National Security Agency og US Federal Bureau of Investigation , ifølge hvilken det 85. hovedsenteret for spesiell tjeneste (85 GCSS GRU) brukes et skadevarekompleks kalt "Drovorub". Drovorub inkluderer et rootkit i form av en Linux-kjernemodul, et verktøy for å overføre filer og omdirigere nettverksporter, og en kontrollserver. Klientdelen kan laste ned og laste opp filer, utføre vilkårlige kommandoer som rotbruker og omdirigere nettverksporter til andre nettverksnoder.
Drovorub-kontrollsenteret mottar banen til konfigurasjonsfilen i JSON-format som et kommandolinjeargument:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"frase" : " »
}
MySQL DBMS brukes som en backend. WebSocket-protokollen brukes til å koble til klienter.
Klienten har innebygd konfigurasjon, inkludert server-URL, dens offentlige RSA-nøkkel, brukernavn og passord. Etter installering av rootkit, lagres konfigurasjonen som en tekstfil i JSON-format, som er skjult fra systemet av Drovoruba-kjernemodulen:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"key": "Y2xpZW50a2V5"
}
Her er "id" en unik identifikator utstedt av serveren, der de siste 48 bitene tilsvarer MAC-adressen til serverens nettverksgrensesnitt. Standard "nøkkel"-parameter er en base64-kodet streng "klientnøkkel" som brukes av serveren under det første håndtrykket. I tillegg kan konfigurasjonsfilen inneholde informasjon om skjulte filer, moduler og nettverksporter:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
"Observere" : {
"fil" : [
{
"active" : "true"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfil1"
}
],
"modul" : [
{
"active" : "true"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"maske" : "testmodul1"
}
],
"nett" : [
{
"active" : "true"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"protocol" : "tcp"
}
]}
}
En annen komponent i Drovorub er agenten; dens konfigurasjonsfil inneholder informasjon for tilkobling til serveren:
{
"client_login" : "bruker123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"offentlig_nøkkel",
"server_host" : "192.168.57.100",
"server_port" :"45122",
"server_uri" :"/ws"
}
Feltene "clientid" og "clientkey_base64" mangler i utgangspunktet; de legges til etter den første registreringen på serveren.
Etter installasjonen utføres følgende operasjoner:
- kjernemodulen er lastet, som registrerer kroker for systemanrop;
- klienten registrerer seg med kjernemodulen;
- Kjernemodulen skjuler den kjørende klientprosessen og dens kjørbare fil på disken.
En pseudo-enhet, for eksempel /dev/zero, brukes til å kommunisere mellom klienten og kjernemodulen. Kjernemodulen analyserer alle data som er skrevet til enheten, og for overføring i motsatt retning sender den SIGUSR1-signalet til klienten, hvoretter den leser data fra samme enhet.
For å oppdage tømmerhuggeren kan du bruke nettverkstrafikkanalyse ved hjelp av NIDS (ondsinnet nettverksaktivitet i selve det infiserte systemet kan ikke oppdages, siden kjernemodulen skjuler nettverkskontaktene den bruker, nettfilterregler og pakker som kan bli fanget opp av råsockets) . På systemet der Drovorub er installert, kan du oppdage kjernemodulen ved å sende den kommandoen for å skjule filen:
berør testfil
echo “ASDFZXCV:hf:testfile” > /dev/null
ls
Den opprettede "testfilen"-filen blir usynlig.
Andre deteksjonsmetoder inkluderer minne- og diskinnholdsanalyse. For å forhindre infeksjon, anbefales det å bruke obligatorisk signaturverifisering av kjernen og modulene, tilgjengelig fra Linux-kjernen versjon 3.7.
Rapporten inneholder Snort-regler for å oppdage nettverksaktiviteten til Drovorub og Yara-regler for å oppdage komponentene.
La oss huske at den 85. GTSSS GRU (militær enhet 26165) er assosiert med gruppen , ansvarlig for en rekke cyberangrep.
Kilde: opennet.ru