Nacionālās drošības aģentūra un ASV Federālais izmeklēšanas birojs , saskaņā ar kuru 85. galvenais speciālā dienesta centrs (85 GCSS GRU) tiek izmantots ļaunprātīgas programmatūras komplekss ar nosaukumu “Drovorub”. Drovorub ietver rootkit Linux kodola moduļa veidā, rīku failu pārsūtīšanai un tīkla portu novirzīšanai, kā arī vadības serveri. Klienta daļa var lejupielādēt un augšupielādēt failus, izpildīt patvaļīgas komandas kā saknes lietotājs un novirzīt tīkla portus uz citiem tīkla mezgliem.
Drovorub vadības centrs saņem ceļu uz konfigurācijas failu JSON formātā kā komandrindas argumentu:
{
"db_host": " ",
"db_ports": " ",
"db_db" : " ",
"db_user": " ",
"db_password" : " ",
"lport": " ",
"lhost": " ",
"ping_sec" : " ",
"priv_key_file": " ",
"frāze": " »
}
MySQL DBVS tiek izmantota kā aizmugursistēma. Klientu savienošanai tiek izmantots WebSocket protokols.
Klientam ir iebūvēta konfigurācija, tostarp servera URL, tā RSA publiskā atslēga, lietotājvārds un parole. Pēc rootkit instalēšanas konfigurācija tiek saglabāta kā teksta fails JSON formātā, kuru no sistēmas paslēpj Drovoruba kodola modulis:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"atslēga": "Y2xpZW50a2V5"
}
Šeit "id" ir unikāls servera izdots identifikators, kurā pēdējie 48 biti atbilst servera tīkla interfeisa MAC adresei. Noklusējuma atslēgas parametrs ir base64 kodēta virkne "clientkey", ko serveris izmanto sākotnējās rokasspiediena laikā. Turklāt konfigurācijas failā var būt informācija par slēptajiem failiem, moduļiem un tīkla portiem:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"atslēga": "Y2xpZW50a2V5",
"monitors": {
"fails" : [
{
"aktīvs": "patiess"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"maska": "testfile1"
}
],
"modulis" : [
{
"aktīvs": "patiess"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"maska": "testmodule1"
}
],
"tīkls" : [
{
"aktīvs": "patiess"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"osta": "12345",
"protokols": "tcp"
}
] }
}
Vēl viena Drovorub sastāvdaļa ir aģents; tā konfigurācijas failā ir informācija, lai izveidotu savienojumu ar serveri:
{
"client_login" : "user123",
"client_pass": "pass4567",
"clientid": "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host": "192.168.57.100",
"server_port":"45122",
"server_uri" :"/ws"
}
Lauki “clientid” un “clientkey_base64” sākotnēji trūkst; tie tiek pievienoti pēc sākotnējās reģistrācijas serverī.
Pēc uzstādīšanas tiek veiktas šādas darbības:
- tiek ielādēts kodola modulis, kas reģistrē āķus sistēmas izsaukumiem;
- klients reģistrējas kodola modulī;
- Kodola modulis diskā slēpj darbojošos klienta procesu un tā izpildāmo failu.
Lai sazinātos starp klientu un kodola moduli, tiek izmantota pseidoierīce, piemēram, /dev/zero. Kodola modulis parsē visus ierīcē ierakstītos datus un pārraidīšanai pretējā virzienā nosūta klientam signālu SIGUSR1, pēc tam nolasa datus no tās pašas ierīces.
Lai noteiktu mežstrādnieku, varat izmantot tīkla trafika analīzi, izmantojot NIDS (ļaunprātīgu tīkla darbību pašā inficētajā sistēmā nevar noteikt, jo kodola modulis slēpj izmantotās tīkla ligzdas, tīkla filtra noteikumus un paketes, kuras varētu pārtvert neapstrādātās ligzdas) . Sistēmā, kurā ir instalēts Drovorub, varat noteikt kodola moduli, nosūtot tam komandu, lai paslēptu failu:
pieskarieties testa failam
echo “ASDFZXCV:hf:testfile” > /dev/zero
ls
Izveidotais “testfile” fails kļūst neredzams.
Citas noteikšanas metodes ietver atmiņas un diska satura analīzi. Lai novērstu inficēšanos, ieteicams izmantot obligātu kodola un moduļu paraksta pārbaudi, kas pieejama, sākot no Linux kodola versijas 3.7.
Pārskatā ir ietverti Snort kārtulas Drovorub tīkla darbības noteikšanai un Yara kārtulas tā komponentu noteikšanai.
Atgādināsim, ka 85. GTSSS GRU (militārā vienība 26165) ir saistīta ar grupu , kas ir atbildīgs par daudziem kiberuzbrukumiem.
Avots: opennet.ru