Szkodliwy program Flame - analiza

Przeczytaj także: Nowy szkodliwy program Gauss

Na dzień dzisiejszy nie zaobserwowaliśmy żadnych oznak 0-day; jednak, robak jest znany z zainfekowania przez sieć w pełni zaktualizowanych systemów operacyjnych Windows 7, co może wskazywać na obecność 0-day.

Czy szkodnik jest zdolny do samopowielania jak Stuxnet? Czy może rozprzestrzenia się w bardziej kontrolowany sposób jak Duqu?

Część replikacyjna jest kontrolowana przez operatora, tak jak to miało miejsce w przypadku Duqu. Replikacja jest również nadzorowana z poziomu pliku konfiguracyjnego bota. Większość procedur infekcji posiada liczniki wykonanych ataków, które ograniczają liczbę ataków możliwych do wykonania.

Dlaczego program zawiera kilka megabajtów kodu? Jaka funkcjonalność Flame'a sprawia, że jest on większy od Stuxneta? Jak to się stało, że taki duży plik nie był wykrywany?

Główną przyczyną tego, że szkodnik nie był wykrywany przez długi czas jest właśnie jego duży rozmiar. Ogólnie rzecz ujmując, dzisiejsze szkodliwe oprogramowanie posiada niewielkie rozmiary i jest ukierunkowane. Łatwiej jest ukryć mały plik niż duży moduł. Dodatkowo, pobranie 100 kilobajtów przez niepewną sieć ma dużo większą szansę powodzenia niż pobranie 6 MB.

Moduły Flame’a "ważą" około 20 MB. Wiele z nich to biblioteki przeznaczone do obsługi ruchu SSL, połączeń SSH, podsłuchiwania, ataku, przechwytywania komunikacji itp. Należy zwrócić uwagę na to, że analiza 500 kilobajtów kodu Stuxneta zajęła nam kilka miesięcy. Pełne zrozumienie 20 MB kodu Flame'a zajmie pewnie około roku.

Czy Flame posiada wbudowany licznik samounicestwienia ("Time-of-Death"), taki jaki posiadał Duqu czy Stuxnet?

Flame posiada wiele wbudowanych liczników. Monitorują one pomyślne połączenia z centrami kontroli, częstotliwość poszczególnych operacji kradzieży danych, liczbę udanych ataków itd. Chociaż w oprogramowaniu nie ma licznika samounicestwienia, operatorzy mają możliwość przesłania specjalnego modułu usuwającego Flame'a (zwanego “browse32”), który kompletnie odinstaluje szkodnika z systemu, usuwając nawet najdrobniejsze ślady jego obecności.

Co z plikami JPEG i zrzutami ekranu? Czy je też kradnie?

Szkodnik ma możliwość regularnego wykonywania zrzutów ekranu; co więcej, zdejmuje zrzuty ekranu kiedy uruchomione są “interesujące” aplikacje, np. komunikatory internetowe. Zrzuty ekranu zapisywane są w formacie skompresowanym i regularnie wysyłane do serwera kontroli - podobnie jak nagrania audio.

Komponent odpowiedzialny za wykonywanie zrzutów ekranu jest wciąż analizowany. Więcej informacji podamy, kiedy tylko będą one dostępne.

Zgodnie z analizą, szkodliwe oprogramowanie Flame jest tym samym zagrożeniem, które badane jest pod nazwą “SkyWiper” przez laboratorium CrySyS Lab oraz grupę pod nazwą "Flamer" Iran Maher CERT.

Aleksander Gostiew,