د ملي امنیت اداره او د متحده ایالاتو د تحقیقاتو فدرالي اداره د کوم له مخې چې د ځانګړي خدماتو 85th اصلي مرکز دی (85 GCSS GRU) د مالویر کمپلیکس چې "ډرووروب" نومیږي کارول کیږي. ډرووروب کې د لینکس کرنل ماډل په بڼه روټ کټ شامل دی، د فایلونو لیږدولو او د شبکې بندرونو ته لیږدولو لپاره وسیله، او د کنټرول سرور. د پیرودونکي برخه کولی شي فایلونه ډاونلوډ او اپلوډ کړي ، د روټ کارونکي په توګه خپل سري حکمونه اجرا کړي ، او د شبکې بندرونه نورو شبکې نوډونو ته لارښود کړي.
د ډرووروب کنټرول مرکز د JSON ب formatه کې د کمانډ لاین دلیل په توګه د ترتیب کولو فایل ته لاره ترلاسه کوي:
{
"db_host" : " "،
"db_port" : " "،
"db_db" : " "،
"db_user" : " "،
"db_password" : " "،
"lport" : " "،
"lhost" : " "،
"ping_sec" : " "،
"priv_key_file" : " "،
"جمله" : " »
}
MySQL DBMS د شالید په توګه کارول کیږي. د ویب ساکټ پروتوکول د پیرودونکو سره وصل کولو لپاره کارول کیږي.
پیرودونکي د سرور یو آر ایل، د هغې RSA عامه کیلي، کارن نوم او پټنوم په شمول جوړ شوی ترتیب لري. د روټکیټ نصبولو وروسته، ترتیب د JSON بڼه کې د متن فایل په توګه خوندي شوی، کوم چې د ډرووروبا کرنل ماډل لخوا د سیسټم څخه پټ شوی دی:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"key": "Y2xpZW50a2V5"
}
دلته "id" یو ځانګړی پیژندونکی دی چې د سرور لخوا خپور شوی ، په کوم کې چې وروستي 48 بټونه د سرور شبکې انٹرفیس MAC پته سره مطابقت لري. د ډیفالټ "کیلي" پیرامیټر د بیس 64 کوډ شوی سټینګ "کلینټ کی" دی چې د سرور لخوا د لومړني لاسوهنې پرمهال کارول کیږي. سربیره پردې ، د ترتیب کولو فایل ممکن د پټو فایلونو ، ماډلونو او شبکې بندرونو په اړه معلومات ولري:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
"مانيټر" : {
"دوتنه" : [
{
"فعال" : "ریښتیا"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
"ماډول" : [
{
"فعال" : "ریښتیا"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"ماسک" : "testmodule1"
}
],
"جال" : [
{
"فعال" : "ریښتیا"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"پروتوکول" : "tcp"
}
] }
}
د Drovorub بله برخه اجنټ دی؛ د دې ترتیب فایل د سرور سره وصل کولو لپاره معلومات لري:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"کلینټ" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"عوامي_کیلي"
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
ساحې "clientid" او "clientkey_base64" په پیل کې ورک دي؛ دوی په سرور کې د لومړني راجسټریشن وروسته اضافه شوي.
د نصبولو وروسته، لاندې عملیات ترسره کیږي:
- د کرنل ماډل بار شوی، کوم چې د سیسټم زنګونو لپاره هک ثبتوي؛
- پیرودونکي د کرنل ماډل سره راجستر کوي؛
- د کرنل ماډل په ډیسک کې د چلونکي پیرودونکي پروسې او د اجرا وړ فایل پټوي.
یو pseudo-device، د بیلګې په توګه /dev/zero، د پیرودونکي او د کرنل ماډل تر منځ د اړیکو لپاره کارول کیږي. د کرنل ماډل ټول هغه ډیټا پارس کوي چې وسیلې ته لیکل شوي ، او په مخالف لوري کې د لیږد لپاره دا پیرودونکي ته د SIGUSR1 سیګنال لیږي ، وروسته لدې چې دا د ورته وسیلې څخه ډاټا لوستل کیږي.
د لمبرجیک کشف کولو لپاره ، تاسو کولی شئ د NIDS په کارولو سره د شبکې ترافیک تحلیل وکاروئ (په اخته سیسټم کې د شبکې ناوړه فعالیت پخپله نشي موندل کیدی ، ځکه چې د کرنل ماډل د شبکې ساکټونه پټوي چې دا یې کاروي ، د نیټ فلټر قواعد ، او پاکټونه چې د خام ساکټونو لخوا مداخله کیدی شي) . په سیسټم کې چیرې چې ډرووروب نصب شوی ، تاسو کولی شئ د فایل پټولو لپاره د کمانډ په لیږلو سره د کرنل ماډل کشف کړئ:
د ټیسټ فایل لمس کړئ
echo "ASDFZXCV:hf: testfile"> /dev/zero
ls
رامینځته شوی "ټیسټ فایل" فایل ناڅرګند کیږي.
د کشف نورې میتودونه د حافظې او ډیسک مینځپانګې تحلیل شامل دي. د انفیکشن مخنیوي لپاره، دا سپارښتنه کیږي چې د کرنل او ماډلونو لازمي لاسلیک تصدیق وکاروئ، چې د لینکس کرنل نسخه 3.7 څخه پیل کیږي.
راپور د ډرووروب شبکې فعالیت کشف کولو لپاره د Snort قواعد لري او د دې اجزاو کشف کولو لپاره یارا قواعد.
باید یادونه وکړو چې 85th GTSSS GRU (پوځي واحد 26165) د دې ډلې سره تړاو لري. ، د ډیری سایبر بریدونو مسؤل دی.
سرچینه: opennet.ru