Shirika la Usalama wa Taifa na Ofisi ya Upelelezi ya Shirikisho la Marekani , kulingana na ambayo kituo kikuu cha 85 cha huduma maalum (85 GCSS GRU) programu hasidi inayoitwa "Drovorub" inatumika. Drovorub inajumuisha rootkit katika mfumo wa moduli ya Linux kernel, chombo cha kuhamisha faili na kuelekeza upya bandari za mtandao, na seva ya udhibiti. Sehemu ya mteja inaweza kupakua na kupakia faili, kutekeleza amri kiholela kama mtumiaji mzizi, na kuelekeza milango ya mtandao kwenye nodi zingine za mtandao.
Kituo cha udhibiti cha Drovorub hupokea njia ya faili ya usanidi katika umbizo la JSON kama hoja ya mstari wa amri:
{
"db_host" : " ",
"db_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"lport": " ",
"mwenyeji": " ",
"ping_sec" : " ",
"priv_key_file" : " ",
"maneno": " »
}
MySQL DBMS inatumika kama backend. Itifaki ya WebSocket inatumika kuunganisha wateja.
Mteja ana usanidi uliojumuishwa, ikijumuisha URL ya seva, ufunguo wake wa umma wa RSA, jina la mtumiaji na nenosiri. Baada ya kusakinisha rootkit, usanidi huhifadhiwa kama faili ya maandishi katika umbizo la JSON, ambalo limefichwa kutoka kwa mfumo na moduli ya kernel ya Drovoruba:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"key": "Y2xpZW50a2V5"
}
Hapa "id" ni kitambulisho cha kipekee kilichotolewa na seva, ambayo bits 48 za mwisho zinalingana na anwani ya MAC ya kiolesura cha mtandao cha seva. Kigezo chaguo-msingi cha "ufunguo" ni kamba ya msingi64 iliyosimbwa "clientkey" ambayo hutumiwa na seva wakati wa kupeana mkono kwa mara ya kwanza. Kwa kuongezea, faili ya usanidi inaweza kuwa na habari kuhusu faili zilizofichwa, moduli na bandari za mtandao:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
"mfuatiliaji": {
"faili": [
{
"active" : "kweli"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "testfile1"
}
],
"moduli": [
{
"active" : "kweli"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask" : "testmodule1"
}
],
"wavu" : [
{
"active" : "kweli"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"bandari" : "12345",
"protocol" : "tcp"
}
]}
}
Sehemu nyingine ya Drovorub ni wakala; faili yake ya usanidi ina habari ya kuunganishwa na seva:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"seva_bandari" :45122″,
"server_uri" :"/ws"
}
Sehemu za "mteja" na "clientkey_base64" hazipo; huongezwa baada ya usajili wa awali kwenye seva.
Baada ya ufungaji, shughuli zifuatazo zinafanywa:
- moduli ya kernel imepakiwa, ambayo inasajili ndoano kwa simu za mfumo;
- mteja anajiandikisha na moduli ya kernel;
- Moduli ya kernel huficha mchakato wa mteja unaoendesha na faili yake inayoweza kutekelezwa kwenye diski.
Kifaa bandia, kwa mfano /dev/zero, hutumiwa kuwasiliana kati ya mteja na moduli ya kernel. Moduli ya kernel huchanganua data zote zilizoandikwa kwa kifaa, na kwa maambukizi katika mwelekeo kinyume hutuma ishara ya SIGUSR1 kwa mteja, baada ya hapo inasoma data kutoka kwa kifaa kimoja.
Ili kugundua Lumberjack, unaweza kutumia uchanganuzi wa trafiki ya mtandao kwa kutumia NIDS (shughuli mbaya ya mtandao kwenye mfumo yenyewe ulioambukizwa haiwezi kugunduliwa, kwani moduli ya kernel huficha soketi za mtandao inazotumia, sheria za netfilter, na pakiti ambazo zinaweza kuzuiwa na soketi mbichi) . Kwenye mfumo ambapo Drovorub imewekwa, unaweza kugundua moduli ya kernel kwa kuituma amri ya kuficha faili:
gusa faili ya mtihani
echo "ASDFZXCV:hf:testfile"> /dev/zero
ls
Faili ya "testfile" iliyoundwa inakuwa isiyoonekana.
Njia zingine za kugundua ni pamoja na uchambuzi wa kumbukumbu na diski. Ili kuzuia maambukizi, inashauriwa kutumia uthibitishaji wa saini ya lazima ya kernel na moduli, zinazopatikana kuanzia toleo la Linux kernel 3.7.
Ripoti ina sheria za Snort za kugundua shughuli za mtandao za sheria za Drovorub na Yara za kugundua vijenzi vyake.
Tukumbuke kwamba GTSSS GRU ya 85 (kitengo cha kijeshi 26165) inahusishwa na kikundi hicho. , kuwajibika kwa mashambulizi mengi ya mtandao.
Chanzo: opennet.ru