Badan Kaamanan Nasional sareng Biro Investigasi Federal AS , nurutkeun nu 85th puseur utama layanan husus (85 GCSS GRU) kompléks malware disebut "Drovorub" dipaké. Drovorub kalebet rootkit dina bentuk modul kernel Linux, alat pikeun nransferkeun file sareng alihan palabuhan jaringan, sareng server kontrol. Bagian klien tiasa ngaunduh sareng unggah file, ngalaksanakeun paréntah sawenang-wenang salaku pangguna akar, sareng alihan palabuhan jaringan ka titik jaringan sanés.
Pusat kontrol Drovorub nampi jalur kana file konfigurasi dina format JSON salaku argumen baris paréntah:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_sandi" : " ",
"lport" : " ",
"host" : " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"Babasan" : " »
}
MySQL DBMS dipaké salaku backend a. Protokol WebSocket dipaké pikeun nyambungkeun klien.
Klién ngagaduhan konfigurasi anu diwangun, kalebet URL pangladén, konci umum RSA, nami pangguna sareng kecap akses. Saatos masang rootkit, konfigurasi disimpen salaku file téks dina format JSON, anu disumputkeun tina sistem ku modul kernel Drovoruba:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"konci": "Y2xpZW50a2V5"
}
Di dieu "id" mangrupikeun identifier unik anu dikaluarkeun ku server, dimana 48 bit terakhir pakait sareng alamat MAC tina antarmuka jaringan pangladén. Parameter "konci" standar nyaéta string anu disandikeun base64 "clientkey" anu dianggo ku server nalika sasalaman awal. Salaku tambahan, file konfigurasi tiasa ngandung inpormasi ngeunaan file disumputkeun, modul sareng palabuhan jaringan:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"konci": "Y2xpZW50a2V5",
"monitor" : {
"file": [
{
"aktif": "leres"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"topeng": "testfile1"
}
],
"modul": [
{
"aktif": "leres"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"topeng": "testmodule1"
}
],
"net": [
{
"aktif": "leres"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"palabuhan": "12345",
"protokol": "tcp"
}
]}
}
Komponén séjén Drovorub nyaéta agén; file konfigurasina ngandung inpormasi pikeun nyambung ka server:
{
"client_login" : "pamaké123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" : "public_key",
"server_host" : "192.168.57.100",
"server_port" : "45122",
"server_uri" :"/ws"
}
Widang "clientid" sareng "clientkey_base64" mimitina leungit; aranjeunna ditambahkeun saatos pendaptaran awal dina server.
Saatos instalasi, operasi di handap ieu dilaksanakeun:
- modul kernel dimuat, nu registers kait pikeun panggero sistem;
- klien ngadaptar kalawan modul kernel;
- Modul kernel nyumput prosés klien anu ngajalankeun sareng file anu tiasa dieksekusi dina disk.
Alat pseudo, contona /dev/nol, digunakeun pikeun komunikasi antara klien sareng modul kernel. Modul kernel parses sadaya data ditulis kana alat, sarta pikeun pangiriman dina arah nu lalawanan ngirimkeun sinyal SIGUSR1 ka klien nu, nu satutasna eta maca data ti alat nu sami.
Pikeun ngadeteksi Lumberjack, anjeun tiasa nganggo analisa lalu lintas jaringan nganggo NIDS (aktivitas jaringan jahat dina sistem anu kainféksi sorangan henteu tiasa dideteksi, sabab modul kernel nyumput sockets jaringan anu dianggo, aturan netfilter, sareng pakét anu tiasa dicegat ku sockets atah). . Dina sistem dimana Drovorub dipasang, anjeun tiasa ngadeteksi modul kernel ku ngirimkeun paréntah pikeun nyumputkeun file:
file tés touch
gema "ASDFZXCV: hf: testfile"> / dev / nol
ls
File "testfile" anu diciptakeun janten teu katingali.
Métode deteksi sanésna kalebet mémori sareng analisa eusi disk. Pikeun nyegah inféksi, disarankeun pikeun nganggo verifikasi tanda tangan wajib tina kernel sareng modul, sayogi ti versi kernel Linux 3.7.
Laporan éta ngandung aturan Snort pikeun ngadeteksi kagiatan jaringan tina aturan Drovorub sareng Yara pikeun ngadeteksi komponénna.
Hayu urang émut yén 85th GTSSS GRU (unit militér 26165) pakait sareng grup. , jawab loba serangan cyber.
sumber: opennet.ru