ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > Drovorub ಮಾಲ್ವೇರ್ ಸಂಕೀರ್ಣವು Linux OS ಗೆ ಸೋಂಕು ತರುತ್ತದೆ

Drovorub ಮಾಲ್ವೇರ್ ಸಂಕೀರ್ಣವು Linux OS ಗೆ ಸೋಂಕು ತರುತ್ತದೆ

ರಾಷ್ಟ್ರೀಯ ಭದ್ರತಾ ಸಂಸ್ಥೆ ಮತ್ತು US ಫೆಡರಲ್ ಬ್ಯೂರೋ ಆಫ್ ಇನ್ವೆಸ್ಟಿಗೇಶನ್ ವರದಿಯನ್ನು ಪ್ರಕಟಿಸಿದೆ, ಅದರ ಪ್ರಕಾರ ವಿಶೇಷ ಸೇವೆಯ 85 ನೇ ಮುಖ್ಯ ಕೇಂದ್ರ ರಷ್ಯಾದ ಸಶಸ್ತ್ರ ಪಡೆಗಳ ಜನರಲ್ ಸ್ಟಾಫ್ನ ಮುಖ್ಯ ನಿರ್ದೇಶನಾಲಯ (85 GCSS GRU) "ಡ್ರೊವೊರುಬ್" ಎಂಬ ಮಾಲ್ವೇರ್ ಸಂಕೀರ್ಣವನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಡ್ರೊವೊರಬ್ ಒಂದು ಲಿನಕ್ಸ್ ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್ ರೂಪದಲ್ಲಿ ರೂಟ್‌ಕಿಟ್, ಫೈಲ್‌ಗಳನ್ನು ವರ್ಗಾಯಿಸುವ ಮತ್ತು ನೆಟ್‌ವರ್ಕ್ ಪೋರ್ಟ್‌ಗಳನ್ನು ಮರುನಿರ್ದೇಶಿಸುವ ಸಾಧನ ಮತ್ತು ನಿಯಂತ್ರಣ ಸರ್ವರ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ. ಕ್ಲೈಂಟ್ ಭಾಗವು ಫೈಲ್‌ಗಳನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಬಹುದು ಮತ್ತು ಅಪ್‌ಲೋಡ್ ಮಾಡಬಹುದು, ರೂಟ್ ಬಳಕೆದಾರರಂತೆ ಅನಿಯಂತ್ರಿತ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು ಮತ್ತು ನೆಟ್‌ವರ್ಕ್ ಪೋರ್ಟ್‌ಗಳನ್ನು ಇತರ ನೆಟ್‌ವರ್ಕ್ ನೋಡ್‌ಗಳಿಗೆ ಮರುನಿರ್ದೇಶಿಸಬಹುದು.

Drovorub ನಿಯಂತ್ರಣ ಕೇಂದ್ರವು JSON ಸ್ವರೂಪದಲ್ಲಿ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್‌ಗೆ ಮಾರ್ಗವನ್ನು ಆಜ್ಞಾ ಸಾಲಿನ ಆರ್ಗ್ಯುಮೆಂಟ್‌ನಂತೆ ಪಡೆಯುತ್ತದೆ:

{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",

"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",

"priv_key_file" : " ",
"ಪದಗುಚ್ಛ" : " »
}

MySQL DBMS ಅನ್ನು ಬ್ಯಾಕೆಂಡ್ ಆಗಿ ಬಳಸಲಾಗುತ್ತದೆ. ಕ್ಲೈಂಟ್‌ಗಳನ್ನು ಸಂಪರ್ಕಿಸಲು ವೆಬ್‌ಸಾಕೆಟ್ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.

ಕ್ಲೈಂಟ್ ಸರ್ವರ್ URL, ಅದರ RSA ಸಾರ್ವಜನಿಕ ಕೀ, ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್ ಸೇರಿದಂತೆ ಅಂತರ್ನಿರ್ಮಿತ ಸಂರಚನೆಯನ್ನು ಹೊಂದಿದೆ. ರೂಟ್‌ಕಿಟ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ ನಂತರ, ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು JSON ಸ್ವರೂಪದಲ್ಲಿ ಪಠ್ಯ ಫೈಲ್‌ನಂತೆ ಉಳಿಸಲಾಗುತ್ತದೆ, ಇದನ್ನು ಡ್ರೊವೊರುಬಾ ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್‌ನಿಂದ ಸಿಸ್ಟಮ್‌ನಿಂದ ಮರೆಮಾಡಲಾಗಿದೆ:

