Агенција за националну безбедност и Федерални истражни биро САД , према коме је 85. главни центар специјалне службе (85 ГЦСС ГРУ) користи се комплекс малвера под називом „Дроворуб“. Дроворуб укључује рооткит у облику модула Линук кернела, алат за пренос датотека и преусмеравање мрежних портова и контролни сервер. Клијентски део може да преузима и отпрема датотеке, извршава произвољне команде као роот корисник и преусмерава мрежне портове на друге мрежне чворове.
Контролни центар Дроворуб прима путању до конфигурационе датотеке у ЈСОН формату као аргумент командне линије:
{
"дб_хост": " ",
"дб_порт": " ",
"дб_дб": " ",
"дб_усер": " ",
"дб_пассворд": " ",
"лпорт": " ",
"лхост" : " ",
"пинг_сец": " ",
"прив_кеи_филе": " ",
"фраза": " »
}
МиСКЛ ДБМС се користи као бацкенд. ВебСоцкет протокол се користи за повезивање клијената.
Клијент има уграђену конфигурацију, укључујући УРЛ сервера, његов РСА јавни кључ, корисничко име и лозинку. Након инсталирања рооткита, конфигурација се чува као текстуална датотека у ЈСОН формату, која је скривена од система од стране модула кернела Дроворуба:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"кључ": "И2кпЗВ50а2В5"
}
Овде је „ид“ јединствени идентификатор који издаје сервер, у коме последњих 48 бита одговара МАЦ адреси мрежног интерфејса сервера. Подразумевани параметар „кључ“ је басе64 кодирани стринг „цлиенткеи“ који користи сервер током почетног руковања. Поред тога, конфигурациона датотека може садржати информације о скривеним датотекама, модулима и мрежним портовима:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"кључ": "И2кпЗВ50а2В5",
"монитор" : {
"фајл" : [
{
"активан" : "тачно"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"маска" : "тестфиле1"
}
],
"модул" : [
{
"активан" : "тачно"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"маска" : "тестмодул1"
}
],
"нет" : [
{
"активан" : "тачно"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"порт" : "12345",
"протокол" : "тцп"
}
] }
}
Друга компонента Дроворуба је агент; његова конфигурациона датотека садржи информације за повезивање са сервером:
{
"цлиент_логин": "усер123",
"цлиент_пасс" : "пасс4567",
"цлиентид" : "е391847ц-бае7-11еа-б4бц-000ц29130б71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"пуб_кеи_филе" :"јавни_кључ",
"сервер_хост" : "192.168.57.100",
"сервер_порт" :"45122",
"сервер_ури":"/вс"
}
Поља „цлиентид“ и „цлиенткеи_басе64“ у почетку недостају; додају се након почетне регистрације на серверу.
Након инсталације, изводе се следеће операције:
- модул језгра је учитан, који региструје закачице за системске позиве;
- клијент се региструје са модулом кернела;
- Модул кернела сакрива покренути клијентски процес и његову извршну датотеку на диску.
Псеудо-уређај, на пример /дев/зеро, користи се за комуникацију између клијента и модула кернела. Модул кернела анализира све податке уписане у уређај, а за пренос у супротном смеру шаље СИГУСР1 сигнал клијенту, након чега чита податке са истог уређаја.
Да бисте открили Лумберјацк-а, можете користити анализу мрежног саобраћаја помоћу НИДС-а (злонамерна мрежна активност у самом зараженом систему не може да се открије, пошто модул кернела сакрива мрежне утичнице које користи, правила нетфилтера и пакете које могу пресрести необрађени сокети) . На систему где је Дроворуб инсталиран, можете да откријете модул кернела тако што ћете му послати команду за сакривање датотеке:
тоуцх тест фајл
ецхо “АСДФЗКСЦВ:хф:тестфиле” > /дев/зеро
ls
Креирана датотека "тестфиле" постаје невидљива.
Друге методе детекције укључују анализу садржаја меморије и диска. Да бисте спречили инфекцију, препоручује се коришћење обавезне провере потписа језгра и модула, доступну од верзије Линук кернела 3.7.
Извештај садржи Снорт правила за откривање мрежне активности Дроворуба и Иара правила за откривање његових компоненти.
Подсетимо, 85. ГТССС ГРУ (војна јединица 26165) је повезана са групом , одговоран за бројне сајбер нападе.
Извор: опеннет.ру