Setsi sa Naha sa Tšireletso le US Federal Bureau of Investigation , ho latela hore na setsi sa 85 sa tšebeletso e khethehileng (85 GCSS GRU) ho sebelisoa sesebelisoa sa malware se bitsoang "Drovorub". Drovorub e kenyelletsa rootkit ka mokhoa oa Linux kernel module, sesebelisoa sa ho fetisetsa lifaele le ho tsamaisa likou tsa marang-rang, le seva sa taolo. Karolo ea bareki e ka khoasolla le ho kenya lifaele, ho etsa litaelo tse sa reroang joalo ka mosebelisi oa motso, le ho tsamaisa likou tsa marang-rang ho li-node tse ling tsa marang-rang.
Setsi sa taolo ea Drovorub se amohela tsela ea faele ea tlhophiso ka sebopeho sa JSON e le khang ea mola oa taelo:
{
"db_host" : " ",
"db_port" : " ",
"db_db": " ",
"db_user" : " ",
"db_password" : " ",
"lport": " ",
"lebotho": " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"lentsoe": " »
}
MySQL DBMS e sebelisoa e le backend. Protocol ea WebSocket e sebelisoa ho hokahanya bareki.
Moreki o na le tlhophiso e hahelletsoeng, ho kenyeletsoa URL ea seva, senotlolo sa eona sa RSA sechabeng, lebitso la mosebelisi le password. Ka mor'a ho kenya rootkit, tlhophiso e bolokoa e le faele ea mongolo ka mokhoa oa JSON, o patiloeng tsamaisong ke mochine oa kernel oa Drovoruba:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"key": "Y2xpZW50a2V5"
}
Mona "id" ke sekhetho se ikhethileng se fanoeng ke seva, moo li-bits tse 48 tsa ho qetela li lumellanang le aterese ea MAC ea sebopeho sa marang-rang sa seva. Paramethara ea "key" ea kamehla ke "clientkey" e kentsoeng ea base64 e sebelisoang ke seva nakong ea ho ts'oarana ka letsoho ha pele. Ntle le moo, faele ea tlhophiso e kanna ea ba le tlhaiso-leseling mabapi le lifaele tse patiloeng, li-module le likou tsa marang-rang:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
"mohlokomeli": {
"file": [
{
"active" : "nete"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
"mojule": [
{
"active" : "nete"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask" : "testmodule1"
}
],
"nete": [
{
"active" : "nete"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port" : "12345",
"protocol" : "tcp"
}
] }
}
Karolo e 'ngoe ea Drovorub ke moemeli; faele ea eona ea tlhophiso e na le tlhaiso-leseling ea ho hokela seva:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" :45122″,
"server_uri" :"/ws"
}
Masimo "clientid" le "clientkey_base64" ha a eo qalong; li eketsoa kamora ngoliso ea pele ho seva.
Kamora ho kenya, lits'ebetso tse latelang li etsoa:
- module ea kernel e kentsoe, e ngolisang li-hook bakeng sa mehala ea sistimi;
- moreki o ingolisa le mojule oa kernel;
- Module ea kernel e pata ts'ebetso ea bareki ba sebetsang le faele ea eona e ka phethisoang ho disk.
Sesebelisoa sa pseudo, mohlala /dev/zero, se sebelisetsoa ho buisana pakeng tsa moreki le kernel module. Module oa kernel o fetisa lintlha tsohle tse ngotsoeng ho sesebelisoa, 'me bakeng sa phetisetso ka lehlakoreng le leng e romela letšoao la SIGUSR1 ho mofani, ka mor'a moo e bala lintlha tse tsoang mochine o tšoanang.
Ho bona Lumberjack, o ka sebelisa tlhahlobo ea sephethephethe sa marang-rang ho sebelisa NIDS (ts'ebetso e mpe ea marang-rang ka har'a sistimi e tšoaelitsoeng ka boeona e ke ke ea bonoa, kaha mochini oa kernel o pata li-sockets tsa marang-rang tseo o li sebelisang, melao ea netfilter, le lipakete tse ka amoheloang ke li-sockets tse tala) . Sistimi eo Drovorub e kentsoeng ho eona, o ka bona kernel module ka ho e romella taelo ea ho pata faele:
touch faele ea teko
echo "ASDFZXCV:hf:testfile"> /dev/zero
ls
Faele ea "testfile" e entsoeng e fetoha e sa bonahaleng.
Mekhoa e meng ea ho lemoha e kenyelletsa tlhahlobo ea memori le disk content. Ho thibela ts'oaetso, ho khothaletsoa ho sebelisa netefatso e tlamang ea ho saena kernel le li-module, tse fumanehang ho tloha ho Linux kernel version 3.7.
Tlaleho e na le melao ea Snort bakeng sa ho lemoha ts'ebetso ea marang-rang ea melao ea Drovorub le Yara bakeng sa ho lemoha likarolo tsa eona.
A re hopoleng hore 85th GTSSS GRU (sesole sa sesole 26165) se amahanngoa le sehlopha. , e ikarabellang bakeng sa litlhaselo tse ngata tsa cyber.
Source: opennet.ru