Агентии амнияти миллӣ ва Бюрои федеролии тафтишоти ИМА , ки мувофики он 85-уми маркази асосии хизмати махсус (85 GCSS GRU) маҷмӯи нармафзори зараровар бо номи "Drovorub" истифода мешавад. Drovorub дорои руткит дар шакли модули ядрои Linux, асбоб барои интиқоли файлҳо ва масир ба портҳои шабакавӣ ва сервери идоракунӣ мебошад. Қисми муштарӣ метавонад файлҳоро зеркашӣ ва бор кунад, фармонҳои ихтиёриро ҳамчун корбари реша иҷро кунад ва бандарҳои шабакаро ба дигар гиреҳҳои шабака равона кунад.
Маркази идоракунии Drovorub роҳи файли конфигуратсияро дар формати JSON ҳамчун далели сатри фармон қабул мекунад:
{
"db_host" : "",
"db_port" : "",
"db_db" : "",
"db_user" : "",
"db_password" : "",
"lport": "",
"lhost": "",
"ping_sec": "",
"priv_key_file" : "",
"phrase" : ""
}
DBMS MySQL ҳамчун пуштибон истифода мешавад. Протоколи WebSocket барои пайваст кардани муштариён истифода мешавад.
Мизоҷ конфигуратсияи дарунсохт дорад, аз ҷумла URL-и сервер, калиди ҷамъиятии RSA, номи корбар ва парол. Пас аз насб кардани руткит, конфигуратсия ҳамчун файли матнӣ дар формати JSON захира карда мешавад, ки онро модули ядрои Drovoruba аз система пинҳон мекунад:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"калид": "Y2xpZW50a2V5"
}
Дар ин ҷо "id" идентификатори беназирест, ки аз ҷониби сервер дода мешавад, ки дар он 48 битҳои охирин ба суроғаи MAC интерфейси шабакаи сервер мувофиқат мекунанд. Параметри пешфарзии "калид" сатри рамзгузоришудаи base64 "clientkey" мебошад, ки аз ҷониби сервер ҳангоми дастфишори аввал истифода мешавад. Илова бар ин, файли конфигуратсия метавонад маълумотро дар бораи файлҳои пинҳонӣ, модулҳо ва портҳои шабакавӣ дошта бошад:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"калид": "Y2xpZW50a2V5",
"монитор": {
"файл": [
{
"фаъол": "ҳақиқӣ"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask": "testfile1"
}
],
"модул": [
{
"фаъол": "ҳақиқӣ"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask": "testmodule1"
}
],
"нет" : [
{
"фаъол": "ҳақиқӣ"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"порт": "12345",
"протокол": "tcp"
}
] }
}
Ҷузъи дигари Drovorub агент мебошад; файли конфигуратсияи он дорои маълумот барои пайвастшавӣ ба сервер мебошад:
{
"client_login": "user123",
"client_pass": "pass4567",
"clientid": "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"public_key",
"server_host": "192.168.57.100",
"server_port" :"45122″,
"server_uri" :"/ws"
}
Майдонҳои "clientid" ва "clientkey_base64" дар аввал мавҷуд нестанд; онҳо пас аз сабти аввал дар сервер илова карда мешаванд.
Пас аз насб, амалиётҳои зерин иҷро карда мешаванд:
- модули ядро бор карда шудааст, ки қалмоқҳоро барои зангҳои система сабт мекунад;
- муштарӣ бо модули ядро қайд мекунад;
- Модули ядро процесси иҷрошавандаи муштарӣ ва файли иҷрошавандаи онро дар диск пинҳон мекунад.
Барои иртибот байни муштарӣ ва модули ядро дастгоҳи псевдо-дастгоҳ, масалан /dev/zero истифода мешавад. Модули ядро ҳамаи маълумоти ба дастгоҳ навишташударо таҳлил мекунад ва барои интиқол ба самти муқобил сигнали SIGUSR1-ро ба муштарӣ мефиристад, ки пас аз он маълумотро аз ҳамон дастгоҳ мехонад.
Барои ошкор кардани Lumberjack, шумо метавонед таҳлили трафики шабакаро бо истифода аз NIDS истифода баред (фаъолияти зараровари шабака дар худи системаи сироятшуда ошкор карда намешавад, зеро модули ядро сокетҳои шабакавиро, ки истифода мебарад, қоидаҳои netfilter ва пакетҳоеро, ки метавонанд тавассути розеткаҳои хом боздошта шаванд) пинҳон мекунад. . Дар системае, ки Drovorub насб шудааст, шумо метавонед модули ядроро тавассути фиристодани фармони пинҳон кардани файл муайян кунед:
файли санҷиши ламс
echo "ASDFZXCV: hf: файли санҷиш" > /dev/zero
ls
Файли "testfile" сохташуда ноаён мегардад.
Дигар усулҳои муайянкунӣ таҳлили мундариҷаи хотира ва дискро дар бар мегиранд. Барои пешгирии сироят тавсия дода мешавад, ки санҷиши ҳатмии имзои ядро ва модулҳо, ки аз версияи ядрои Linux 3.7 дастрасанд, истифода шавад.
Дар гузориш қоидаҳои Snort барои муайян кардани фаъолияти шабакаи Drovorub ва қоидаҳои Yara барои муайян кардани ҷузъҳои он мавҷуданд.
Ёдовар мешавем, ки 85-уми GTSSS GRU (қисми ҳарбии 26165) бо гурӯҳ алоқаманд аст. , масъули ҳамлаҳои сершумори киберӣ.
Манбаъ: opennet.ru