Үндэсний аюулгүй байдлын агентлаг, АНУ-ын Холбооны мөрдөх товчоо , үүний дагуу тусгай албаны 85 дахь үндсэн төв (85 GCSS GRU) "Drovorub" хэмээх хортой програмын цогцолборыг ашигладаг. Drovorub нь Linux цөмийн модуль хэлбэрийн rootkit, файл дамжуулах, сүлжээний портуудыг дахин чиглүүлэх хэрэгсэл, хяналтын серверийг агуулдаг. Үйлчлүүлэгч хэсэг нь файлуудыг татаж авах, байршуулах, үндсэн хэрэглэгчийн хувьд дурын тушаалуудыг гүйцэтгэх, сүлжээний портуудыг бусад сүлжээний зангилаа руу чиглүүлэх боломжтой.
Drovorub хяналтын төв нь JSON форматаар тохиргооны файл руу орох замыг тушаалын мөрийн аргумент болгон хүлээн авдаг.
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"хэлбэр": " »
}
MySQL DBMS-ийг backend болгон ашигладаг. WebSocket протоколыг үйлчлүүлэгчдийг холбоход ашигладаг.
Үйлчлүүлэгч нь серверийн URL, түүний RSA нийтийн түлхүүр, хэрэглэгчийн нэр, нууц үг зэрэг суурилагдсан тохиргоотой. Rootkit-ийг суулгасны дараа тохиргоог Drovoruba цөмийн модулиар системээс нуусан JSON форматаар текст файл хэлбэрээр хадгалагдана.
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"түлхүүр": "Y2xpZW50a2V5"
}
Энд "id" нь серверээс гаргасан өвөрмөц танигч бөгөөд сүүлийн 48 бит нь серверийн сүлжээний интерфейсийн MAC хаягтай тохирч байна. Анхдагч "түлхүүр" параметр нь эхний гар барих үед сервер ашигладаг base64 кодлогдсон "clientkey" мөр юм. Нэмж дурдахад, тохиргооны файл нь далд файлууд, модулиуд болон сүлжээний портуудын талаарх мэдээллийг агуулж болно.
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"түлхүүр": "Y2xpZW50a2V5",
"монитор": {
"файл": [
{
"идэвхтэй": "үнэн"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"маск": "testfile1"
}
],
"модуль" : [
{
"идэвхтэй": "үнэн"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"маск": "testmodule1"
}
],
"цэвэр" : [
{
"идэвхтэй": "үнэн"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"порт": "12345",
"протокол": "tcp"
}
] }
}
Drovorub-ийн өөр нэг бүрэлдэхүүн хэсэг нь агент бөгөөд түүний тохиргооны файл нь серверт холбогдох мэдээллийг агуулдаг.
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"нийтийн_түлхүүр",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
"clientid" болон "clientkey_base64" талбарууд эхэндээ байхгүй байгаа бөгөөд тэдгээрийг сервер дээр анх бүртгүүлсний дараа нэмнэ.
Суулгасны дараа дараахь үйлдлүүдийг гүйцэтгэнэ.
- системийн дуудлагын дэгээг бүртгэдэг цөмийн модуль ачаалагдсан;
- үйлчлүүлэгч цөмийн модульд бүртгүүлдэг;
- Цөмийн модуль нь ажиллаж байгаа клиент процесс болон түүний дискэн дээрх гүйцэтгэх файлыг нуудаг.
Псевдо-төхөөрөмжийг жишээ нь /dev/zero нь үйлчлүүлэгч болон цөмийн модулийн хооронд харилцахад ашиглагддаг. Цөмийн модуль нь төхөөрөмжид бичсэн бүх өгөгдлийг задлан шинжилж, эсрэг чиглэлд дамжуулахын тулд үйлчлүүлэгч рүү SIGUSR1 дохиог илгээж, дараа нь нэг төхөөрөмжөөс өгөгдлийг уншдаг.
Lumberjack-ийг илрүүлэхийн тулд та NIDS ашиглан сүлжээний траффикийн шинжилгээг ашиглаж болно (цөмийн модуль нь ашигладаг сүлжээний залгуурууд, сүлжээний шүүлтүүрийн дүрмүүд болон түүхий залгууруудаар таслагдах боломжтой пакетуудыг нуудаг тул халдвар авсан систем дэх хортой сүлжээний үйл ажиллагааг өөрөө илрүүлэх боломжгүй) . Drovorub суулгасан систем дээр та цөмийн модулийг файлыг нуух командыг илгээж илрүүлж болно.
мэдрэгчтэй туршилтын файл
echo "ASDFZXCV:hf:testfile" > /dev/zero
ls
Үүсгэсэн "testfile" файл нь үл үзэгдэх болно.
Бусад илрүүлэх аргууд нь санах ой болон дискний агуулгын дүн шинжилгээг агуулдаг. Халдвараас урьдчилан сэргийлэхийн тулд Linux цөмийн 3.7 хувилбараас эхлэн ашиглах боломжтой цөм болон модулиудын гарын үсгийн баталгаажуулалтыг ашиглахыг зөвлөж байна.
Уг тайланд Drovorub-ийн сүлжээний үйл ажиллагааг илрүүлэх Snort дүрмүүд, түүний бүрэлдэхүүн хэсгүүдийг илрүүлэх Яра дүрмүүд багтсан болно.
85-р GTSSS GRU (цэргийн анги 26165) бүлэгтэй холбоотой гэдгийг сануулъя. , олон тооны кибер халдлагыг хариуцдаг.
Эх сурвалж: opennet.ru