«Лаборатория Касперского» проанализировала структуру управления Flame

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 6 июн 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    «Лаборатория Касперского» объявляет о результатах исследования инфраструктуры командных серверов вредоносной программы Flame, которая, по мнению экспертов, в настоящее время активно применяется в качестве кибероружия в ряде ближневосточных государств. Анализ вредоносной программы, показал, что на момент обнаружения Flame использовалась для осуществления кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов.

    Совместно с компаниями GoDaddy и OpenDNS эксперты «Лаборатории Касперского» смогли перехватить управление большинством вредоносных доменов, используемых командными серверами Flame. В результате детального анализа полученной таким образом информации, эксперты пришли к следующим выводам:

    • Командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе «Лаборатория Касперского» раскрыла существование вредоносной программы.
    • На данный момент известно более 80 доменов, задействовавшихся для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 гг.
    • За последние 4 года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.
    • Для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году.
    • Злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD.
    • Данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.
    • По предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована «Лабораторией Касперского» как одна из самых безопасных, оказалась не подвержена заражению Flame.

    Источник
     
    7 пользователям это понравилось.
  2. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.041
    Симпатии:
    4.480
    ...не переборщили с саморекламой? :D
     
  3. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    ой сомневаюсь!!
    а то!!!
     
  4. Rins
    Оффлайн

    Rins Активный пользователь

    Сообщения:
    370
    Симпатии:
    50
    По законам жанра, далее должен быть элемент трагедии и конечно же конфликт.
    С любопытством слежу за этой Флеймобарборой.
     
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Поглядите еще иностранные сайты, много интересного увидите)))
     
    1 человеку нравится это.
  6. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    "Лаборатия Касперского": Flame и Stuxnet писали одни и те же люди

    [​IMG]

    Новый вредоносный троянец Flame напрямую связан с кодом Stuxnet, атаковавшим иранские центрифуги в 2009 и 2010 годах. Оба вредоносных кода содержат практически идентичную структуру главного модуля: в главном модуле Flame содержится код, идентичный тому, что был использован в ранних версиях Stuxnet. К такому выводу пришли антивирусные аналитики "Лаборатории Касперского" после подробного анализа поведения Flame на зараженных компьютерах.

    Специалисты из "Лаборатории Касперского" обнаружили, что часть модуля Flame, отвечающая за распространение вредоноса через USB-носители использует функцию автозапуска в Windows, причем используется здесь тот же код, что был задействован в первой версии Stuxnet, атаковавшей иранские ядерные объекты в 2009 году. Тогда же мировые СМИ заявили, что Stuxnet - это продукт американской и израильской разведки.

    Модуль, известный в Stuxnet, как Resource 207, был удален из более поздних версий Stuxnet, но он был использован в качестве платформы для того, что в будущем стало вредоносным кодом Flame. Исследователи уверены, что атакующие создавали общий вредоносный код, который позже был разделен на два направления - Stuxnet и Flame. В официальном блоге "Лаборатории Касперского" говорится, что оба кода применяют похожие методы вторжения в системы.

    Flame использует коллизию хеш-функции MD5 для подписи вредоносного файла мошенническими сертификатами, чтобы в системе жертвы создавалась иллюзия того, что код применяет сертификат Microsoft. В случае со Stuxnet, вредоносный код применял атаку, базирующуюся на поднятии системных привилегий. Оба кода применяют схожую логику проникновения в системы. Напомним, что подробный разбор кода Stuxnet был проведен еще в 2010 году.

    Stuxnet применял в феврале 2009 года уязвимость нулевого дня, которая была закрыта Microsoft лишь 9 июня 2009 года, то есть четырьмя месяцами позже, однако первая массовая атака с использованием Stuxnet была запущена 22 июня 2009 года. Метод Stuxnet позволял коду получать повышенные привилегии, если изначально код запускался не под администраторской учетной записью. Однако в версии Stuxnet от 2010 года от данного метода было решено избавиться и тогда же был внедрен метод с использованием поддельных файлов-ярлыков с расширением lnk. На тот момент это также была уязвимость нулевого дня, о которой Microsoft ничего не знала, устранив ее лишь после того, как Stuxnet ей воспользовался.

    Модуль Stuxnet, содержавший эти эксплоиты в Stuxnet, был обнаружен только сейчас, так как они были реализованы в версии вредоноса от 2009 года, а основное внимание антивирусных компаний было уделено версии от 2010, ввиду того, что она считается более интересной и широко распространенной, а кроме того авторы кода добавили к ней несколько других эксплоитов для уязвимостей нулевого дня.

    Flame был обнаружен "Лабораторией Касперского" в мае этого года. Новый код, также как и Stuxnet, был ориентирован на атаки компьютеров в ближневосточных странах, причем исследователи полагают, что очень ограниченное хождение у Flame наблюдается уже около двух лет. У данного вредоноса есть несколько плагинов, которые можно использовать для кражи документов, чтения данных систем мгновенных сообщений, перехвата Skype-коммуникаций и других функций.

    Изначально также считалось, что Flame распространяется через инфицированные USB-носители, путем создания поддельных lnk-файлов, кроме того, Flame и Stuxnet применяют одну и ту же систему уязвимости в спулерах в ОС Windows для распространения в локальных сетях. Эксперты говорят, что в принципе авторы двух кодов могли использовать одну и ту же базу данных уязвимостей для создания функционала, однако как бы то ни было, эти две команды разработчиков взаимодействовали друг с другом очень тесно. Более вероятно, что они даже обменивались исходными кодами двух вредоносов. Ну, или они просто были одной командой.

    Исследователи из российской антивирусной компании говорят, что изначально они считали Flame параллельным проектом, созданным новой командой программистов по заказу общего клиента с федеральными корнями, тогда как основным был Stuxnet и его производный код Duqu, однако сейчас специалисты с уверенностью говорят, что база у Stuxnet и Flame единая, хотя позже проекты разработки двух кодов, скорее всего, разошлись.

    В "Лаборатории Касперского" говорят, что Flame начали создавать примерно в 2008 году и уже тогда применялась достаточно зрелая платформа, тогда как работа над Stuxnet была завершена в январе-июне 2009 года. После того, как модули Flame были исключены из Stuxnet, оба набора вредносного ПО продолжили развиваться силами разных команд программистов. Так, в итоге Stuxnet стал применяться для проведения саботажа на АЭС в Иране, тогда как Flame - для кражи информации.

    Подробный технический анализ доступен по адресу http://www.securelist.com/ru/blog/207767012/Back_to_Stuxnet_propushchennoe_zveno


    источник
     
    2 пользователям это понравилось.

Поделиться этой страницей