{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"ಕೀ": "Y2xpZW50a2V5"
}

ಇಲ್ಲಿ "id" ಎಂಬುದು ಸರ್ವರ್‌ನಿಂದ ನೀಡಲಾದ ಅನನ್ಯ ಗುರುತಿಸುವಿಕೆಯಾಗಿದೆ, ಇದರಲ್ಲಿ ಕೊನೆಯ 48 ಬಿಟ್‌ಗಳು ಸರ್ವರ್‌ನ ನೆಟ್‌ವರ್ಕ್ ಇಂಟರ್‌ಫೇಸ್‌ನ MAC ವಿಳಾಸಕ್ಕೆ ಸಂಬಂಧಿಸಿರುತ್ತವೆ. ಡೀಫಾಲ್ಟ್ "ಕೀ" ಪ್ಯಾರಾಮೀಟರ್ ಬೇಸ್64 ಎನ್‌ಕೋಡ್ ಮಾಡಿದ ಸ್ಟ್ರಿಂಗ್ "ಕ್ಲೈಂಟ್‌ಕೀ" ಆಗಿದೆ, ಇದನ್ನು ಆರಂಭಿಕ ಹ್ಯಾಂಡ್‌ಶೇಕ್ ಸಮಯದಲ್ಲಿ ಸರ್ವರ್ ಬಳಸುತ್ತದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಗುಪ್ತ ಫೈಲ್‌ಗಳು, ಮಾಡ್ಯೂಲ್‌ಗಳು ಮತ್ತು ನೆಟ್‌ವರ್ಕ್ ಪೋರ್ಟ್‌ಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರಬಹುದು:

{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"ಕೀ": "Y2xpZW50a2V5",
"ಮಾನಿಟರ್" : {
"ಫೈಲ್" : [
{
"ಸಕ್ರಿಯ" : "ನಿಜ"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"ಮುಖವಾಡ" : "testfile1"
}
],
"ಘಟಕ" : [
{
"ಸಕ್ರಿಯ" : "ನಿಜ"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"ಮಾಸ್ಕ್" : "ಟೆಸ್ಟ್ ಮಾಡ್ಯೂಲ್1"
}
],
"ನೆಟ್" : [
{
"ಸಕ್ರಿಯ" : "ನಿಜ"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"ಪೋರ್ಟ್" : "12345",
"ಪ್ರೋಟೋಕಾಲ್" : "ಟಿಸಿಪಿ"
}
]}
}

ಡ್ರೊವೊರಬ್‌ನ ಮತ್ತೊಂದು ಅಂಶವೆಂದರೆ ಏಜೆಂಟ್; ಅದರ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಸರ್ವರ್‌ಗೆ ಸಂಪರ್ಕಿಸಲು ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿದೆ:

{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}

"clientid" ಮತ್ತು "clientkey_base64" ಕ್ಷೇತ್ರಗಳು ಆರಂಭದಲ್ಲಿ ಕಾಣೆಯಾಗಿವೆ; ಸರ್ವರ್‌ನಲ್ಲಿ ಆರಂಭಿಕ ನೋಂದಣಿಯ ನಂತರ ಅವುಗಳನ್ನು ಸೇರಿಸಲಾಗುತ್ತದೆ.

ಅನುಸ್ಥಾಪನೆಯ ನಂತರ, ಈ ಕೆಳಗಿನ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ನಡೆಸಲಾಗುತ್ತದೆ:

  • ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಲಾಗಿದೆ, ಇದು ಸಿಸ್ಟಮ್ ಕರೆಗಳಿಗೆ ಕೊಕ್ಕೆಗಳನ್ನು ನೋಂದಾಯಿಸುತ್ತದೆ;
  • ಕ್ಲೈಂಟ್ ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್ನೊಂದಿಗೆ ನೋಂದಾಯಿಸುತ್ತದೆ;
  • ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್ ಚಾಲನೆಯಲ್ಲಿರುವ ಕ್ಲೈಂಟ್ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಮತ್ತು ಅದರ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು ಡಿಸ್ಕ್ನಲ್ಲಿ ಮರೆಮಾಡುತ್ತದೆ.

