ສະລັບສັບຊ້ອນ malware Drovorub ຕິດເຊື້ອ Linux OS

ອົງການ​ຄວາມ​ໝັ້ນຄົງ​ແຫ່ງ​ຊາດ ​ແລະ​ອົງການ​ສືບ​ສວນ​ລັດຖະບານ​ກາງ​ສະຫະລັດ ເຜີຍແຜ່ບົດລາຍງານ, ອີງຕາມການທີ່ 85 ສູນກາງຕົ້ນຕໍການບໍລິການພິເສດ ຫົວໜ້າກົມໃຫຍ່ເສນາທິການກອງທັບລັດເຊຍ (85 GCSS GRU) ສະລັບສັບຊ້ອນ malware ທີ່ເອີ້ນວ່າ "Drovorub" ຖືກໃຊ້. Drovorub ປະກອບມີ rootkit ໃນຮູບແບບຂອງໂມດູນ Linux kernel, ເຄື່ອງມືສໍາລັບການໂອນໄຟລ໌ແລະການປ່ຽນເສັ້ນທາງເຄືອຂ່າຍ, ແລະເຄື່ອງແມ່ຂ່າຍຄວບຄຸມ. ພາກສ່ວນລູກຄ້າສາມາດດາວໂຫລດແລະອັບໂຫລດໄຟລ໌, ປະຕິບັດຄໍາສັ່ງ arbitrary ເປັນຜູ້ໃຊ້ຮາກ, ແລະ redirect ports ເຄືອຂ່າຍກັບ nodes ເຄືອຂ່າຍອື່ນໆ.

ສູນຄວບຄຸມ Drovorub ໄດ້ຮັບເສັ້ນທາງໄປຫາໄຟລ໌ການຕັ້ງຄ່າໃນຮູບແບບ JSON ເປັນການໂຕ້ຖຽງເສັ້ນຄໍາສັ່ງ:

{
"db_host" : "",
"db_port" : "",
"db_db" : "",
"db_user" : "",
"db_password" : "",

"lport" : "",
"lhost" : "",
"ping_sec" : "",

"priv_key_file" : "",
"ປະໂຫຍກ" : ""
}

MySQL DBMS ຖືກໃຊ້ເປັນ backend. ໂປຣໂຕຄໍ WebSocket ຖືກນໍາໃຊ້ເພື່ອເຊື່ອມຕໍ່ລູກຄ້າ.

ລູກຄ້າມີການຕັ້ງຄ່າໃນຕົວ, ລວມທັງ URL ຂອງເຄື່ອງແມ່ຂ່າຍ, ລະຫັດສາທາລະນະ RSA, ຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານຂອງມັນ. ຫຼັງ​ຈາກ​ການ​ຕິດ​ຕັ້ງ rootkit, ການ​ຕັ້ງ​ຄ່າ​ໄດ້​ຖືກ​ບັນ​ທຶກ​ໄວ້​ເປັນ​ໄຟລ​໌​ຂໍ້​ຄວາມ​ໃນ​ຮູບ​ແບບ JSON, ທີ່​ຖືກ​ເຊື່ອງ​ໄວ້​ຈາກ​ລະ​ບົບ​ໂດຍ​ໂມ​ດູນ​ແກ່ນ Drovoruba:

{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"key": "Y2xpZW50a2V5"
}

ທີ່ນີ້ "id" ແມ່ນຕົວລະບຸທີ່ເປັນເອກະລັກທີ່ອອກໂດຍເຄື່ອງແມ່ຂ່າຍ, ເຊິ່ງ 48 bits ສຸດທ້າຍແມ່ນກົງກັບທີ່ຢູ່ MAC ຂອງການໂຕ້ຕອບເຄືອຂ່າຍຂອງເຄື່ອງແມ່ຂ່າຍ. ພາລາມິເຕີ "key" ເລີ່ມຕົ້ນແມ່ນສາຍເຂົ້າລະຫັດ base64 "clientkey" ທີ່ໃຊ້ໂດຍເຄື່ອງແມ່ຂ່າຍໃນລະຫວ່າງການຈັບມືໃນເບື້ອງຕົ້ນ. ນອກຈາກນັ້ນ, ໄຟລ໌ການຕັ້ງຄ່າອາດມີຂໍ້ມູນກ່ຽວກັບໄຟລ໌ທີ່ເຊື່ອງໄວ້, ໂມດູນ ແລະພອດເຄືອຂ່າຍ:

{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
"ຕິດຕາມກວດກາ": {
"ໄຟລ໌": [
{
"active": "ຈິງ"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"ຫນ້າກາກ": "testfile1"
}
],
"ໂມດູນ": [
{
"active": "ຈິງ"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"ຫນ້າກາກ": "testmodule1"
}
],
"ສຸດທິ" : [
{
"active": "ຈິງ"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"ພອດ": "12345",
"ໂປໂຕຄອນ": "tcp"
}
] }
}

