ජාතික ආරක්ෂක ඒජන්සිය සහ එක්සත් ජනපද ෆෙඩරල් විමර්ශන කාර්යාංශය , ඒ අනුව විශේෂ සේවා 85 වන ප්රධාන මධ්යස්ථානය (85 GCSS GRU) "Drovorub" නම් අනිෂ්ට මෘදුකාංග සංකීර්ණයක් භාවිතා වේ. Drovorub හි Linux කර්නල් මොඩියුලයක ස්වරූපයෙන් rootkit, ගොනු මාරු කිරීම සහ ජාල වරායන් යළි හරවා යැවීම සඳහා මෙවලමක් සහ පාලන සේවාදායකයක් ඇතුළත් වේ. සේවාදායක කොටසට ගොනු බාගත කිරීම සහ උඩුගත කිරීම, root පරිශීලකයා ලෙස අත්තනෝමතික විධානයන් ක්රියාත්මක කිරීම සහ ජාල වරායන් වෙනත් ජාල නෝඩ් වෙත හරවා යැවිය හැක.
Drovorub පාලන මධ්යස්ථානයට JSON ආකෘතියෙන් වින්යාස ගොනුව වෙත මාර්ගය විධාන රේඛා තර්කයක් ලෙස ලැබේ:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport" : " ",
"lhost" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"වාක්ය ඛණ්ඩය" : " »
}
MySQL DBMS පසුබිමක් ලෙස භාවිතා කරයි. සේවාදායකයන් සම්බන්ධ කිරීමට WebSocket ප්රොටෝකෝලය භාවිතා කරයි.
සේවාදායකයාට සේවාදායක URL, එහි RSA පොදු යතුර, පරිශීලක නාමය සහ මුරපදය ඇතුළුව වින්යාසගත කර ඇත. රූට්කිට් ස්ථාපනය කිරීමෙන් පසු, වින්යාසය JSON ආකෘතියෙන් පෙළ ගොනුවක් ලෙස සුරකිනු ඇත, එය පද්ධතියෙන් Drovoruba කර්නල් මොඩියුලය මගින් සඟවා ඇත:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"යතුර": "Y2xpZW50a2V5"
}
මෙහි "id" යනු සේවාදායකය විසින් නිකුත් කරන ලද අද්විතීය හඳුනාගැනීමක් වන අතර, එහි අවසාන බිටු 48 සේවාදායකයේ ජාල අතුරුමුහුණතේ MAC ලිපිනයට අනුරූප වේ. පෙරනිමි "යතුර" පරාමිතිය යනු මූලික අතට අත දීමේදී සේවාදායකය විසින් භාවිතා කරනු ලබන Base64 කේතනය කරන ලද තන්තු "Clientkey" වේ. ඊට අමතරව, වින්යාස ගොනුවේ සැඟවුණු ගොනු, මොඩියුල සහ ජාල වරායන් පිළිබඳ තොරතුරු අඩංගු විය හැකිය:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"යතුර": "Y2xpZW50a2V5",
"මොනිටරය" : {
"ගොනුව" : [
{
"ක්රියාකාරී" : "ඇත්ත"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"වෙස්මුහුණ" : "testfile1"
}
],
"මොඩියුලය" : [
{
"ක්රියාකාරී" : "ඇත්ත"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"වෙස්මුහුණ" : "පරීක්ෂණ මොඩියුල1"
}
],
"ශුද්ධ" : [
{
"ක්රියාකාරී" : "ඇත්ත"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"වරාය" : "12345",
"protocol" : "tcp"
}
]}
}
Drovorub හි තවත් අංගයක් වන්නේ නියෝජිතයා ය; එහි වින්යාස ගොනුවේ සේවාදායකයට සම්බන්ධ වීමට තොරතුරු අඩංගු වේ:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
"clientid" සහ "clientkey_base64" යන ක්ෂේත්ර මුලින් අස්ථානගත වී ඇත; ඒවා සේවාදායකයේ මූලික ලියාපදිංචියෙන් පසුව එකතු වේ.
ස්ථාපනය කිරීමෙන් පසු, පහත සඳහන් මෙහෙයුම් සිදු කරනු ලැබේ:
- පද්ධති ඇමතුම් සඳහා කොකු ලියාපදිංචි කරන කර්නල් මොඩියුලය පටවා ඇත;
- සේවාදායකයා කර්නල් මොඩියුලය සමඟ ලියාපදිංචි වේ;
- කර්නල් මොඩියුලය ධාවනය වන සේවාදායක ක්රියාවලිය සහ එහි ක්රියාත්මක කළ හැකි ගොනුව තැටියේ සඟවයි.
ව්යාජ උපාංගයක්, උදාහරණයක් ලෙස /dev/zero, සේවාදායකයා සහ කර්නල් මොඩියුලය අතර සන්නිවේදනය කිරීමට භාවිතා කරයි. කර්නල් මොඩියුලය උපාංගයට ලියා ඇති සියලුම දත්ත විග්රහ කරයි, සහ ප්රතිවිරුද්ධ දිශාවට සම්ප්රේෂණය කිරීම සඳහා එය SIGUSR1 සංඥාව සේවාලාභියා වෙත යවයි, ඉන්පසු එය එම උපාංගයෙන් දත්ත කියවයි.
Lumberjack හඳුනා ගැනීම සඳහා, ඔබට NIDS භාවිතයෙන් ජාල ගමනාගමන විශ්ලේෂණය භාවිතා කළ හැකිය (කර්නල් මොඩියුලය එය භාවිතා කරන ජාල සොකට්, netfilter රීති සහ අමු සොකට් මගින් බාධා කළ හැකි පැකට් සඟවන බැවින් ආසාදිත පද්ධතියේම අනිෂ්ට ජාල ක්රියාකාරකම් අනාවරණය කර ගත නොහැක) . Drovorub ස්ථාපනය කර ඇති පද්ධතියේ, ගොනුව සැඟවීමට විධානය යැවීමෙන් ඔබට කර්නල් මොඩියුලය හඳුනාගත හැකිය:
ටෙස්ට් ගොනුව ස්පර්ශ කරන්න
echo “ASDFZXCV:hf:testfile”> /dev/zero
ls
සාදන ලද "testfile" ගොනුව නොපෙනී යයි.
අනෙකුත් හඳුනාගැනීමේ ක්රමවලට මතකය සහ තැටි අන්තර්ගත විශ්ලේෂණය ඇතුළත් වේ. ආසාදනය වැලැක්වීම සඳහා, Linux kernel අනුවාදය 3.7 සිට ලබා ගත හැකි කර්නලයේ සහ මොඩියුලවල අනිවාර්ය අත්සන සත්යාපනය භාවිතා කිරීම රෙකමදාරු කරනු ලැබේ.
වාර්තාවේ Drovorub හි ජාල ක්රියාකාරකම් හඳුනා ගැනීම සඳහා Snort නීති අඩංගු වන අතර එහි සංරචක හඳුනා ගැනීම සඳහා Yara නීති රීති අඩංගු වේ.
85 වන GTSSS GRU (මිලිටරි ඒකකය 26165) කණ්ඩායම සමඟ සම්බන්ධ වී ඇති බව අපි සිහිපත් කරමු. , බොහෝ සයිබර් ප්රහාර සඳහා වගකිව යුතුය.
මූලාශ්රය: opennet.ru