نیشنل سیکیورٹی ایجنسی اور امریکی فیڈرل بیورو آف انویسٹی گیشن ، جس کے مطابق خصوصی سروس کا 85 واں مرکزی مرکز (85 GCSS GRU) "Drovorub" نامی ایک میلویئر کمپلیکس استعمال کیا جاتا ہے۔ ڈرووروب میں لینکس کرنل ماڈیول کی شکل میں ایک روٹ کٹ، فائلوں کی منتقلی اور نیٹ ورک پورٹس کو ری ڈائریکٹ کرنے کا ایک ٹول، اور ایک کنٹرول سرور شامل ہے۔ کلائنٹ کا حصہ فائلوں کو ڈاؤن لوڈ اور اپ لوڈ کر سکتا ہے، روٹ صارف کے طور پر صوابدیدی حکموں پر عمل درآمد کر سکتا ہے، اور نیٹ ورک پورٹس کو دوسرے نیٹ ورک نوڈس پر ری ڈائریکٹ کر سکتا ہے۔
Drovorub کنٹرول سینٹر JSON فارمیٹ میں کنفیگریشن فائل کا راستہ کمانڈ لائن دلیل کے طور پر حاصل کرتا ہے:
{
"db_host" : ""،
"db_port" : ""،
"db_db" : ""،
"db_user" : ""،
"db_password" : ""،
"lport" : ""،
"lhost" : ""،
"ping_sec" : ""،
"priv_key_file" : ""،
"جملہ" : ""
}
MySQL DBMS کو بیک اینڈ کے طور پر استعمال کیا جاتا ہے۔ ویب ساکٹ پروٹوکول کلائنٹس کو جوڑنے کے لیے استعمال کیا جاتا ہے۔
کلائنٹ کے پاس بلٹ ان کنفیگریشن ہے، بشمول سرور URL، اس کی RSA عوامی کلید، صارف نام اور پاس ورڈ۔ روٹ کٹ کو انسٹال کرنے کے بعد، کنفیگریشن کو JSON فارمیٹ میں ٹیکسٹ فائل کے طور پر محفوظ کیا جاتا ہے، جسے Drovoruba کرنل ماڈیول کے ذریعے سسٹم سے چھپایا جاتا ہے:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"key": "Y2xpZW50a2V5"
}
یہاں "id" سرور کی طرف سے جاری کردہ ایک منفرد شناخت کنندہ ہے، جس میں آخری 48 بٹس سرور کے نیٹ ورک انٹرفیس کے میک ایڈریس سے مطابقت رکھتے ہیں۔ پہلے سے طے شدہ "کلید" پیرامیٹر ایک بیس 64 انکوڈ شدہ سٹرنگ "کلائنٹ کی" ہے جسے سرور ابتدائی مصافحہ کے دوران استعمال کرتا ہے۔ اس کے علاوہ، کنفیگریشن فائل میں پوشیدہ فائلوں، ماڈیولز اور نیٹ ورک پورٹس کے بارے میں معلومات ہو سکتی ہیں:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"key": "Y2xpZW50a2V5",
"مانیٹر" : {
"فائل" : [
{
"فعال" : "سچ"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"ماسک" : "ٹیسٹ فائل 1"
}
],
"ماڈیول" : [
{
"فعال" : "سچ"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"ماسک" : "ٹیسٹ موڈیول 1"
}
],
"net" : [
{
"فعال" : "سچ"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"پورٹ" : "12345"،
"پروٹوکول" : "ٹی سی پی"
}
] }
}
Drovorub کا ایک اور جزو ایجنٹ ہے؛ اس کی کنفیگریشن فائل میں سرور سے منسلک ہونے کی معلومات ہوتی ہیں:
{
"client_login" : "user123",
"کلائنٹ_پاس" : "pass4567"
"کلائنٹ" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" :"عوامی_کلید"،
"server_host" : "192.168.57.100"،
"server_port" :"45122″،
"server_uri" :"/ws"
}
"clientid" اور "clientkey_base64" فیلڈز ابتدائی طور پر غائب ہیں؛ انہیں سرور پر ابتدائی رجسٹریشن کے بعد شامل کیا جاتا ہے۔
تنصیب کے بعد، مندرجہ ذیل آپریشن کئے جاتے ہیں:
- کرنل ماڈیول بھرا ہوا ہے، جو سسٹم کالز کے لیے ہکس رجسٹر کرتا ہے۔
- کلائنٹ کرنل ماڈیول کے ساتھ رجسٹر کرتا ہے۔
- کرنل ماڈیول چلنے والے کلائنٹ کے عمل اور اس کی قابل عمل فائل کو ڈسک پر چھپاتا ہے۔
ایک pseudo-device، مثال کے طور پر /dev/zero، کلائنٹ اور کرنل ماڈیول کے درمیان بات چیت کرنے کے لیے استعمال کیا جاتا ہے۔ کرنل ماڈیول ڈیوائس پر لکھے گئے تمام ڈیٹا کو پارس کرتا ہے، اور مخالف سمت میں ٹرانسمیشن کے لیے یہ کلائنٹ کو SIGUSR1 سگنل بھیجتا ہے، جس کے بعد وہ اسی ڈیوائس سے ڈیٹا پڑھتا ہے۔
Lumberjack کا پتہ لگانے کے لیے، آپ NIDS کا استعمال کرتے ہوئے نیٹ ورک ٹریفک کا تجزیہ استعمال کر سکتے ہیں (متاثرہ نظام میں بدنیتی پر مبنی نیٹ ورک کی سرگرمی کا خود پتہ نہیں لگایا جا سکتا، کیونکہ کرنل ماڈیول نیٹ فلٹر کے اصولوں، اور پیکٹوں کو چھپاتا ہے جنہیں وہ استعمال کرتا ہے، نیٹ فلٹر کے قواعد، اور ایسے پیکٹ جنہیں خام ساکٹ کے ذریعے روکا جا سکتا ہے) . سسٹم پر جہاں Drovorub انسٹال ہے، آپ کرنل ماڈیول کو فائل کو چھپانے کے لیے کمانڈ بھیج کر اس کا پتہ لگا سکتے ہیں:
ٹچ ٹیسٹ فائل
بازگشت "ASDFZXCV:hf:testfile"> /dev/zero
ls
بنائی گئی "ٹیسٹ فائل" فائل پوشیدہ ہو جاتی ہے۔
پتہ لگانے کے دیگر طریقوں میں میموری اور ڈسک کے مواد کا تجزیہ شامل ہے۔ انفیکشن کو روکنے کے لیے، لینکس کرنل ورژن 3.7 سے دستیاب کرنل اور ماڈیولز کی لازمی دستخطی تصدیق استعمال کرنے کی سفارش کی جاتی ہے۔
رپورٹ میں ڈرووروب کے نیٹ ورک کی سرگرمی کا پتہ لگانے کے لیے Snort کے اصول اور اس کے اجزاء کا پتہ لگانے کے لیے یارا کے قوانین شامل ہیں۔
یاد رہے کہ 85 واں جی ٹی ایس ایس ایس جی آر یو (فوجی یونٹ 26165) اس گروپ سے وابستہ ہے۔ متعدد سائبر حملوں کا ذمہ دار ہے۔
ماخذ: opennet.ru