Szkodliwy program Flame - analiza

Przeczytaj także: Nowy szkodliwy program Gauss

Czym Flame różni się od innych trojanów i dlaczego jest bardziej wyrafinowany niż jakikolwiek inny backdoor? Czy robi jakieś rzeczy, które są zupełnie nowe?

Przede wszystkim nietypowe jest użycie języka LUA w szkodliwym oprogramowaniu. To samo tyczy się dużego rozmiaru tego zestawu do ataku. Ogólnie rzecz ujmując, nowoczesne szkodliwe oprogramowanie ma niewielkie rozmiary i pisane jest w kompaktowych językach programowania, które sprawiają, że taki program można łatwo ukryć. Praktyka ukrycia szkodliwych funkcji przez zastosowanie dużej ilości kodu jest jedną z osobliwości Flame'a.

Dość nietypową funkcją jest zapisywanie danych audio z wewnętrznego mikrofonu komputera. Oczywiście istnieje inne złośliwe oprogramowanie, które jest w stanie nagrywać dźwięk, ale kluczową cechą Flame’a jest jego kompletność - zdolność do kradzieży danych na wiele różnych sposobów.

Kolejną ciekawą cechą Flame'a jest możliwość korzystania z urządzeń Bluetooth. Kiedy protokół Bluetooth jest dostępny i odpowiednia opcja zostanie uaktywniona w bloku konfiguracyjnym, Flame zaczyna gromadzić informacje na temat urządzeń wykrywanych w pobliżu zainfekowanej maszyny. W zależności od konfiguracji, może również zamienić zainfekowany komputer w przynętę czyniąc go dostępnym przez Bluetooth i dostarczyć ogólne informacje na temat stanu szkodliwego oprogramowania, zakodowane w informacji o urządzeniu.

Jakie są funkcje kradzieży informacji?

Chociaż wciąż analizujemy różne moduły programu, wiemy, że Flame jest w stanie nagrywać dźwięk za pomocą mikrofonu, jeśli takowy jest obecny. Przechowuje nagrany dźwięk w formacie skompresowanym, a robi to używając ogólnie dostępnej biblioteki.

Zapisane dane są regularnie wysyłane do centrum kontroli poprzez utajniony kanał SSL. Jesteśmy nadal na etapie analizy tej procedury, więcej informacji udostępnimy wkrótce na naszej stronie internetowej.

Szkodnik ma możliwość regularnego wykonywania zrzutów ekranu; co więcej, zdejmuje zrzuty ekranu kiedy uruchomione są “interesujące” aplikacje, np. komunikatory internetowe. Zrzuty ekranu zapisywane są w formacie skompresowanym i regularnie wysyłane do serwera kontroli - podobnie jak nagrania audio.

Kiedy stworzono Flame'a?

Twórcy Flame'a specjalnie zmienili daty utworzenia plików, aby badający to oprogramowanie nie byli w stanie podać prawdziwej daty ani czasu utworzenia szkodnika. Pliki są datowane na rok 1992, 1994, 1995 itp., ale jasne jest, że te daty są fałszywe.

Uważamy, że szkielet Flame'a powstał nie wcześniej niż w roku 2010 i nadal trwa jego aktywny rozwój. Jego twórcy stale wprowadzają zmiany w różnych modułach, ale jednocześnie nadal korzystają z tej samej architektury i nazw plików. Pewna liczba modułów została albo stworzona, albo zmodyfikowana w latach 2011 - 2012.

Według naszych danych byliśmy świadkami użycia Flame'a w sierpniu 2010 roku. Co więcej, możemy być pewni, że Flame był "na wolności" już w lutym / marcu 2010 roku. Możliwe, że istniała jeszcze wcześniejsza wersja, ale nie mamy konkretnych danych żeby to potwierdzić. Jednakże, prawdopodobieństwo takiego stanu rzeczy jest bardzo wysokie.

Dlaczego ten szkodnik nazywa się Flame? Jakie jest pochodzenie jego nazwy?

Szkodliwe oprogramowanie Flame jest obszernym zestawem narzędzi ataku, składającym się z wielu modułów. Jeden z głównych modułów został nazwany Flame - jest to składnik odpowiedzialny za atakowanie i infekowanie dodatkowych maszyn.