Aġenzija tas-Sigurtà Nazzjonali u US Federal Bureau of Investigation , skond liema ċentru prinċipali 85 ta 'servizz speċjali (85 GCSS GRU) jintuża kumpless ta' malware imsejjaħ "Drovorub". Drovorub jinkludi rootkit fil-forma ta 'modulu tal-kernel Linux, għodda għat-trasferiment ta' fajls u direzzjoni mill-ġdid tal-portijiet tan-netwerk, u server ta 'kontroll. Il-parti tal-klijent tista 'tniżżel u ttella' fajls, tesegwixxi kmandi arbitrarji bħala l-utent għerq, u tidderieġi mill-ġdid il-portijiet tan-netwerk għal nodi oħra tan-netwerk.
Iċ-ċentru tal-kontroll Drovoub jirċievi t-triq għall-fajl tal-konfigurazzjoni fil-format JSON bħala argument tal-linja tal-kmand:
{
"db_host" : "",
"db_port" : "",
"db_db" : "",
"db_user" : "",
"db_password" : "",
"lport" : "",
"lhost" : "",
"ping_sec" : "",
"priv_key_file" : "",
"frażi" : ""
}
MySQL DBMS jintuża bħala backend. Il-protokoll WebSocket jintuża biex jgħaqqad il-klijenti.
Il-klijent għandu konfigurazzjoni mibnija, inkluż l-URL tas-server, iċ-ċavetta pubblika RSA tiegħu, l-isem tal-utent u l-password. Wara l-installazzjoni tar-rootkit, il-konfigurazzjoni tiġi ffrankata bħala fajl ta 'test fil-format JSON, li huwa moħbi mis-sistema mill-modulu tal-kernel Drovoruba:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"ċavetta": "Y2xpZW50a2V5"
}
Hawnhekk "id" huwa identifikatur uniku maħruġ mis-server, li fih l-aħħar 48 bit jikkorrispondu għall-indirizz MAC tal-interface tan-netwerk tas-server. Il-parametru default "ċavetta" huwa string kodifikata base64 "clientkey" li tintuża mis-server waqt il-handshake inizjali. Barra minn hekk, il-fajl tal-konfigurazzjoni jista’ jkun fih informazzjoni dwar fajls moħbija, moduli u portijiet tan-netwerk:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
"monitor" : {
"fajl" : [
{
"active" : "veru"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
"modulu" : [
{
"active" : "veru"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask" : "testmodule1"
}
],
"net" : [
{
"active" : "veru"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"protokoll" : "tcp"
}
]}
}
Komponent ieħor ta 'Drovorub huwa l-aġent; il-fajl tal-konfigurazzjoni tiegħu fih informazzjoni għall-konnessjoni mas-server:
{
"client_login" : "utent123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
L-oqsma "clientid" u "clientkey_base64" huma inizjalment neqsin; huma miżjuda wara r-reġistrazzjoni inizjali fuq is-server.
Wara l-installazzjoni, jitwettqu l-operazzjonijiet li ġejjin:
- il-modulu tal-kernel huwa mgħobbi, li jirreġistra ganċijiet għas-sejħiet tas-sistema;
- il-klijent jirreġistra b'modulu tal-kernel;
- Il-modulu tal-qalba jaħbi l-proċess tal-klijent li qed jaħdem u l-fajl eżekutibbli tiegħu fuq id-diska.
Psewdo-apparat, pereżempju /dev/zero, jintuża biex jikkomunika bejn il-klijent u l-modulu tal-kernel. Il-modulu tal-kernel janalizza d-dejta kollha miktuba fuq l-apparat, u għat-trażmissjoni fid-direzzjoni opposta jibgħat is-sinjal SIGUSR1 lill-klijent, u wara jaqra d-dejta mill-istess apparat.
Biex tiskopri l-Lumberjack, tista 'tuża analiżi tat-traffiku tan-netwerk bl-użu ta' NIDS (attività tan-netwerk malizzjuża fis-sistema infettata nnifisha ma tistax tiġi skoperta, peress li l-modulu tal-qalba jaħbi s-sokits tan-netwerk li juża, regoli netfilter, u pakketti li jistgħu jiġu interċettati minn sockets mhux maħduma) . Fuq is-sistema fejn huwa installat Drovorub, tista' tiskopri l-modulu tal-kernel billi tibgħatlu l-kmand biex taħbi l-fajl:
touch fajl tat-test
eku “ASDFZXCV:hf:testfile” > /dev/zero
ls
Il-fajl "testfile" maħluq isir inviżibbli.
Metodi oħra ta' skoperta jinkludu l-analiżi tal-kontenut tal-memorja u tad-disk. Biex tiġi evitata l-infezzjoni, huwa rakkomandat li tuża verifika obbligatorja tal-firma tal-qalba u l-moduli, disponibbli mill-verżjoni tal-kernel Linux 3.7.
Ir-rapport fih regoli Snort għall-iskoperta tal-attività tan-netwerk tar-regoli ta 'Drovorub u Yara għall-iskoperta tal-komponenti tagħha.
Ejja nfakkru li l-85 GTSSS GRU (unità militari 26165) hija assoċjata mal-grupp , responsabbli għal bosta attakki ċibernetiċi.
Sors: opennet.ru