ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > Drovorub మాల్వేర్ కాంప్లెక్స్ Linux OSకి సోకుతుంది

Drovorub మాల్వేర్ కాంప్లెక్స్ Linux OSకి సోకుతుంది

నేషనల్ సెక్యూరిటీ ఏజెన్సీ మరియు US ఫెడరల్ బ్యూరో ఆఫ్ ఇన్వెస్టిగేషన్ ఒక నివేదికను ప్రచురించింది, దీని ప్రకారం ప్రత్యేక సేవ యొక్క 85వ ప్రధాన కేంద్రం రష్యన్ సాయుధ దళాల జనరల్ స్టాఫ్ యొక్క ప్రధాన డైరెక్టరేట్ (85 GCSS GRU) "డ్రోవోరబ్" అనే మాల్వేర్ కాంప్లెక్స్ ఉపయోగించబడుతుంది. Drovorub Linux కెర్నల్ మాడ్యూల్ రూపంలో రూట్‌కిట్‌ను కలిగి ఉంటుంది, ఫైల్‌లను బదిలీ చేయడానికి మరియు నెట్‌వర్క్ పోర్ట్‌లను దారి మళ్లించడానికి ఒక సాధనం మరియు నియంత్రణ సర్వర్. క్లయింట్ భాగం ఫైల్‌లను డౌన్‌లోడ్ చేసి అప్‌లోడ్ చేయగలదు, రూట్ యూజర్‌గా ఏకపక్ష ఆదేశాలను అమలు చేయగలదు మరియు నెట్‌వర్క్ పోర్ట్‌లను ఇతర నెట్‌వర్క్ నోడ్‌లకు దారి మళ్లించగలదు.

Drovorub నియంత్రణ కేంద్రం JSON ఫార్మాట్‌లో కాన్ఫిగరేషన్ ఫైల్‌కు మార్గాన్ని కమాండ్ లైన్ ఆర్గ్యుమెంట్‌గా అందుకుంటుంది:

{
"db_host" : "",
"db_port" : "",
"db_db" : "",
"db_user" : "",
"db_password" : "",

"lport" : "",
"lhost" : "",
"ping_sec" : "",

"priv_key_file" : "",
"phrase" : ""
}

MySQL DBMS బ్యాకెండ్‌గా ఉపయోగించబడుతుంది. క్లయింట్‌లను కనెక్ట్ చేయడానికి WebSocket ప్రోటోకాల్ ఉపయోగించబడుతుంది.

క్లయింట్ సర్వర్ URL, దాని RSA పబ్లిక్ కీ, వినియోగదారు పేరు మరియు పాస్‌వర్డ్‌తో సహా అంతర్నిర్మిత కాన్ఫిగరేషన్‌ను కలిగి ఉంది. రూట్‌కిట్‌ను ఇన్‌స్టాల్ చేసిన తర్వాత, కాన్ఫిగరేషన్ JSON ఫార్మాట్‌లో టెక్స్ట్ ఫైల్‌గా సేవ్ చేయబడుతుంది, ఇది డ్రోవోరుబా కెర్నల్ మాడ్యూల్ ద్వారా సిస్టమ్ నుండి దాచబడుతుంది:

{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"కీ": "Y2xpZW50a2V5"
}

ఇక్కడ, “id” అనేది సర్వర్ ద్వారా జారీ చేయబడిన ఒక ప్రత్యేక ఐడెంటిఫైయర్, దీనిలో చివరి 48 బిట్‌లు సర్వర్ నెట్‌వర్క్ ఇంటర్‌ఫేస్ యొక్క MAC చిరునామాకు అనుగుణంగా ఉంటాయి. డిఫాల్ట్ "కీ" పరామితి అనేది బేస్64 ఎన్‌కోడ్ చేసిన స్ట్రింగ్ "క్లయింట్‌కీ", ఇది ప్రారంభ హ్యాండ్‌షేక్ సమయంలో సర్వర్చే ఉపయోగించబడుతుంది. అదనంగా, కాన్ఫిగరేషన్ ఫైల్ దాచిన ఫైల్‌లు, మాడ్యూల్స్ మరియు నెట్‌వర్క్ పోర్ట్‌ల గురించి సమాచారాన్ని కలిగి ఉండవచ్చు:

{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"కీ": "Y2xpZW50a2V5",
"మానిటర్" : {
"ఫైల్" : [
{
"యాక్టివ్" : "నిజం"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"ముసుగు" : "testfile1"
}
],
"మాడ్యూల్" : [
{
"యాక్టివ్" : "నిజం"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"ముసుగు" : "టెస్ట్‌మాడ్యూల్1"
}
],
"నెట్" : [
{
"యాక్టివ్" : "నిజం"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"పోర్ట్" : "12345",
"ప్రోటోకాల్" : "tcp"
}
]}
}

