نيشنل سيڪيورٽي ايجنسي ۽ يو ايس فيڊرل بيورو آف انويسٽيگيشن , جنهن جي مطابق 85th خاص خدمت جو مکيه مرڪز (85 GCSS GRU) هڪ مالويئر ڪمپليڪس سڏيو ويندو آهي "ڊروورب" استعمال ڪيو ويندو آهي. Drovorub ۾ لينڪس ڪنيل ماڊل جي صورت ۾ هڪ روٽ ڪٽ، فائلن کي منتقل ڪرڻ ۽ نيٽ ورڪ بندرگاهن کي ريڊائريڪٽ ڪرڻ لاء هڪ اوزار، ۽ هڪ ڪنٽرول سرور شامل آهي. ڪلائنٽ حصو فائلن کي ڊائون لوڊ ۽ اپلوڊ ڪري سگھي ٿو، روٽ صارف جي طور تي خودمختيار حڪمن تي عمل ڪري ٿو، ۽ نيٽ ورڪ بندرگاهن کي ٻين نيٽ ورڪ نوڊس ڏانھن ريڊيو ڪري سگھي ٿو.
Drovorub ڪنٽرول سينٽر JSON فارميٽ ۾ ترتيب واري فائل جو رستو حاصل ڪري ٿو ڪمانڊ لائن دليل جي طور تي:
{
"db_host" : " "،
"db_port" : " "،
"db_db" : " "،
"db_user" : " "،
"db_password" : " "،
"lport" : " "،
"lhost" : " "،
"ping_sec" : " "،
"priv_key_file" : " "،
"جملو" : " »
}
MySQL DBMS هڪ پس منظر طور استعمال ڪيو ويندو آهي. WebSocket پروٽوڪول ڪلائنٽ کي ڳنڍڻ لاء استعمال ڪيو ويندو آهي.
ڪلائنٽ ۾ ٺاهيل ترتيب ڏنل آهي، بشمول سرور URL، ان جي RSA پبلڪ ڪي، صارف جو نالو ۽ پاسورڊ. روٽڪٽ کي انسٽال ڪرڻ کان پوء، ترتيب JSON فارميٽ ۾ ٽيڪسٽ فائل جي طور تي محفوظ ڪئي وئي آهي، جيڪا ڊروووروبا ڪرنل ماڊل پاران سسٽم کان لڪيل آهي:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"key": "Y2xpZW50a2V5"
}
هتي "id" هڪ منفرد سڃاڻپ ڪندڙ آهي جيڪو سرور طرفان جاري ڪيو ويو آهي، جنهن ۾ آخري 48 بٽ سرور جي نيٽ ورڪ انٽرفيس جي MAC ايڊريس سان ملن ٿا. ڊفالٽ "ڪي" پيٽرولر هڪ بنيادي 64 انڪوڊ ٿيل اسٽرنگ "ڪلائنٽ ڪيئي" آهي جيڪو سرور طرفان استعمال ڪيو ويندو آهي شروعاتي هٿ ملائڻ دوران. ان کان سواء، ٺاھ جوڙ واري فائل ۾ لڪيل فائلن، ماڊلز ۽ نيٽ ورڪ بندرگاهن بابت معلومات شامل ٿي سگھي ٿي:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
مانيٽر: {
"فائل" : [
{
"فعال": "سچو"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
"ماڊل" : [
{
"فعال": "سچو"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"ماسڪ" : "testmodule1"
}
],
"net" : [
{
"فعال": "سچو"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"پورٽ" : "12345"
"پروٽوڪول" : "tcp"
}
] }
}
Drovorub جو هڪ ٻيو حصو ايجنٽ آهي؛ ان جي ترتيب واري فائيل سرور سان ڳنڍڻ جي معلومات تي مشتمل آهي:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
«pub_key_file» :»public_key»,
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
فيلڊ "clientid" ۽ "clientkey_base64" شروعاتي طور تي غائب آهن؛ اهي سرور تي ابتدائي رجسٽريشن کان پوء شامل ڪيا ويا آهن.
تنصيب کان پوء، هيٺيان عمل ڪيا ويا آهن:
- ڪرنل ماڊل لوڊ ٿيل آهي، جيڪو رجسٽر ڪري ٿو ٿلهو سسٽم ڪالن لاءِ؛
- ڪلائنٽ kernel ماڊل سان رجسٽر ڪري ٿو؛
- ڪرنل ماڊل ھلندڙ ڪلائنٽ جي عمل کي لڪائيندو آھي ۽ ان جي قابل عمل فائل کي ڊسڪ تي.
هڪ pseudo-device، مثال طور /dev/zero، ڪلائنٽ ۽ ڪرنل ماڊل جي وچ ۾ رابطي لاءِ استعمال ڪيو ويندو آهي. ڪرنل ماڊل ڊيوائس تي لکيل سڀني ڊيٽا کي پارس ڪري ٿو، ۽ ان جي سامهون واري طرف منتقل ڪرڻ لاءِ اهو ڪلائنٽ ڏانهن SIGUSR1 سگنل موڪلي ٿو، جنهن کان پوءِ اهو ساڳيو ڊوائيس مان ڊيٽا پڙهي ٿو.
لمبرجڪ کي ڳولڻ لاءِ، توهان NIDS استعمال ڪندي نيٽ ورڪ ٽرئفڪ جو تجزيو استعمال ڪري سگهو ٿا (متاثر ٿيل سسٽم ۾ خراب نيٽ ورڪ سرگرمي پاڻ کي ڳولي نه ٿو سگهجي، ڇاڪاڻ ته ڪرنل ماڊل انهن نيٽ ورڪ ساکٽس کي لڪائيندو آهي جيڪي اهو استعمال ڪندا آهن، نيٽ فلٽر ضابطا، ۽ پيڪيٽس جيڪي خام ساکٽس ذريعي مداخلت ڪري سگھن ٿا) . سسٽم تي جتي Drovorub انسٽال ٿيل آهي، توهان فائل کي لڪائڻ لاء ڪمان موڪلڻ سان ڪنيل ماڊل کي ڳولي سگهو ٿا:
ٽچ ٽيسٽ فائل
گونج "ASDFZXCV:hf:testfile" > /dev/zero
ls
ٺاهيل "testfile" فائل پوشيده ٿي ويندي.
ٻيا ڳولڻ جا طريقا شامل آھن ميموري ۽ ڊسڪ مواد جو تجزيو. انفيڪشن کي روڪڻ لاءِ، لينڪس ڪنيل ورجن 3.7 کان شروع ٿيندڙ دستي ۽ ماڊلز جي لازمي دستخطي تصديق کي استعمال ڪرڻ جي صلاح ڏني وئي آهي.
رپورٽ ۾ شامل آهي Snort ضابطن جي نيٽ ورڪ جي سرگرمي کي ڳولڻ لاء ڊروورب ۽ يارا ضابطا ان جي اجزاء کي ڳولڻ لاء.
ياد رهي ته 85هين GTSSS GRU (فوجي يونٽ 26165) گروپ سان لاڳاپيل آهي. ڪيترن ئي سائبر حملن لاء ذميوار.
جو ذريعو: opennet.ru