A Flame nevű kártevő első ránézésre besorolható a valaha talált legkifinomultabb, legbonyolultabb kártevők közé. Nem használ elterelő technikát, hogy elrejtse a kódját, továbbá nem mutat semmilyen új kártevői viselkedésformát.
A kártevő egyik jellemzője a nagy fájlméret és hogy komplexitása miatt sokféle lehetőséget rejt magában. Továbbá nem egyszerű meghatározni, hogy hány számítógép fertőződött vagy fertőződik meg általa, mert a Flame rendkívül hatékonyan törli magát a megfertőzött gépről.
A kártevő analizálása után a CrySyS Lab (Budapesti Műszaki és Gazadaságtudományi Egyetem) és a Kaspersky Labs ténymegállapításai közül a G Data szakemberei az alábbiakban összefoglaltakat erősítették meg.
A már korábban is az eddigi „legkifinomultabb/legösszetettebb”-ként emlegetett kártevőt a következő adottságok teszik képessé sokféle művelet végrehajtására:
- Sokrétű moduláris támadó eszköztárral rendelkezik, hogy végrehajthassa kártékony szándékait:
- Készít egy „mscrypt.dat” nevű fájlt a c:\program files\common files\microsoft shared\mssecuritymgr\ könyvtárban. Ez egy titkosított fájl, amely tartalmazza a kódot, az adatokat és néhány a támadásokhoz használt konfigurációs paramétert. A CrySyS szerint a fájl titkosítása feloldható egy speciálisan DAT fájlokhoz készített táblázat segítségével, amely integrálva van a kártevő kódjába is.
- A majdnem 6 MB-os fájl mérete miatt a fő fájlt, a „mssecmgr.ocx”-t nagyon nehéz felfedezni.
- Olyan jellegzetességei vannak, mint „hátsó ajtó” (backdoor), trójai és féreg tulajdonságok, de különösen az adatlopás segíti a céljai elérésében (a támadó által kibocsátott parancsokkal történik meg).
- A saját kódját beinjektálva a rendszerfájlokba, képes életben maradni a fertőzött gépben (mint explorer.exe (shell32.dll), services.exe, winlogon.exe):
- Képes elkerülni bizonyos antivírustermékeket, amelyek installálva vannak a fertőzött gépen:
- A kártevő különböző stratégiákat használ arra, hogy folyamatosan a megfertőzött rendszerben maradjon. Ezek közül az egyik, hogy manipulálja a Windows biztonsági beállításait úgy, hogy LSA azonosító csomagként (Local Security Authority Authentication Package) hozzáadja magát a rendszerhez.
- Ellenőrzi az internetkapcsolatot a Windows update funkció segítségével, mielőtt nekilátna a végrehajtásnak.
- A „hátsó ajtó” funkcióval képes szenzitív információ gyűjtésére a C&C kommunikációs technikát (HTTP protokoll az SSL/SSH csatornán keresztül) használva, hogy küldjön és fogadjon parancsokat számos szervertől a világ minden pontján, és hogy megszerezze a következő információkat:
- Információt gyűjt a fertőzött számítógépről.
- Képes megszerezni a meghajtó könyvtár információit.
- Képes információt gyűjteni a rendelkezésre álló dokumentumokról.
- Képes felvételt készíteni a képernyőről, hangot is tud rögzíteni a mikrofon manipulálásával (így titokban fel tudja venni a környezeti hangokat, akár egy szigorúan bizalmas beszélgetést is).
- Tudja használni a Bluetooth funkciókat, hogy ellenőrizze, mely eszköz van bekapcsolt állapotban a fertőzött gép körül.
- Listát készít a fájlnevekről bizonyos könyvtárakban.
- Alapvetően bármit meg tud tenni, amit a támadó akar, mert már megszerezte az összes engedélyt a fertőzött gépben.
- A kártevőnek megvan a saját adatbázis-funkciója, hogy elmentsen minden begyűjtött információt.
- Kapacitással rendelkezik ahhoz, hogy végrehajtson SQLite parancsokat, és hogy beágyazzon Lua szkripteket az adatbázis eléréséhez. Ennek a technikának a használata meglehetősen gyakori más toolkiteknél is. A szkripteléssel a támadók könnyedén beágyazhatnak rosszindulatú utasításokat:
- Képes „elfogni” a hálózati forgalmat.
- Helyi hálózatban a printer „sérülékenységét” (pl. CVE-2010-2729) kihasználva, távoli munkahelyeken és hordozható tárolóeszközökön (pen drive-ok, mobil HDD-k stb.) keresztül képes terjedni.
A fő fájl, az mssecmgr.ocx beágyazott hibakeresési információi könnyebbé teszik az elemzését, mivel nem használ semmilyen elterelést vagy csomagolást, hogy elrejtse a kártékony kódot, azonban a Flame túl nagy ahhoz, hogy rövid idő alatt teljes információt lehessen belőle nyerni.
Mivel a kártevő elsődleges célja az információlopás számtalan módon, a kutatóknak azt kell azonosítani, hogy a begyűjtött és tárolt információ hova lett elküldve.
Ki áll a támadás mögött? Mik a valódi szándékai, miféle bizalmas információt akar gyűjteni és mi célból? Vajon azért alkották ezt a kártevőt, hogy kormányzati intézményekben vagy az ipar kulcsfontosságú szereplői után kémkedjen? Az analizált kártevő alkalmas arra, hogy kiberfegyverként használják egy bizonyos szervezet ellen, célzott támadás végrehajtásával. A legvalószínűbbnek az tűnik, hogy kiválasztott számítógépek, szervezetek, különösen kormányzati szervezetek megtámadására hozták létre.
A következő időszak izgalmas kérdése lesz, vajon a támadók abbahagyják a munkát a Flame-en, vagy továbbfejlesztik a kártevőt a megújult detektálási módszerek ellen? A fejleményekre még visszatérünk!
A G Data nemzetközi blogbejegyzése az esetről itt található.