Ulusal Güvenlik Ajansı ve ABD Federal Soruşturma Bürosu 85. ana özel hizmet merkezinin buna göre (85 GCSS GRU) “Drovorub” adlı bir kötü amaçlı yazılım kompleksi kullanılıyor. Drovorub, Linux çekirdek modülü biçiminde bir rootkit, dosyaları aktarmak ve ağ bağlantı noktalarını yeniden yönlendirmek için bir araç ve bir kontrol sunucusu içerir. İstemci kısmı dosyaları indirip yükleyebilir, kök kullanıcı olarak isteğe bağlı komutları yürütebilir ve ağ bağlantı noktalarını diğer ağ düğümlerine yönlendirebilir.
Drovorub kontrol merkezi, JSON formatındaki yapılandırma dosyasının yolunu komut satırı argümanı olarak alır:
{
"db_anasistemi" : " ",
"DB_port" : " ",
"db_db" : " ",
"db_user" : " ",
"db_password" : " ",
"port" : " ",
"Ihost" : " ",
"ping_saniye" : " ",
"özel_anahtar_dosyası": " ",
"ifade etmek" : " »
}
MySQL DBMS arka uç olarak kullanılır. WebSocket protokolü istemcileri bağlamak için kullanılır.
İstemcinin, sunucu URL'si, RSA genel anahtarı, kullanıcı adı ve parolasını içeren yerleşik bir yapılandırması vardır. Rootkit kurulduktan sonra konfigürasyon, Drovoruba çekirdek modülü tarafından sistemden gizlenen JSON formatında bir metin dosyası olarak kaydedilir:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"anahtar": "Y2xpZW50a2V5"
}
Burada "id", sunucu tarafından verilen ve son 48 bitin sunucunun ağ arayüzünün MAC adresine karşılık geldiği benzersiz bir tanımlayıcıdır. Varsayılan "anahtar" parametresi, ilk el sıkışma sırasında sunucu tarafından kullanılan, base64 kodlu bir "clientkey" dizisidir. Ayrıca yapılandırma dosyası gizli dosyalar, modüller ve ağ bağlantı noktaları hakkında bilgiler içerebilir:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"anahtar": "Y2xpZW50a2V5",
"monitör" : {
"dosya" : [
{
"aktif": "doğru"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"maske" : "testdosyası1"
}
],
"modül": [
{
"aktif": "doğru"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"maske": "testmodule1"
}
],
"açık" : [
{
"aktif": "doğru"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"bağlantı noktası": "12345",
"protokol": "tcp"
}
] }
}
Drovorub'un diğer bir bileşeni aracıdır; yapılandırma dosyası, sunucuya bağlanmak için gerekli bilgileri içerir:
{
"client_login": "user123",
"client_pass": "pass4567",
"istemci kimliği": "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file":"public_key",
"sunucu_anasistemi": "192.168.57.100",
"sunucu_port" :"45122″,
"sunucu_uri" :"/ws"
}
“clientid” ve “clientkey_base64” alanları başlangıçta eksiktir; sunucuya ilk kayıttan sonra eklenirler.
Kurulumdan sonra aşağıdaki işlemler gerçekleştirilir:
- sistem çağrıları için kancaları kaydeden çekirdek modülü yüklenmiştir;
- istemci bir çekirdek modülüne kaydolur;
- Çekirdek modülü, çalışan istemci işlemini ve bunun diskteki yürütülebilir dosyasını gizler.
İstemci ile çekirdek modülü arasında iletişim kurmak için örneğin /dev/zero gibi bir sözde aygıt kullanılır. Çekirdek modülü, cihaza yazılan tüm verileri ayrıştırır ve ters yönde iletim için istemciye SIGUSR1 sinyalini gönderir ve ardından aynı cihazdan verileri okur.
Lumberjack'i tespit etmek için NIDS kullanarak ağ trafiği analizini kullanabilirsiniz (çekirdek modülü kullandığı ağ soketlerini, netfilter kurallarını ve ham soketler tarafından yakalanabilecek paketleri gizlediğinden, virüslü sistemdeki kötü amaçlı ağ etkinliği tespit edilemez) . Drovorub'un kurulu olduğu sistemde, çekirdek modülünü, dosyayı gizleme komutunu göndererek tespit edebilirsiniz:
dokunma test dosyası
echo “ASDFZXCV:hf:testdosyası” > /dev/zero
ls
Oluşturulan “testfile” dosyası görünmez hale gelir.
Diğer algılama yöntemleri arasında bellek ve disk içerik analizi yer alır. Enfeksiyonu önlemek için, Linux çekirdeği sürüm 3.7'den itibaren mevcut olan çekirdek ve modüller için zorunlu imza doğrulamasının kullanılması önerilir.
Rapor, Drovorub'un ağ etkinliğini tespit etmek için Snort kurallarını ve bileşenlerini tespit etmek için Yara kurallarını içerir.
85. GTSSS GRU'nun (askeri birlik 26165) grupla ilişkili olduğunu hatırlayalım. çok sayıda siber saldırının sorumlusu.
Kaynak: opennet.ru