eGospodarka.pl

eGospodarka.plWiadomościTechnologieInternet › Szkodliwy program Flame - analiza

Szkodliwy program Flame - analiza

2012-05-31 13:45

Szkodliwy program Flame - analiza

Robak Flame © fot. mat. prasowe

PRZEJDŹ DO GALERII ZDJĘĆ (4)

Kaspersky Lab informuje o odkryciu wysoce wyrafinowanego szkodliwego programu, który jest aktywnie wykorzystywany jako cyberbroń atakująca podmioty w kilku państwach. Pod względem złożoności i funkcjonalności nowo wykryty szkodliwy program przewyższa wszystkie inne znane do tej pory zagrożenia cybernetyczne.

Przeczytaj także: Nowy szkodliwy program Gauss

Szkodliwe programy Duqu i Stuxnet pokazały niedawno na Bliskim Wschodzie, jak może wyglądać nowe oblicze cyberwojny. W tej chwili odkryliśmy jednak coś, co stanowi chyba najbardziej wyrafinowaną cyberbroń, jaka została wynaleziona do tej pory. Szpiegowski robak, ‘Flame’, przykuł uwagę naszych ekspertów po tym, jak jedna z agencji Organizacji Narodów Zjednoczonych, Międzynarodowy Związek Telekomunikacyjny (ITU), zwróciła się do nas o pomoc w poszukiwaniu nieznanego kodu szkodliwego oprogramowania, które na Bliskim Wschodzie zostało użyte do niszczenia poufnych informacji. Podczas poszukiwania kodu tego szkodnika, któremu nadaliśmy kryptonim Wiper, wykryliśmy nowy egzemplarz szkodliwego oprogramowania - Worm.Win32.Flame.

Chociaż cechy robaka Flame różnią się w wielu punktach od znanych do tej pory zaawansowanych zagrożeń - Duqu i Stuxneta - to geografia ataków i wykorzystanie określonych luk w zabezpieczeniach oprogramowania oraz fakt, że atakowane są tylko wybrane komputery – wszystko to świadczy o tym, że Flame należy do tej samej kategorii cyberbroni’ stosowanych obecnie na Bliskim Wschodzie przez nieznanych sprawców. Flame spokojnie może zostać nazwany jednym z najbardziej złożonych zagrożeń, jakie kiedykolwiek zostało odkryte. Robak jest duży i niezwykle wyrafinowany. Flame to definicja wojny cybernetycznej i synonim cyberszpiegostwa.

Pytania ogólne


Czym dokładnie jest Flame? Robakiem? Backdoorem? Jak działa?

Flame jest zaawansowanym zestawem narzędzi ataku, dużo bardziej skomplikowanym niż Duqu. Jest backdoorem i trojanem. Posiada cechy robaka, pozwalające mu na replikację w sieci lokalnej oraz na nośnikach wymiennych, jeżeli taka będzie wola jego operatora.

Początkowy punkt wniknięcia Flame'a pozostaje nieznany - podejrzewamy, że jest wdrażany poprzez ataki ukierunkowane; jednak, nie zaobserwowaliśmy głównego wektora jego rozprzestrzeniania. Mamy pewne podejrzenia co do możliwości wykorzystania luki MS10-033, ale nie możemy tego jeszcze potwierdzić.

Po zainfekowaniu systemu, Flame rozpoczyna wiele złożonych operacji, w skład których wchodzi: podsłuchiwanie ruchu sieciowego, wykonywanie zrzutów ekranu, nagrywanie rozmów audio, przechwytywanie znaków wprowadzanych z klawiatury itp. Wszystkie te dane są dostępne dla operatorów poprzez link do serwerów kontroli Flame’a.

W późniejszym czasie operatorzy mogą zadecydować o załadowaniu dodatkowych modułów, które rozszerzą funkcjonalność Flame’a. W sumie jest ponad 20 modułów. Przeznaczenie większości z nich jest wciąż badane.

Jak zaawansowany jest Flame?

Przede wszystkim Flame jest ogromnym pakietem modułów, obejmującym po pełnej instalacji prawie 20 MB danych. Za względu na rozmiar szkodnik jest niezmiernie trudny do analizy. Powodem sporego rozmiaru Flame'a jest to, że zawiera on wiele różnych bibliotek (służących np. do kompresji (zlib, libbz2, ppmd) i manipulacji bazą danych (sqlite3)) wraz z maszyną wirtualną LUA.

LUA jest językiem skryptowym, który może zostać bardzo łatwo rozszerzony i podłączony do kodu C. Wiele części Flame'a posiada składnię logiczną wysokiego poziomu napisaną w LUA - wraz ze skutecznymi procedurami ataku i bibliotekami opracowanymi na bazie C++.

Efektywny kod LUA stanowi raczej małą część w porównaniu z całością kodu. W naszej ocenie rozwój kodu LUA (ponad 3000 linii), czyli stworzenie kodu i debugowanie, średnio zaawansowanemu deweloperowi zająłby około miesiąca.

fot. mat. prasowe

Robak Flame

Robak Flame - kody


Dodatkowo, istnieje kilka wewnętrznie używanych, lokalnych baz danych z zagnieżdżonymi zapytaniami SQL, wiele metod szyfrowania, różne algorytmy kompresji, oskryptowana instrumentacja zarządzania Windows (WMI) itp.

Uruchamianie i debugowanie tego złośliwego oprogramowania również nie jest proste, ponieważ nie jest to konwencjonalna aplikacja wykonywalna, ale kilka plików DLL, które są ładowane przy uruchomieniu systemu.

Ogólnie możemy powiedzieć, że Flame jest jednym z najbardziej złożonych cyberzagrożeń, jakie kiedykolwiek zostały wykryte.
Przeczytaj także: Robak Stuxnet powraca Robak Stuxnet powraca

 

1 2 ... 6

następna

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: