De securitatibus patriis Agency et Foederatum US hendrerit investigationis iuxta quod 85th principale centrum speciale servitii (85 GCSS GRU) complexus malware appellatur, quod "Drovorub" dicitur. Drovorub includat rootkit in forma moduli nuclei Linux, instrumentum ad transferendas tabulas et redirectiones retis portubus, et in servo potestate. Pars clientis potest excipere et fasciculos onerare, arbitraria mandata ut radicem usoris facere, et portus retiarii ad alios nodos retis redirigere.
Drovorub imperium centrum iter accipit ad limam configurationis in forma JSON sicut argumentum lineae mandatum:
{
"db_hospes" : "",
"db_port" : "",
"db_db" : "",
"db_user" : "",
"db_password" : "",
"lport" : "",
"lhost" : "",
"ping_sec" : "",
"priv_key_file" : "",
"verbum" : " "
}
MySQL DBMS pro backend adhibetur. Protocollum WebSocket ad clientes coniungere adhibetur.
Cliens in configuratione aedificavit, incluso domicilio servo, suum RSA clavem publicam, username et password. Inauguratis radicibus, conformatio servatur ut fasciculi textus in forma JSON, quae occultatur e systemate nuclei Drovoruba in nucleo:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"clavem": "Y2xpZW50a2V5"
}
Hic "id" est unicum identifier a servo editum, in quo ultimae 48 frenae respondent MAC inscriptione retiacula servientis. Defalta "clavis" parameter est base64 chorda "clientis" quae a servo in initiali handshake adhibetur. Praeterea, fasciculus configurationis informationes de scriniis occultis, modulis et portubus retis continere potest;
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"clavem": "Y2xpZW50a2V5",
"monitor" : {
" file " : [
{
"activum" : "verum"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"persona" : "testfile1"
}
],
"module" : [
{
"activum" : "verum"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"persona" : "testmodule1"
}
],
"rete" : [
{
"activum" : "verum"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"portus" : "12345"
"protocol" : "tcp"
}
] }
}
Alia pars Drovorub est agens; eius configurationem fasciculus informationem continet pro connectendo cum servo:
{
"client_login" : "usor123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" : "public_key",
"servus exercitus" : "192.168.57.100",
"servitorium portarum" :"45122″,
"serv_uri" :"/ws"
}
Agri "clientid" et "clientkey_base64" initio desunt, additae sunt post adnotationem initialem in calculonis servi.
Post institutionem, hae operationes peraguntur;
- nucleus moduli oneratur, quem tabulae aeneae ad systema vocat;
- cliens registra cum nucleo moduli;
- Modulus nucleus celat processum clientem currentem et eius fasciculum exsecutabile in disco.
Pseudo-fabrica, exempli gratia /dev/nullus, communicare adhibetur inter clientem et nucleum moduli. Pars moduli nuclei parses omnes notae ad fabricam scriptae sunt, et in contrariam partem tradendi signum SIGUSR1 clienti emittit, postquam data ex eadem arte legit.
Ad deprehendere Lumberjack, analysin negotiationis retis uti potes NIDS (actio retis malitiosa in ipsa systemate infecta deprehendi non potest, quia moduli nuclei retis bases occultant quibus utitur, retis regulas et fasciculos quae a fundas rudibus intercipi possunt) . In systemate ubi Drovorub inauguratus est, moduli nuclei deprehendere potes, mittendo mandatum ut tabellam celet:
tactus test file
resonare "ASDFZXCV:hf:testfile" > /dev/nero
ls
Fasciculus creatus "testfile" invisibilis fit.
Aliae rationes deprehendendi memoriam includunt ac analysin orbis content. Ad infectio praecavendam, commendatur ut verificationis nuclei et moduli subscriptionis faciendae utatur, praesto incipiens a versione kernel Linux 3.7.
Renuntiatio praecepta Snort continet ad detectionem retis activitatem Drovorub et Yara regulas ad detectionem partium eius.
Recordemur 85th GTSSS GRU (unitatis militaris 26165) consociari cum coetu , ad numerosas cyber- nes impetus.
Source: opennet.ru