قومي سلامتي ايجنسي ۽ وفاقي بيورو آف انويسٽيگيشن ، جنهن مطابق خاص خدمتن جو 85 هون مکيه مرڪز (85 هون مين ڊفينس سينٽر) "ڊروورب" نالي هڪ مالويئر سوٽ استعمال ڪري ٿو. "ڊروورب" ۾ لينڪس ڪرنل ماڊيول، هڪ فائل ٽرانسفر ۽ نيٽ ورڪ پورٽ ريڊائريڪشن ٽول، ۽ هڪ ڪمانڊ ۽ ڪنٽرول سرور جي صورت ۾ هڪ روٽ ڪٽ شامل آهي. ڪلائنٽ فائلون ڊائون لوڊ ۽ اپلوڊ ڪري سگهي ٿو، روٽ استعمال ڪندڙ جي طور تي صوابديدي حڪمن تي عمل ڪري سگهي ٿو، ۽ نيٽ ورڪ پورٽس کي ٻين نيٽ ورڪ نوڊس ڏانهن ريڊائريڪٽ ڪري سگهي ٿو.
ڊرووروب ڪنٽرول سينٽر ڪمانڊ لائن دليل ذريعي JSON فارميٽ ۾ ڪنفگريشن فائل جو رستو حاصل ڪري ٿو:
{
"ڊي بي_هوسٽ": " »،
"ڊي بي_پورٽ": " »،
«ڊي بي_ڊي بي» : « »،
"ڊي بي_يوزر": " »،
"ڊي بي_پاسورڊ": " »،
"لپورٽ": »،
"هائوسٽ": »،
"پنگ_سيڪنڊ": " »،
"پرائيويٽ_ڪي_فائل": " »،
"جملو": " »
}
MySQL ڊيٽابيس کي بيڪ اينڊ طور استعمال ڪيو ويندو آهي. ويب ساکٽ پروٽوڪول ڪلائنٽ ڪنيڪشن لاءِ استعمال ڪيو ويندو آهي.
ڪلائنٽ وٽ هڪ بلٽ ان ڪنفيگريشن آهي، جنهن ۾ سرور URL، ان جي پبلڪ RSA ڪي، يوزر نالو، ۽ پاسورڊ شامل آهن. روٽ ڪٽ انسٽال ٿيڻ کان پوءِ، ڪنفيگريشن کي JSON ٽيڪسٽ فائل جي طور تي محفوظ ڪيو ويندو آهي، جيڪو ڊروورب ڪرنل ماڊيول ذريعي سسٽم کان لڪايو ويندو آهي:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"چاٻي": "Y2xpZW50a2V5"
}
هتي، "id" سرور پاران جاري ڪيل هڪ منفرد سڃاڻپ ڪندڙ آهي، جنهن جا آخري 48 بٽ سرور جي نيٽ ورڪ انٽرفيس جي MAC ايڊريس سان ملن ٿا. "key" پيرا ميٽر، ڊفالٽ طور، هڪ base64-encoded string، "clientkey" آهي، جيڪو سرور پاران شروعاتي هٿ ملائڻ دوران استعمال ڪيو ويندو آهي. اضافي طور تي، ترتيب واري فائل ۾ لڪيل فائلن، ماڊلز، ۽ نيٽ ورڪ پورٽن بابت معلومات شامل ٿي سگھي ٿي:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"چاٻي": "Y2xpZW50a2V5"،
"مانيٽر": {
"فائل": [
{
"سرگرم": "سچو"،
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"ماسڪ": "ٽيسٽ فائل 1"
}
],
"ماڊيول": [
{
"سرگرم": "سچو"،
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"ماسڪ": "ٽيسٽ ماڊل 1"
}
],
"نه" : [
{
"سرگرم": "سچو"،
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"بندرگاهه": "12345"،
"پروٽوڪول": "ٽي سي پي"
}
] }
}
ڊرووروب جو ٻيو جزو ايجنٽ آهي، جنهن جي ڪنفگريشن فائل ۾ سرور سان ڳنڍڻ لاءِ معلومات شامل آهي:
{
"ڪلائنٽ_لاگ ان": "استعمال ڪندڙ 123"،
"ڪلائنٽ_پاس": "پاس 4567"،
"ڪلائنٽ آئي ڊي" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"پب_ڪي_فائل" :"پبلڪ_ڪي"،
"سرور_هوسٽ": "192.168.57.100"،
"سرور_پورٽ": "45122"،
"سرور_يوري":"/ws"
}
"clientid" ۽ "clientkey_base64" فيلڊ شروعاتي طور تي غير حاضر آهن؛ اهي سرور تي شروعاتي رجسٽريشن کان پوءِ شامل ڪيا ويندا آهن.
