Комплекс вредоносного ПО "Дроворуб" заражает ОС Linux
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Агентство национальной безопасности и Федеральное бюро расследований США опубликовали отчёт, согласно которому 85-м главным центром специальной службы ГУ ГШ ВС РФ (85 ГЦСС ГРУ) используется комплекс вредоносного ПО под названием «Дроворуб». В состав «Дроворуба» входят руткит в виде модуля ядра Linux, инструмент для пересылки файлов и перенаправления сетевых портов и управляющий сервер. Клиентская часть может скачивать и выгружать файлы, выполнять произвольные команды от имени пользователя root и перенаправлять сетевые порты на другие узлы сети.
Управляющий центр «Дроворуба» аргументом командной строки получает путь к конфигурационному файлу в формате JSON:
{
"db_host" : "<DB_IP_ADDR>",
"db_port" : "<DB_PORT>",
"db_db" : "<DB_NAME>",
"db_user" : "<DB_USER>",
"db_password" : "<DB_PASS>",
"lport" : "<LPORT>",
"lhost" : "<LHOST>",
"ping_sec" : "<SEC>",
"priv_key_file" : "<PRIVATE_KEY_FILE>",
"phrase" : "<PHRASE>"
}
В качестве бекенда используется СУБД MySQL. Для подключения клиентов используется протокол WebSocket.
Клиент имеет встроенную конфигурацию, в том числе URL сервера, его публичный ключ RSA, имя пользователя и пароль. После установки руткита конфигурация сохраняется в виде текстового файла в формате JSON, который скрывается от системы модулем ядра «Дроворуба»:
{
"id" : "cbcf6abc-466b-11e9-853b-000c29cb9f6f",
"key": "Y2xpZW50a2V5"
}
Здесь "id" — уникальный идентификатор, выданный сервером, в котором последние 48 бит соответствуют MAC-адресу сетевого интерфейса сервера. Параметр "key" по умолчанию — закодированная в формате base64 строка "clientkey", которая используется сервером при первичном рукопожатии. Кроме этого, конфигурационный файл может содержать информацию о скрываемых файлах, модулях и сетевых портах:
{
"id" : "6fa41616-aff1-11ea-acd5-000c29283bbc",
"key": "Y2xpZW50a2V5",
"monitor" : {
"file" : [
{
"active" : "true",
"id" : "d9dc492b-5a32-8e5f-0724-845aa13fff98",
"mask" : "testfile1"
}
],
"module" : [
{
"active" : "true",
"id" : "48a5e9d0-74c7-cc17-2966-0ea17a1d997a",
"mask" : "testmodule1"
}
],
"net" : [
{
"active" : "true",
"id" : "4f355d5d-9753-76c7-161e-7ef051654a2b",
"port" : "12345",
"protocol" : "tcp"
}
]
}
}
Ещё один компонент «Дроворуба» — агент, его конфигурационный файл содержит информацию для подключения к серверу:
{
"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
"clientkey_base64" : "Y2xpZW50a2V5",
"pub_key_file" :"public_key",
"server_host" : "192.168.57.100",
"server_port" :"45122",
"server_uri" :"/ws"
}
Поля "clientid" и "clientkey_base64" изначально отсутствуют, они добавляются после первичной регистрации на сервере.
После установки выполняются следующие операции:
- загружается модуль ядра, который регистрирует хуки для системных вызовов;
- клиент выполняет регистрацию в модуле ядра;
- модуль ядра скрывает работающий процесс клиента и его исполняемый файл на диске.
Для взаимодействия клиента с модулем ядра используется псевдостройство, например /dev/zero. Модуль ядра выполняет разбор всех записываемых в устройство данных, а для передачи в обратном направлении посылает клиенту сигнал SIGUSR1, после чего тот считывает данные из этого же устройства.
Для обнаружения «Дроворуба» можно использовать анализ сетевого трафика средствами NIDS (вредоносную сетевую активность в самой заражённой системе выявить не удаётся, так как модуль ядра скрывает используемые им сетевые сокеты, правила netfilter и пакеты, которые могли бы перехватиться raw-сокетами). В системе, где установлен «Дроворуб», можно обнаружить модуль ядра, отправив ему команду сокрытия файла:
touch testfile
echo “ASDFZXCV:hf:testfile” > /dev/zero
ls
Созданный файл "testfile" при этом становится невидимым.
Другие методы обнаружения включают анализ памяти и содержимого диска. Для предотвращения заражения рекомендуется использовать обязательную проверку подписи ядра и модулей, доступную начиная с версии ядра linux 3.7.
В отчёте содержатся правила Snort для обнаружения сетевой активности «Дроворуба» и правила Yara для детектирования его компонентов.
Напомним, что 85 ГЦСС ГРУ (в/ч 26165) ассоциируется с группой APT28 (Fancy Bear), ответственной за многочисленные кибератаки.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.bleepingcomputer.c...)
