Szkodliwy program Flame - analiza

Przeczytaj także: Nowy szkodliwy program Gauss

Co to jest Wiper i czy posiada jakieś powiązania z Flame'm? Jak bardzo jest destrukcyjny i czy operuje w tych samych krajach?

Szkodliwy program Wiper, który został zaraportowany przez kilka źródeł, pozostaje nieznany. Kiedy Flame został wykryty podczas domniemanych ataków Wipera, nie pojawiła się żadna informacja, która doprowadziłaby do powiązania Flame'a z atakami Wipera. Oczywiście, ze względu na złożoność Flame'a, w dowolnym czasie mogłaby zostać wdrożona w nim wtyczka do niszczenia danych; jednak, do tej pory nie zaobserwowaliśmy takiego działania.

Dodatkowo, systemy, które zostały poszkodowane w wyniku ataku Wipera są całkowicie nie do odzyskania - zakres szkód jest tak szeroki, że nie pozostaje absolutnie nic, co mogłoby zostać użyte do wyśledzenia ataku.

Jedynym krajem, w którym zaobserwowano działanie Wipera jest Iran. Flame został wykryty w wielu krajach regionu, nie tylko w Iranie.

Pytania na temat funkcji szkodliwego oprogramowania Flame

W jaki sposób Flame infekuje komputery i nośniki USB? Czy eksploatuje inne luki niż luka bufora wydruku, aby zapobiec wykryciu? Czy były jakiekolwiek ataki 0-Day?

Flame posiada dwa moduły przeznaczone do infekowania modułów USB nazwane “Autorun Infector” i “Euphoria”. Nie prześledziliśmy jeszcze ich działania, być może dlatego, że są wyłączone w danych konfiguracyjnych. Niemniej jednak w kodzie Flame'a istnieje możliwość infekowania nośników USB.

Infekcja realizowana jest z użyciem dwóch metod:

• Infekcja autostartu: metoda “Autorun.inf” z wczesnych wersji Stuxneta, wykorzystująca “oszustwo” “shell32.dll”. Kluczowym motywem tutaj jest to, że metoda ta była wcześniej wykorzystana w Stuxnecie i nie stwierdzono jej obecności w żadnym innym złośliwym oprogramowaniu.
• Euphoria: rozprzestrzenia się na nośnikach używając katalogu “skrzyżowanego”, który zawiera moduły szkodnika i plik LNK, który uruchamia infekcję kiedy tylko katalog zostanie otwarty. Nasze próbki zawierały nazwy plików, ale nie zawierały samego pliku LNK.

W dodatku do powyższych funkcji Flame posiada zdolność replikacji poprzez sieć lokalną. W tym celu wykorzystuje:

• Lukę bufora wydruku MS10-061 eksploatowaną przez Stuxneta - przy użyciu specjalnego pliku MOF, wykonywanego na atakowanym systemie przy pomocy WMI.
• Zdalne zadania.
• Kiedy zostanie uruchomiony przez użytkownika posiadającego prawa administracyjne kontrolera domeny, Flame jest w stanie atakować inne maszyny w sieci: szkodnik tworzy konta użytkownika ze wstępnie zdefiniowanym hasłem, których następnie używa do pozyskania możliwości skopiowania swoich modułów na atakowane komputery.