoruba ядро модулі арқылы жүйеден жасырылған JSON пішіміндегі мәтіндік файл ретінде сақталады:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"кілт": "Y2xpZW50a2V5"
}
Мұнда «id» сервер шығарған бірегей идентификатор болып табылады, онда соңғы 48 бит сервердің желілік интерфейсінің MAC мекенжайына сәйкес келеді. Әдепкі "кілт" параметрі бастапқы қол алысу кезінде сервермен пайдаланылатын base64 кодталған "клиент кілті" жолы болып табылады. Сонымен қатар, конфигурация файлында жасырын файлдар, модульдер және желі порттары туралы ақпарат болуы мүмкін:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
"монитор": {
«файл» : [
{
"белсенді": "шын"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"маска": "testfile1"
}
],
«модуль» : [
{
"белсенді": "шын"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask": "testmodule1"
}
],
"нет" : [
{
"белсенді": "шын"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"протокол": "tcp"
}
]}
}
Drovorub-тың тағы бір компоненті агент болып табылады, оның конфигурация файлында серверге қосылуға арналған ақпарат бар:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"қоғамдық_кілт",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
"clientid" және "clientkey_base64" өрістері бастапқыда жоқ; олар серверде бастапқы тіркеуден кейін қосылады.
Орнатқаннан кейін келесі әрекеттер орындалады:
- жүйелік шақырулар үшін ілмектерді тіркейтін ядро модулі жүктелді;
- клиент ядро модулімен тіркеледі;
- Ядро модулі іске қосылған клиент процесін және оның дискідегі орындалатын файлын жасырады.
Клиент пен ядро модулі арасындағы байланыс үшін псевдоқұрылғы, мысалы, /dev/zero пайдаланылады. Ядро модулі құрылғыға жазылған барлық деректерді талдайды, ал кері бағытта жіберу үшін клиентке SIGUSR1 сигналын жібереді, содан кейін ол сол құрылғыдан деректерді оқиды.
Lumberjack-ті анықтау үшін сіз NIDS көмегімен желілік трафикті талдауды пайдалана аласыз (жұқтырылған жүйедегі зиянды желі әрекетін анықтау мүмкін емес, өйткені ядро модулі өзі пайдаланатын желілік розеткаларды, желілік сүзгі ережелерін және өңделмеген ұяшықтармен ұстап қалуы мүмкін пакеттерді жасырады) . Drovorub орнатылған жүйеде ядро модулін файлды жасыру пәрменін жіберу арқылы анықтауға болады:
сенсорлық сынақ файлы
echo “ASDFZXCV:hf:testfile” > /dev/nol
ls
Жасалған «testfile» файлы көрінбейтін болады.
Басқа анықтау әдістері жад пен диск мазмұнын талдауды қамтиды. Инфекцияның алдын алу үшін Linux ядросының 3.7 нұсқасынан бастап қол жетімді ядро мен модульдердің міндетті қолтаңбасын тексеруді пайдалану ұсынылады.
Есепте Drovorub желілік белсенділігін анықтауға арналған Snort ережелері және оның құрамдастарын анықтауға арналған Yara ережелері бар.
Еске салайық, 85-ші GTSSS GRU (26165 әскери бөлімі) топпен байланысты. , көптеген кибершабуылдарға жауапты.
Ақпарат көзі: opennet.ru