انسٽاليشن کان پوء، هيٺيان آپريشن ڪيا ويندا آهن:
- هڪ ڪرنل ماڊيول لوڊ ٿيل آهي جيڪو سسٽم ڪالن لاءِ ٿلها رجسٽر ڪري ٿو؛
- ڪلائنٽ ڪرنل ماڊيول سان رجسٽر ٿئي ٿو؛
- ڪرنل ماڊيول هلندڙ ڪلائنٽ جي عمل ۽ ان جي ايگزيڪيوٽو فائل کي ڊسڪ تي لڪائيندو آهي.
هڪ سيوڊو-ڊيوائس، جهڙوڪ /dev/zero، ڪلائنٽ ۽ ڪرنل ماڊيول جي وچ ۾ رابطو ڪرڻ لاءِ استعمال ڪيو ويندو آهي. ڪرنل ماڊيول ڊوائيس تي لکيل سڀني ڊيٽا کي پارس ڪري ٿو ۽، ريورس ٽرانسميشن لاءِ، ڪلائنٽ ڏانهن SIGUSR1 سگنل موڪلي ٿو، جنهن کان پوءِ ڪلائنٽ ساڳئي ڊوائيس مان ڊيٽا پڙهي ٿو.
ڊرووروب کي ڳولڻ لاءِ، توهان NIDS ٽولز سان نيٽ ورڪ ٽرئفڪ تجزيو استعمال ڪري سگهو ٿا (متاثر ٿيل سسٽم تي خراب نيٽ ورڪ سرگرمي کي ڳولي نه ٿو سگهجي، ڇاڪاڻ ته ڪرنل ماڊيول انهن نيٽ ورڪ ساکٽس کي لڪائيندو آهي جيڪي اهو استعمال ڪندو آهي، نيٽ فلٽر قاعدا، ۽ پيڪٽ جيڪي ٻي صورت ۾ خام ساکٽس ذريعي روڪي سگهجن ٿا). ڊرووروب انسٽال ٿيل سسٽم تي، توهان ڪرنل ماڊيول کي فائل لڪائڻ جو حڪم موڪلي ان کي ڳولي سگهو ٿا:
ٽچ ٽيسٽ فائل
گونج "ASDFZXCV:hf:testfile" > /dev/zero
ls
ٺاهيل فائل "testfile" پوشيده ٿي ويندي آهي.
ٻين ڳولڻ جي طريقن ۾ ميموري ۽ ڊسڪ مواد جو تجزيو شامل آهي. انفيڪشن کي روڪڻ لاءِ، لازمي ڪرنل ۽ ماڊيول دستخط جي تصديق استعمال ڪرڻ جي سفارش ڪئي وئي آهي، جيڪا لينڪس ڪرنل ورجن 3.7 کان موجود آهي.
رپورٽ ۾ ڊرووروب جي نيٽ ورڪ سرگرمي کي ڳولڻ لاءِ سنورٽ قاعدا ۽ ان جي حصن کي ڳولڻ لاءِ يارا قاعدا شامل آهن.
ياد رهي ته 85 هين GRU GCSS (فوجي يونٽ 26165) گروپ سان لاڳاپيل آهي ، ڪيترن ئي سائبر حملن جو ذميوار.
جو ذريعو: opennet.ru