ອົງປະກອບອື່ນຂອງ Drovorub ແມ່ນຕົວແທນ; ໄຟລ໌ການຕັ້ງຄ່າຂອງມັນປະກອບດ້ວຍຂໍ້ມູນສໍາລັບການເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍ:

{
"client_login" : "user123",
"client_pass" : "pass4567",
"ລູກຄ້າ" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" : "45122",
"server_uri" :"/ws"
}

ຊ່ອງຂໍ້ມູນ "clientid" ແລະ "clientkey_base64" ໃນເບື້ອງຕົ້ນແມ່ນຂາດຫາຍໄປ; ພວກມັນຈະຖືກເພີ່ມຫຼັງຈາກການລົງທະບຽນເບື້ອງຕົ້ນໃນເຊີບເວີ.

ຫຼັງຈາກການຕິດຕັ້ງ, ການດໍາເນີນງານຕໍ່ໄປນີ້ແມ່ນປະຕິບັດ:

• ໂມດູນ kernel ຖືກໂຫລດ, ເຊິ່ງລົງທະບຽນ hooks ສໍາລັບການໂທລະບົບ;
• ລູກຄ້າລົງທະບຽນດ້ວຍໂມດູນແກ່ນ;
• ໂມດູນ kernel ເຊື່ອງຂະບວນການລູກຄ້າທີ່ກໍາລັງແລ່ນແລະໄຟລ໌ທີ່ສາມາດປະຕິບັດໄດ້ຂອງມັນຢູ່ໃນແຜ່ນ.

ອຸປະກອນ pseudo, ເຊັ່ນ /dev/zero, ຖືກນໍາໃຊ້ເພື່ອຕິດຕໍ່ສື່ສານລະຫວ່າງລູກຄ້າແລະໂມດູນ kernel. ໂມດູນ kernel parses ຂໍ້ມູນທັງຫມົດທີ່ຂຽນໃສ່ອຸປະກອນ, ແລະສໍາລັບການສົ່ງຕໍ່ໃນທິດທາງກົງກັນຂ້າມມັນຈະສົ່ງສັນຍານ SIGUSR1 ກັບລູກຄ້າ, ຫຼັງຈາກນັ້ນມັນອ່ານຂໍ້ມູນຈາກອຸປະກອນດຽວກັນ.

ເພື່ອກວດຫາ Lumberjack, ທ່ານສາມາດນໍາໃຊ້ການວິເຄາະການຈາລະຈອນເຄືອຂ່າຍໂດຍໃຊ້ NIDS (ກິດຈະກໍາເຄືອຂ່າຍເປັນອັນຕະລາຍໃນລະບົບທີ່ຕິດເຊື້ອຕົວມັນເອງບໍ່ສາມາດກວດພົບໄດ້, ເພາະວ່າໂມດູນ kernel ເຊື່ອງຊັອກເກັດເຄືອຂ່າຍທີ່ມັນໃຊ້, ກົດລະບຽບ netfilter, ແລະແພັກເກັດທີ່ສາມາດຖືກສະກັດໂດຍຊັອກເກັດດິບ) . ໃນລະບົບທີ່ Drovorub ຖືກຕິດຕັ້ງ, ທ່ານສາມາດກວດພົບໂມດູນ kernel ໄດ້ໂດຍການສົ່ງມັນຄໍາສັ່ງເພື່ອເຊື່ອງໄຟລ໌:

ແຕະໄຟລ໌ທົດສອບ
echo “ASDFZXCV:hf:testfile” > /dev/zero
ls

ໄຟລ໌ "testfile" ທີ່ສ້າງຂຶ້ນຈະເບິ່ງບໍ່ເຫັນ.

ວິທີການກວດພົບອື່ນ ໆ ປະກອບມີການວິເຄາະເນື້ອໃນຂອງຫນ່ວຍຄວາມຈໍາແລະແຜ່ນ. ເພື່ອປ້ອງກັນການຕິດເຊື້ອ, ແນະນຳໃຫ້ໃຊ້ການຢືນຢັນລາຍເຊັນທີ່ຈຳເປັນຂອງ kernel ແລະ modules, ມີໃຫ້ເລີ່ມຈາກ Linux kernel version 3.7.

ບົດລາຍງານມີກົດລະບຽບ Snort ສໍາລັບການກວດສອບກິດຈະກໍາເຄືອຂ່າຍຂອງ Drovorub ແລະກົດລະບຽບ Yara ສໍາລັບການກວດສອບອົງປະກອບຂອງມັນ.

ໃຫ້ພວກເຮົາຈື່ວ່າ GTSSS GRU 85th (ຫນ່ວຍງານທະຫານ 26165) ແມ່ນກ່ຽວຂ້ອງກັບກຸ່ມ. APT28 (ຫມີແຟນຊີ), ຮັບຜິດຊອບສໍາລັບການໂຈມຕີ cyber ຈໍານວນຫລາຍ.

ແຫຼ່ງຂໍ້ມູນ: opennet.ru