ProHoster > Блог > wararka internetka > Dhismaha Drovorub malware wuxuu waxyeeleeyaa Linux OS

Dhismaha Drovorub malware wuxuu waxyeeleeyaa Linux OS

Агентство национальной безопасности и Федеральное бюро расследований США daabacay warbixin, sida uu qabo xarunta 85-aad ee adeegga gaarka ah Agaasimaha Guud ee Guud ee Ciidamada Qalabka Sida ee Ruushka (85 GCSS GRU) ka dhisme malware ah oo loo yaqaan "Drovorub" ayaa la isticmaalaa. Drovorub waxaa ku jira rootkit ah qaab module kernel Linux ah, qalab lagu wareejiyo faylasha iyo wareejinta dekedaha shabakada, iyo server kontorool ah. Qaybta macmiilku waxay soo dejisan kartaa oo soo rogi kartaa faylalka, waxay fulin kartaa amarro aan sabab lahayn sida xididka isticmaalaha, iyo u wareejinta dekedaha shabakada qanjidhada kale ee shabakadaha.

Xarunta kontoroolka Drovorub waxay heleysaa dariiqa faylka qaabeynta ee qaabka JSON sida doodda khadka taliska:

{
"db_host":" ",
«db_port» : «<DB_PORT>»,
«db_db» : «<DB_NAME>»,
"db_user" :" ",
"db_password":" ",

"lport":" ",
"lhost":" ",
"ping_sec":" ",

"priv_key_file" : " ",
"Weedh" :" »
}

MySQL DBMS waxa loo istcimaalaa dhabarka dambe. Nidaamka WebSocket waxaa loo isticmaalaa in lagu xiro macaamiisha.

Macmiilku waxa uu leeyahay habayn ku dhex dhisan, oo ay ku jiraan URL-ka server-ka, furihiisa guud ee RSA, magaca isticmaalaha iyo erayga sirta ah. Ka dib marka la rakibo rootkit-ka, qaabeynta waxaa loo keydiyaa sidii faylka qoraalka ee qaabka JSON, kaas oo ka qarsoon nidaamka moduleka kernel Drovoruba:

{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"furaha": "Y2xpZW50a2V5"
}

Halkan "id" waa aqoonsi gaar ah oo uu soo saaray server-ku, kaas oo 48-bit ee ugu dambeeya ay u dhigmaan ciwaanka MAC ee isku xirka shabakadda server-ka. Halbeegga "furaha" ee caadiga ah waa saldhigga64 xarriiqda "clientkey" oo uu isticmaalo serferka inta lagu jiro gacan-qaadka bilowga ah. Intaa waxaa dheer, faylka qaabeynta waxaa ku jiri kara macluumaadka ku saabsan faylasha qarsoon, cutubyada iyo dekedaha shabakada:

{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"furaha": "Y2xpZW50a2V5",
"kormeer" : {
"faylka": [
{
"active": "run"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
«module» : [
{
"active": "run"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
«mask» : «testmodule1»
}
],
"net": [
{
"active": "run"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"dekedda": "12345",
"protocol": "tcp"
}
]}
}

Qayb kale oo ka mid ah Drovorub waa wakiilka; faylka qaabeynta ayaa ka kooban macluumaadka ku xirida serverka:

{
"client_login": "user123",
«client_pass» : «pass4567»,
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host": "192.168.57.100",
"server_port":"45122"
"server_uri" :"/ws"
}

Поля «clientid» и «clientkey_base64» изначально отсутствуют, они добавляются после первичной регистрации на сервере.

После установки выполняются следующие операции:

  • moduleka kernel-ka ayaa la raray, kaas oo diiwaan galiya xirmooyinka wicitaanada nidaamka;
  • macmiilku wuxuu ku diiwaan gashan yahay cutubka kernel;
  • Cutubka kernel-ku wuxuu qariyaa habka macmiilka socda iyo faylka la fulin karo ee saxanka.

Qalab been abuur ah, tusaale ahaan /dev/eber, ayaa loo isticmaalaa in lagu wada xidhiidho macmiilka iyo moduleka kernel-ka. Qaybta kernel-ku waxa ay kala saartaa dhammaan xogta ku qoran aaladda, si ay ugu gudbiso jihada ka soo horjeeda waxa ay u dirtaa calaamadda SIGUSR1 macmiilka, ka dib waxa ay akhrinaysaa xogta isla qalabka.

Si loo ogaado Lumberjack, waxaad isticmaali kartaa falanqaynta taraafikada shabakada adoo isticmaalaya NIDS (dhaqdhaqaaqa shabakada xaasidnimada leh ee nidaamka cudurka laftiisa lama ogaan karo, tan iyo moduleka kernel-ka ayaa qarinaya saldhigyada shabakada ee ay isticmaasho, xeerarka netfilter, iyo baakadaha laga yaabo inay dhexgalaan saldhigyada cayriin) . Nidaamka Drovorub lagu rakibay, waxaad ku ogaan kartaa moduleka kernel adigoo u diraya amarka si loo qariyo faylka:

taabashada xiniinyaha
Echo "ASDFZXCV: hf: testfile" > /dev/zero
ls

Faylka "testfile" ee la abuuray wuxuu noqdaa mid aan la arki karin.

Hababka kale ee lagu ogaado waxaa ka mid ah xusuusta iyo falanqaynta nuxurka diskooga. Si looga hortago caabuqa, waxaa lagu talinayaa in la isticmaalo xaqiijinta saxeexa qasabka ah ee kernel-ka iyo cutubyada, kuwaas oo la heli karo laga bilaabo nooca kernel Linux 3.7.

Warbixintu waxay ka kooban tahay xeerarka Snort ee lagu ogaanayo dhaqdhaqaaqa shabakadda ee Drovorub iyo Xeerarka Yara ee lagu ogaanayo qaybaheeda.

Aynu xasuusanno in 85th GTSSS GRU (cutubka militariga 26165) ay la xiriirto kooxda. APT28 (Fancy Bear), mas'uul ka ah weeraro badan oo internetka ah.

Source: opennet.ru