ಒಂದು ಹುಸಿ ಸಾಧನ, ಉದಾಹರಣೆಗೆ /dev/zero, ಕ್ಲೈಂಟ್ ಮತ್ತು ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್ ನಡುವೆ ಸಂವಹನ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ. ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್ ಸಾಧನಕ್ಕೆ ಬರೆಯಲಾದ ಎಲ್ಲಾ ಡೇಟಾವನ್ನು ಪಾರ್ಸ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ವಿರುದ್ಧ ದಿಕ್ಕಿನಲ್ಲಿ ಪ್ರಸರಣಕ್ಕಾಗಿ ಅದು SIGUSR1 ಸಿಗ್ನಲ್ ಅನ್ನು ಕ್ಲೈಂಟ್‌ಗೆ ಕಳುಹಿಸುತ್ತದೆ, ನಂತರ ಅದು ಅದೇ ಸಾಧನದಿಂದ ಡೇಟಾವನ್ನು ಓದುತ್ತದೆ.

ಲುಂಬರ್‌ಜಾಕ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚಲು, ನೀವು NIDS ಅನ್ನು ಬಳಸಿಕೊಂಡು ನೆಟ್‌ವರ್ಕ್ ಟ್ರಾಫಿಕ್ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಬಳಸಬಹುದು (ಸೋಂಕಿತ ವ್ಯವಸ್ಥೆಯಲ್ಲಿನ ದುರುದ್ದೇಶಪೂರಿತ ನೆಟ್‌ವರ್ಕ್ ಚಟುವಟಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲಾಗುವುದಿಲ್ಲ, ಏಕೆಂದರೆ ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್ ಅದು ಬಳಸುವ ನೆಟ್‌ವರ್ಕ್ ಸಾಕೆಟ್‌ಗಳನ್ನು ಮರೆಮಾಡುತ್ತದೆ, ನೆಟ್‌ಫಿಲ್ಟರ್ ನಿಯಮಗಳು ಮತ್ತು ಕಚ್ಚಾ ಸಾಕೆಟ್‌ಗಳಿಂದ ತಡೆಯಬಹುದಾದ ಪ್ಯಾಕೆಟ್‌ಗಳು) . ಡ್ರೊವೊರುಬ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ, ಫೈಲ್ ಅನ್ನು ಮರೆಮಾಡಲು ಆಜ್ಞೆಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ನೀವು ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯಬಹುದು:

ಸ್ಪರ್ಶ ಪರೀಕ್ಷಾ ಫೈಲ್
ಪ್ರತಿಧ್ವನಿ “ASDFZXCV:hf:testfile”> /dev/zero
ls

ರಚಿಸಿದ "ಟೆಸ್ಟ್‌ಫೈಲ್" ಫೈಲ್ ಅದೃಶ್ಯವಾಗುತ್ತದೆ.

ಇತರ ಪತ್ತೆ ವಿಧಾನಗಳಲ್ಲಿ ಮೆಮೊರಿ ಮತ್ತು ಡಿಸ್ಕ್ ವಿಷಯ ವಿಶ್ಲೇಷಣೆ ಸೇರಿವೆ. ಸೋಂಕನ್ನು ತಡೆಗಟ್ಟಲು, Linux ಕರ್ನಲ್ ಆವೃತ್ತಿ 3.7 ರಿಂದ ಪ್ರಾರಂಭವಾಗುವ ಕರ್ನಲ್ ಮತ್ತು ಮಾಡ್ಯೂಲ್‌ಗಳ ಕಡ್ಡಾಯ ಸಹಿ ಪರಿಶೀಲನೆಯನ್ನು ಬಳಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.

ವರದಿಯು ಡ್ರೊವೊರುಬ್‌ನ ನೆಟ್‌ವರ್ಕ್ ಚಟುವಟಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಸ್ನೋರ್ಟ್ ನಿಯಮಗಳನ್ನು ಒಳಗೊಂಡಿದೆ ಮತ್ತು ಅದರ ಘಟಕಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಯಾರಾ ನಿಯಮಗಳು.

85 ನೇ GTSSS GRU (ಮಿಲಿಟರಿ ಘಟಕ 26165) ಗುಂಪಿನೊಂದಿಗೆ ಸಂಬಂಧ ಹೊಂದಿದೆ ಎಂಬುದನ್ನು ನಾವು ನೆನಪಿಸಿಕೊಳ್ಳೋಣ APT28 (ಅಲಂಕಾರಿಕ ಕರಡಿ), ಹಲವಾರು ಸೈಬರ್ ದಾಳಿಗಳಿಗೆ ಕಾರಣವಾಗಿದೆ.

ಮೂಲ: opennet.ru