- OpenNews: В Perl-пакете Module-AutoLoad выявлен вредоносный код
- OpenNews: Mozilla приостановила работу сервиса Firefox Send из-за вредоносной активности
- OpenNews: Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
- OpenNews: В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки
- OpenNews: В репозитории NPM выявлен вредоносный пакет bb-builder. Выпуск NPM 6.11
Похожие новости:
- Chrome-дополнение с миллионной аудиторией уличено в подстановке рекламы в результаты поиска Google
- В Perl-пакете Module-AutoLoad выявлен вредоносный код
- [IT-компании] Яндекс принудительно устанавливает неудаляемый «Яндекс.Телемост» в другие свои программы на компьютере пользователя
- [Антивирусная защита, Информационная безопасность, Реверс-инжиниринг] RATKing: новая кампания с троянами удаленного доступа
- Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
- Волна взломов суперкомпьютеров для майнинга криптовалюты
- В RubyGems выявлено 724 вредоносных пакета
- Разработчики Dark Reader предупредили о появлении вредоносных подделок
- [Информационная безопасность, Google Chrome, Браузеры] Создатели вредоносного ПО научились обходить улучшенное шифрование паролей в Chrome 80
- Ростелеком начал подстановку своей рекламы в трафик абонентов
Теги для поиска: #_malware
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 05:11
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Агентство национальной безопасности и Федеральное бюро расследований США опубликовали отчёт, согласно которому 85-м главным центром специальной службы ГУ ГШ ВС РФ (85 ГЦСС ГРУ) используется комплекс вредоносного ПО под названием «Дроворуб». В состав «Дроворуба» входят руткит в виде модуля ядра Linux, инструмент для пересылки файлов и перенаправления сетевых портов и управляющий сервер. Клиентская часть может скачивать и выгружать файлы, выполнять произвольные команды от имени пользователя root и перенаправлять сетевые порты на другие узлы сети. Управляющий центр «Дроворуба» аргументом командной строки получает путь к конфигурационному файлу в формате JSON: {
"db_host" : "<DB_IP_ADDR>", "db_port" : "<DB_PORT>", "db_db" : "<DB_NAME>", "db_user" : "<DB_USER>", "db_password" : "<DB_PASS>", "lport" : "<LPORT>", "lhost" : "<LHOST>", "ping_sec" : "<SEC>", "priv_key_file" : "<PRIVATE_KEY_FILE>", "phrase" : "<PHRASE>" } Клиент имеет встроенную конфигурацию, в том числе URL сервера, его публичный ключ RSA, имя пользователя и пароль. После установки руткита конфигурация сохраняется в виде текстового файла в формате JSON, который скрывается от системы модулем ядра «Дроворуба»: {
"id" : "cbcf6abc-466b-11e9-853b-000c29cb9f6f", "key": "Y2xpZW50a2V5" } {
"id" : "6fa41616-aff1-11ea-acd5-000c29283bbc", "key": "Y2xpZW50a2V5", "monitor" : { "file" : [ { "active" : "true", "id" : "d9dc492b-5a32-8e5f-0724-845aa13fff98", "mask" : "testfile1" } ], "module" : [ { "active" : "true", "id" : "48a5e9d0-74c7-cc17-2966-0ea17a1d997a", "mask" : "testmodule1" } ], "net" : [ { "active" : "true", "id" : "4f355d5d-9753-76c7-161e-7ef051654a2b", "port" : "12345", "protocol" : "tcp" } ] } } {
"client_login" : "user123", "client_pass" : "pass4567", "clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71", "clientkey_base64" : "Y2xpZW50a2V5", "pub_key_file" :"public_key", "server_host" : "192.168.57.100", "server_port" :"45122", "server_uri" :"/ws" } После установки выполняются следующие операции:
Для обнаружения «Дроворуба» можно использовать анализ сетевого трафика средствами NIDS (вредоносную сетевую активность в самой заражённой системе выявить не удаётся, так как модуль ядра скрывает используемые им сетевые сокеты, правила netfilter и пакеты, которые могли бы перехватиться raw-сокетами). В системе, где установлен «Дроворуб», можно обнаружить модуль ядра, отправив ему команду сокрытия файла: touch testfile
echo “ASDFZXCV:hf:testfile” > /dev/zero ls Другие методы обнаружения включают анализ памяти и содержимого диска. Для предотвращения заражения рекомендуется использовать обязательную проверку подписи ядра и модулей, доступную начиная с версии ядра linux 3.7. В отчёте содержатся правила Snort для обнаружения сетевой активности «Дроворуба» и правила Yara для детектирования его компонентов. Напомним, что 85 ГЦСС ГРУ (в/ч 26165) ассоциируется с группой APT28 (Fancy Bear), ответственной за многочисленные кибератаки. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 05:11
Часовой пояс: UTC + 5