నేషనల్ సెక్యూరిటీ ఏజెన్సీ మరియు US ఫెడరల్ బ్యూరో ఆఫ్ ఇన్వెస్టిగేషన్
Drovorub నియంత్రణ కేంద్రం JSON ఫార్మాట్లో కాన్ఫిగరేషన్ ఫైల్కు మార్గాన్ని కమాండ్ లైన్ ఆర్గ్యుమెంట్గా అందుకుంటుంది:
{
"db_host" : "",
"db_port" : "",
"db_db" : "",
"db_user" : "",
"db_password" : "",
"lport" : "",
"lhost" : "",
"ping_sec" : "",
"priv_key_file" : "",
"phrase" : ""
}
MySQL DBMS బ్యాకెండ్గా ఉపయోగించబడుతుంది. క్లయింట్లను కనెక్ట్ చేయడానికి WebSocket ప్రోటోకాల్ ఉపయోగించబడుతుంది.
క్లయింట్ సర్వర్ URL, దాని RSA పబ్లిక్ కీ, వినియోగదారు పేరు మరియు పాస్వర్డ్తో సహా అంతర్నిర్మిత కాన్ఫిగరేషన్ను కలిగి ఉంది. రూట్కిట్ను ఇన్స్టాల్ చేసిన తర్వాత, కాన్ఫిగరేషన్ JSON ఫార్మాట్లో టెక్స్ట్ ఫైల్గా సేవ్ చేయబడుతుంది, ఇది డ్రోవోరుబా కెర్నల్ మాడ్యూల్ ద్వారా సిస్టమ్ నుండి దాచబడుతుంది:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"కీ": "Y2xpZW50a2V5"
}
ఇక్కడ, “id” అనేది సర్వర్ ద్వారా జారీ చేయబడిన ఒక ప్రత్యేక ఐడెంటిఫైయర్, దీనిలో చివరి 48 బిట్లు సర్వర్ నెట్వర్క్ ఇంటర్ఫేస్ యొక్క MAC చిరునామాకు అనుగుణంగా ఉంటాయి. డిఫాల్ట్ "కీ" పరామితి అనేది బేస్64 ఎన్కోడ్ చేసిన స్ట్రింగ్ "క్లయింట్కీ", ఇది ప్రారంభ హ్యాండ్షేక్ సమయంలో సర్వర్చే ఉపయోగించబడుతుంది. అదనంగా, కాన్ఫిగరేషన్ ఫైల్ దాచిన ఫైల్లు, మాడ్యూల్స్ మరియు నెట్వర్క్ పోర్ట్ల గురించి సమాచారాన్ని కలిగి ఉండవచ్చు:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"కీ": "Y2xpZW50a2V5",
"మానిటర్" : {
"ఫైల్" : [
{
"యాక్టివ్" : "నిజం"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"ముసుగు" : "testfile1"
}
],
"మాడ్యూల్" : [
{
"యాక్టివ్" : "నిజం"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"ముసుగు" : "టెస్ట్మాడ్యూల్1"
}
],
"నెట్" : [
{
"యాక్టివ్" : "నిజం"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"పోర్ట్" : "12345",
"ప్రోటోకాల్" : "tcp"
}
]}
}
Drovorub యొక్క మరొక భాగం ఏజెంట్; దాని కాన్ఫిగరేషన్ ఫైల్ సర్వర్కు కనెక్ట్ చేయడానికి సమాచారాన్ని కలిగి ఉంది:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
"clientid" మరియు "clientkey_base64" ఫీల్డ్లు మొదట్లో లేవు; అవి సర్వర్లో ప్రారంభ నమోదు తర్వాత జోడించబడతాయి.
సంస్థాపన తర్వాత, కింది కార్యకలాపాలు నిర్వహించబడతాయి:
- కెర్నల్ మాడ్యూల్ లోడ్ చేయబడింది, ఇది సిస్టమ్ కాల్ల కోసం హుక్స్ను నమోదు చేస్తుంది;
- క్లయింట్ కెర్నల్ మాడ్యూల్తో నమోదు చేస్తుంది;
- కెర్నల్ మాడ్యూల్ డిస్క్లో నడుస్తున్న క్లయింట్ ప్రాసెస్ మరియు దాని ఎక్జిక్యూటబుల్ ఫైల్ను దాచిపెడుతుంది.
ఒక నకిలీ పరికరం, ఉదాహరణకు /dev/zero, క్లయింట్ మరియు కెర్నల్ మాడ్యూల్ మధ్య కమ్యూనికేట్ చేయడానికి ఉపయోగించబడుతుంది. కెర్నల్ మాడ్యూల్ పరికరానికి వ్రాసిన మొత్తం డేటాను అన్వయిస్తుంది మరియు వ్యతిరేక దిశలో ప్రసారం కోసం ఇది SIGUSR1 సిగ్నల్ను క్లయింట్కు పంపుతుంది, ఆ తర్వాత అదే పరికరం నుండి డేటాను చదువుతుంది.
లంబర్జాక్ని గుర్తించడానికి, మీరు NIDSని ఉపయోగించి నెట్వర్క్ ట్రాఫిక్ విశ్లేషణను ఉపయోగించవచ్చు (సోకిన సిస్టమ్లోని హానికరమైన నెట్వర్క్ కార్యాచరణను గుర్తించడం సాధ్యం కాదు, ఎందుకంటే కెర్నల్ మాడ్యూల్ అది ఉపయోగించే నెట్వర్క్ సాకెట్లు, నెట్ఫిల్టర్ నియమాలు మరియు ముడి సాకెట్ల ద్వారా అడ్డగించబడే ప్యాకెట్లను దాచిపెడుతుంది) . Drovorub ఇన్స్టాల్ చేయబడిన సిస్టమ్లో, ఫైల్ను దాచడానికి ఆదేశాన్ని పంపడం ద్వారా మీరు కెర్నల్ మాడ్యూల్ను గుర్తించవచ్చు:
టచ్ టెస్ట్ ఫైల్
ప్రతిధ్వని “ASDFZXCV:hf:testfile” > /dev/zero
ls
సృష్టించబడిన "టెస్ట్ఫైల్" ఫైల్ కనిపించదు.
ఇతర గుర్తింపు పద్ధతులలో మెమరీ మరియు డిస్క్ కంటెంట్ విశ్లేషణ ఉన్నాయి. ఇన్ఫెక్షన్ను నివారించడానికి, Linux కెర్నల్ వెర్షన్ 3.7 నుండి అందుబాటులో ఉన్న కెర్నల్ మరియు మాడ్యూల్స్ యొక్క తప్పనిసరి సంతకం ధృవీకరణను ఉపయోగించమని సిఫార్సు చేయబడింది.
నివేదికలో డ్రోవోరబ్ యొక్క నెట్వర్క్ కార్యాచరణను గుర్తించడానికి స్నోర్ట్ నియమాలు మరియు దాని భాగాలను గుర్తించడానికి యారా నియమాలు ఉన్నాయి.
85వ GTSSS GRU (మిలిటరీ యూనిట్ 26165) సమూహంతో అనుబంధించబడిందని గుర్తుచేసుకుందాం
మూలం: opennet.ru