National Security Agency ma le US Federal Bureau of Investigation , e tusa ai ma le 85th autu autu o auaunaga faapitoa (85 GCSS GRU) o loʻo faʻaaogaina se faʻalavelave leaga e taʻua o "Drovorub". O Drovorub e aofia ai se rootkit i foliga o le Linux kernel module, o se meafaigaluega mo le fesiitaiga o faila ma le toe faʻafeiloaʻi o vaʻa fesoʻotaʻiga, ma se faʻaumau e pulea. E mafai e le vaega o tagata o tausia ona la'u mai ma lafo faila, fa'atino fa'atonuga fa'apitoa e pei o le a'a fa'aoga, ma toe fa'asa'o atu uafu feso'ota'iga i isi nodes feso'otaiga.
O le nofoaga autu e pulea ai Drovorub e maua le ala i le faila faʻatulagaina i le JSON format e avea o se finauga laina laina:
{
"db_host" : "",
"db_port" : "",
"db_db" : "",
"db_user" : "",
"db_password" : "",
"lport" : "",
"lhost" : "",
"ping_sec" : "",
"priv_key_file" : "",
"fuaitau" : ""
}
MySQL DBMS o loʻo faʻaaogaina e fai ma tua. O le WebSocket protocol e faʻaogaina e faʻafesoʻotaʻi tagata faʻatau.
O lo'o iai le fa'atonuga a le kalani, e aofia ai le server URL, lona RSA public key, username ma password. A maeʻa ona faʻapipiʻi le rootkit, o loʻo faʻasaoina le faʻatulagaina o se faila faila i le JSON format, lea e natia mai le polokalama e le Drovoruba kernel module:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"ki": "Y2xpZW50a2V5"
}
O le "id" o se faʻamatalaga tulaga ese na tuʻuina atu e le 'auʻaunaga, lea e fetaui ai le 48 bits mulimuli ma le tuatusi MAC o le fesoʻotaʻiga fesoʻotaʻiga a le server. O le fa'amaufa'ailoga "ki" fa'amauina o se manoa fa'apipi'i base64 "clientkey" lea e fa'aogaina e le 'au'aunaga i le taimi muamua o le lulu lima. E le gata i lea, o le faila faʻapipiʻi e mafai ona i ai faʻamatalaga e uiga i faila natia, modules ma ports fesoʻotaʻiga:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"ki": "Y2xpZW50a2V5",
"mata'ituina" : {
"faila" : [
{
"active" : "moni"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
"module" : [
{
"active" : "moni"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask" : "testmodule1"
}
],
" upega " : [
{
"active" : "moni"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"taulaga" : "12345",
"protocol" : "tcp"
}
]}
}
O le isi vaega o Drovorub o le sooupu; o lona faila faila o loʻo i ai faʻamatalaga mo le faʻafesoʻotaʻi i le server:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" : "public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
O fanua "clientid" ma le "clientkey_base64" o loʻo misi muamua; latou te faʻaopoopoina pe a maeʻa le resitalaina muamua i luga o le 'auʻaunaga.
A maeʻa faʻapipiʻi, o gaioiga nei e faia:
- o loʻo faʻapipiʻiina le kernel module, lea e resitalaina matau mo telefoni feaveaʻi;
- e lesitala le tagata o tausia i le kernel module;
- O le kernel module e natia le faagasologa o tagata o tausia ma lana faila faila i luga o le disk.
O se pseudo-device, mo se faʻataʻitaʻiga /dev/zero, e faʻaaogaina e fesoʻotaʻi ai i le va o le kalani ma le kernel module. O le kernel module e faʻasalalau uma faʻamatalaga tusia i le masini, ma mo le faʻasalalau i le isi itu e tuʻuina atu ai le SIGUSR1 faailo i le kalani, a maeʻa ona faitau faʻamatalaga mai le masini lava e tasi.
Ina ia iloa le Lumberjack, e mafai ona e faʻaogaina le suʻesuʻeina o fesoʻotaʻiga fesoʻotaʻiga e faʻaaoga ai le NIDS (e le mafai ona iloa le gaioiga o fesoʻotaʻiga leaga i totonu o le faʻamaʻi pipisi lava ia, talu ai o le kernel module e natia ai sockets o loʻo faʻaogaina, netfilter tulafono, ma paʻu e mafai ona faʻalavelaveina e sockets mata) . I luga o le faiga e faʻapipiʻi ai Drovorub, e mafai ona e iloa le kernel module e ala i le tuʻuina atu o le poloaiga e nana le faila:
pa'i faila su'ega
si'uleo “ASDFZXCV:hf:testfile”> /dev/zero
ls
O le faila faila "testfile" ua le mafai ona vaaia.
O isi auala e iloa ai e aofia ai le manatua ma le su'esu'eina o mea i totonu o le disk. Ina ia puipuia faʻamaʻi pipisi, e fautuaina le faʻaogaina o le saini faʻamaonia faʻamaonia o le fatu ma modules, avanoa e amata mai le Linux kernel version 3.7.
O le lipoti o loʻo i ai tulafono Snort mo le suʻeina o le gaioiga o fesoʻotaʻiga a Drovorub ma Yara tulafono mo le suʻeina o ona vaega.
Sei o tatou manatua o le 85th GTSSS GRU (unit militeri 26165) e fesoʻotaʻi ma le vaega. , e nafa ma le tele o osofaʻiga i luga ole laiga.
puna: opennet.ru