Drovorub యొక్క మరొక భాగం ఏజెంట్; దాని కాన్ఫిగరేషన్ ఫైల్ సర్వర్‌కు కనెక్ట్ చేయడానికి సమాచారాన్ని కలిగి ఉంది:

{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}

"clientid" మరియు "clientkey_base64" ఫీల్డ్‌లు మొదట్లో లేవు; అవి సర్వర్‌లో ప్రారంభ నమోదు తర్వాత జోడించబడతాయి.

సంస్థాపన తర్వాత, కింది కార్యకలాపాలు నిర్వహించబడతాయి:

  • కెర్నల్ మాడ్యూల్ లోడ్ చేయబడింది, ఇది సిస్టమ్ కాల్‌ల కోసం హుక్స్‌ను నమోదు చేస్తుంది;
  • క్లయింట్ కెర్నల్ మాడ్యూల్‌తో నమోదు చేస్తుంది;
  • కెర్నల్ మాడ్యూల్ డిస్క్‌లో నడుస్తున్న క్లయింట్ ప్రాసెస్ మరియు దాని ఎక్జిక్యూటబుల్ ఫైల్‌ను దాచిపెడుతుంది.

ఒక నకిలీ పరికరం, ఉదాహరణకు /dev/zero, క్లయింట్ మరియు కెర్నల్ మాడ్యూల్ మధ్య కమ్యూనికేట్ చేయడానికి ఉపయోగించబడుతుంది. కెర్నల్ మాడ్యూల్ పరికరానికి వ్రాసిన మొత్తం డేటాను అన్వయిస్తుంది మరియు వ్యతిరేక దిశలో ప్రసారం కోసం ఇది SIGUSR1 సిగ్నల్‌ను క్లయింట్‌కు పంపుతుంది, ఆ తర్వాత అదే పరికరం నుండి డేటాను చదువుతుంది.

లంబర్‌జాక్‌ని గుర్తించడానికి, మీరు NIDSని ఉపయోగించి నెట్‌వర్క్ ట్రాఫిక్ విశ్లేషణను ఉపయోగించవచ్చు (సోకిన సిస్టమ్‌లోని హానికరమైన నెట్‌వర్క్ కార్యాచరణను గుర్తించడం సాధ్యం కాదు, ఎందుకంటే కెర్నల్ మాడ్యూల్ అది ఉపయోగించే నెట్‌వర్క్ సాకెట్లు, నెట్‌ఫిల్టర్ నియమాలు మరియు ముడి సాకెట్ల ద్వారా అడ్డగించబడే ప్యాకెట్‌లను దాచిపెడుతుంది) . Drovorub ఇన్‌స్టాల్ చేయబడిన సిస్టమ్‌లో, ఫైల్‌ను దాచడానికి ఆదేశాన్ని పంపడం ద్వారా మీరు కెర్నల్ మాడ్యూల్‌ను గుర్తించవచ్చు:

టచ్ టెస్ట్ ఫైల్
ప్రతిధ్వని “ASDFZXCV:hf:testfile” > /dev/zero
ls

సృష్టించబడిన "టెస్ట్‌ఫైల్" ఫైల్ కనిపించదు.

ఇతర గుర్తింపు పద్ధతులలో మెమరీ మరియు డిస్క్ కంటెంట్ విశ్లేషణ ఉన్నాయి. ఇన్ఫెక్షన్‌ను నివారించడానికి, Linux కెర్నల్ వెర్షన్ 3.7 నుండి అందుబాటులో ఉన్న కెర్నల్ మరియు మాడ్యూల్స్ యొక్క తప్పనిసరి సంతకం ధృవీకరణను ఉపయోగించమని సిఫార్సు చేయబడింది.

నివేదికలో డ్రోవోరబ్ యొక్క నెట్‌వర్క్ కార్యాచరణను గుర్తించడానికి స్నోర్ట్ నియమాలు మరియు దాని భాగాలను గుర్తించడానికి యారా నియమాలు ఉన్నాయి.

85వ GTSSS GRU (మిలిటరీ యూనిట్ 26165) సమూహంతో అనుబంధించబడిందని గుర్తుచేసుకుందాం APT28 (ఫ్యాన్సీ బేర్), అనేక సైబర్ దాడులకు బాధ్యత వహిస్తుంది.

మూలం: opennet.ru