Vírusírtó Blog

A világ legokosabb vírusa

2012.06.21. 09:37 G Data

title_flame.jpgA Flame nevű kártevő első ránézésre besorolható a valaha talált legkifinomultabb, legbonyolultabb kártevők közé. Nem használ elterelő technikát, hogy elrejtse a kódját, továbbá nem mutat semmilyen új kártevői viselkedésformát.

 

A kártevő egyik jellemzője a nagy fájlméret és hogy komplexitása miatt sokféle lehetőséget rejt magában. Továbbá nem egyszerű meghatározni, hogy hány számítógép fertőződött vagy fertőződik meg általa, mert a Flame rendkívül hatékonyan törli magát a megfertőzött gépről.
 

A kártevő analizálása után a CrySyS Lab (Budapesti Műszaki és Gazadaságtudományi Egyetem) és a Kaspersky Labs ténymegállapításai közül a G Data szakemberei az alábbiakban összefoglaltakat erősítették meg.

A már korábban is az eddigi „legkifinomultabb/legösszetettebb”-ként emlegetett kártevőt a következő adottságok teszik képessé sokféle művelet végrehajtására:

  •  Sokrétű moduláris támadó eszköztárral rendelkezik, hogy végrehajthassa kártékony szándékait:

2012.06.20_Flame_001.png

  • Készít egy „mscrypt.dat” nevű fájlt a c:\program files\common files\microsoft shared\mssecuritymgr\ könyvtárban. Ez egy titkosított fájl, amely tartalmazza a kódot, az adatokat és néhány a támadásokhoz használt konfigurációs paramétert. A CrySyS szerint a fájl titkosítása feloldható egy speciálisan DAT fájlokhoz készített táblázat segítségével, amely integrálva van a kártevő kódjába is.
  • A majdnem 6 MB-os fájl mérete miatt a fő fájlt, a „mssecmgr.ocx”-t nagyon nehéz felfedezni.
  • Olyan jellegzetességei vannak, mint „hátsó ajtó” (backdoor), trójai és féreg tulajdonságok, de különösen az adatlopás segíti a céljai elérésében (a támadó által kibocsátott parancsokkal történik meg).
  • A saját kódját beinjektálva a rendszerfájlokba, képes életben maradni a fertőzött gépben (mint explorer.exe (shell32.dll), services.exe, winlogon.exe):

 

2012.06.20_Flame_002.png

  • Képes elkerülni bizonyos antivírustermékeket, amelyek installálva vannak a fertőzött gépen:

     

    2012.06.20_Flame_003.png

  • A kártevő különböző stratégiákat használ arra, hogy folyamatosan a megfertőzött rendszerben maradjon. Ezek közül az egyik, hogy manipulálja a Windows biztonsági beállításait úgy, hogy LSA azonosító csomagként (Local Security Authority Authentication Package) hozzáadja magát a rendszerhez.
  • Ellenőrzi az internetkapcsolatot a Windows update funkció segítségével, mielőtt nekilátna a végrehajtásnak.
  • A „hátsó ajtó” funkcióval képes szenzitív információ gyűjtésére a C&C kommunikációs technikát (HTTP protokoll az SSL/SSH csatornán keresztül) használva, hogy küldjön és fogadjon parancsokat számos szervertől a világ minden pontján, és hogy megszerezze a következő információkat:

 

  • Információt gyűjt a fertőzött számítógépről.
  • Képes megszerezni a meghajtó könyvtár információit.
  • Képes információt gyűjteni a rendelkezésre álló dokumentumokról.
  • Képes felvételt készíteni a képernyőről,  hangot is tud rögzíteni a mikrofon manipulálásával (így titokban fel tudja venni a környezeti hangokat, akár egy szigorúan bizalmas beszélgetést is).
  • Tudja használni a Bluetooth funkciókat, hogy ellenőrizze,  mely eszköz van bekapcsolt állapotban a fertőzött gép körül.
  • Listát készít a fájlnevekről bizonyos könyvtárakban.
  • Alapvetően bármit meg tud tenni, amit a támadó akar, mert már megszerezte az összes engedélyt a fertőzött gépben.

 

  • A kártevőnek megvan a saját adatbázis-funkciója, hogy elmentsen minden begyűjtött információt.
  • Kapacitással rendelkezik ahhoz, hogy végrehajtson SQLite parancsokat, és hogy beágyazzon Lua szkripteket az adatbázis eléréséhez. Ennek a technikának a használata meglehetősen gyakori más toolkiteknél is. A szkripteléssel a támadók könnyedén beágyazhatnak rosszindulatú utasításokat:

 

2012.06.20_Flame_004.png

  • Képes „elfogni” a hálózati forgalmat.
  • Helyi hálózatban a printer „sérülékenységét” (pl. CVE-2010-2729) kihasználva, távoli munkahelyeken és hordozható tárolóeszközökön (pen drive-ok, mobil HDD-k stb.) keresztül képes terjedni.


A fő fájl, az mssecmgr.ocx beágyazott hibakeresési információi könnyebbé teszik az elemzését, mivel nem használ semmilyen elterelést vagy csomagolást, hogy elrejtse a kártékony kódot, azonban a Flame túl nagy ahhoz, hogy rövid idő alatt teljes információt lehessen belőle nyerni.

Mivel  a kártevő elsődleges célja az információlopás számtalan módon, a kutatóknak azt kell azonosítani, hogy a begyűjtött és tárolt információ hova lett elküldve.


Ki áll a támadás mögött? Mik a valódi szándékai, miféle bizalmas információt akar gyűjteni és mi célból? Vajon azért alkották ezt a kártevőt, hogy kormányzati intézményekben vagy az ipar  kulcsfontosságú szereplői után kémkedjen? Az analizált kártevő alkalmas arra, hogy kiberfegyverként használják egy bizonyos szervezet ellen, célzott támadás végrehajtásával. A legvalószínűbbnek az tűnik, hogy kiválasztott számítógépek, szervezetek, különösen kormányzati szervezetek megtámadására hozták létre.

A következő időszak izgalmas kérdése lesz, vajon a támadók abbahagyják a munkát a Flame-en, vagy továbbfejlesztik a kártevőt a megújult detektálási módszerek ellen? A fejleményekre még visszatérünk!

 

A G Data nemzetközi blogbejegyzése az esetről itt található.

Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Címkék: trójai Flame

Írj kommentet

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr464601110

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (35) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (20) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) Facebook (10) facebook (129) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) G Data (33) G data (3) g data (6) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) ios (1) iOS (2) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) lájk (1) like (4) Linux (1) linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) Online bankolás (1) online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) Skype (1) skype (2) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) virusirtó (1) vírusirtó (12) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) Windows (2) windows (1) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő