Agencija za nacionalno varnost in Zvezni preiskovalni urad ZDA , po katerem 85. glavni center posebne službe (85 GCSS GRU) se uporablja kompleks zlonamerne programske opreme, imenovan »Drovorub«. Drovorub vključuje rootkit v obliki modula jedra Linuxa, orodje za prenos datotek in preusmerjanje omrežnih vrat ter nadzorni strežnik. Odjemalski del lahko prenaša in nalaga datoteke, izvaja poljubne ukaze kot korenski uporabnik in preusmerja omrežna vrata na druga omrežna vozlišča.
Nadzorni center Drovorub prejme pot do konfiguracijske datoteke v formatu JSON kot argument ukazne vrstice:
{
"db_host": " ",
"db_port": " ",
"db_db": " ",
"db_user": " ",
"db_geslo": " ",
"lport": " ",
"lhost": " ",
"ping_sec": " ",
"priv_key_file" : " ",
"fraza": " »
}
MySQL DBMS se uporablja kot zaledje. Protokol WebSocket se uporablja za povezovanje odjemalcev.
Odjemalec ima vgrajeno konfiguracijo, vključno z URL-jem strežnika, njegovim javnim ključem RSA, uporabniškim imenom in geslom. Po namestitvi rootkita se konfiguracija shrani kot besedilna datoteka v formatu JSON, ki jo pred sistemom skrije jedrni modul Drovoruba:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"ključ": "Y2xpZW50a2V5"
}
Tukaj je "id" edinstven identifikator, ki ga izda strežnik, v katerem zadnjih 48 bitov ustreza naslovu MAC omrežnega vmesnika strežnika. Privzeti parameter "key" je base64 kodiran niz "clientkey", ki ga uporablja strežnik med začetnim rokovanjem. Poleg tega lahko konfiguracijska datoteka vsebuje informacije o skritih datotekah, modulih in omrežnih vratih:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"ključ": "Y2xpZW50a2V5",
"monitor": {
"mapa" : [
{
"aktivno": "resnično"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"maska": "testna datoteka1"
}
],
"modul" : [
{
"aktivno": "resnično"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"maska": "testni modul1"
}
],
"mreža" : [
{
"aktivno": "resnično"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"vrata": "12345",
"protokol": "tcp"
}
]}
}
Druga komponenta Drovoruba je agent; njegova konfiguracijska datoteka vsebuje informacije za povezavo s strežnikom:
{
"client_login": "uporabnik123",
"client_pass": "pass4567",
"klientid": "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" : "javni_ključ",
"server_host": "192.168.57.100",
"server_port": "45122",
"server_uri":"/ws"
}
Polji “clientid” in “clientkey_base64” prvotno manjkata, dodani pa sta po začetni registraciji na strežniku.
Po namestitvi se izvedejo naslednje operacije:
- naložen je modul jedra, ki registrira kljuke za sistemske klice;
- odjemalec se registrira z modulom jedra;
- Modul jedra skrije delujoči odjemalski proces in njegovo izvršljivo datoteko na disku.
Psevdonaprava, na primer /dev/zero, se uporablja za komunikacijo med odjemalcem in modulom jedra. Modul jedra razčleni vse podatke, zapisane v napravo, in za prenos v nasprotni smeri odjemalcu pošlje signal SIGUSR1, nakar prebere podatke iz iste naprave.
Za odkrivanje Lumberjacka lahko uporabite analizo omrežnega prometa z uporabo NIDS (zlonamerne omrežne dejavnosti v samem okuženem sistemu ni mogoče zaznati, ker modul jedra skriva omrežne vtičnice, ki jih uporablja, pravila netfilter in pakete, ki bi jih lahko prestregle neobdelane vtičnice) . V sistemu, kjer je nameščen Drovorub, lahko zaznate modul jedra tako, da mu pošljete ukaz za skrivanje datoteke:
testna datoteka na dotik
echo “ASDFZXCV:hf:testfile” > /dev/zero
ls
Ustvarjena datoteka »testfile« postane nevidna.
Druge metode odkrivanja vključujejo analizo vsebine pomnilnika in diska. Da bi preprečili okužbo, je priporočljivo uporabljati obvezno preverjanje podpisa jedra in modulov, ki je na voljo od različice jedra Linux 3.7.
Poročilo vsebuje pravila Snort za zaznavanje omrežne dejavnosti Drovoruba in pravila Yara za zaznavanje njegovih komponent.
Spomnimo, s skupino je povezana 85. GTSSS GRU (vojaška enota 26165). , odgovoren za številne kibernetske napade.
Vir: opennet.ru