Symantec: W32.Flamer по сложности превосходит Stuxnet и Duqu

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 30 май 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.594
    Корпорация Symantec сообщила о появлении новой угрозы — компьютерного червя W32.Flamer.

    Используя ряд уязвимостей различных версий ОС Microsoft Windows, он проникает на компьютеры с целью хищения информации, применяя для этого самые современные технологии перехвата и съёма данных.

    «Статистика географического расположения инфицированных систем позволяет предположить, что его первичная нацеленность — это страны Ближнего Востока, в особенности Иран, а также Ливия, Палестина и Венгрия, — говорится в сообщении Symantec. — Немного позже он также был обнаружен в Австрии, Гонконге, ОАЭ и России».

    Целью для атак являются как компании, так и частные пользователи, вне зависимости от видов их профессиональной деятельности. Пока не ясно, какой промышленный сектор наиболее интересен злоумышленникам, и какова принадлежность атакуемых лиц. Однако имеющиеся свидетельства показывают, что есть вероятность того, что не все жертвы атакуются по одним и тем же причинам. Похоже, что многие цели интересны злоумышленникам в связи с их индивидуальной личной деятельностью без привязки к их месту работы либо бизнесу, полагают в Symantec.

    По словам специалистов компании, W32.Flamer представляет собой высокоинтеллектуальную разработку, в которой сочетаются бэкдор-технологии для проникновения в компьютерные системы, троянские технологии кражи информации и функционал червей для самораспространения в сетевых средах и через сменные носители. Из уникальных технологий специалисты Symantec отмечают перехват речевой информации через встроенный микрофон (и её пересылку в зашифрованном виде) и использование Bluetooth-интерфейсов для взаимодействия с близкорасположенными компьютерами. В то же время, W32.Flamer способен отключить установленные продукты информационной безопасности, уничтожить компьютерные файлы, сделать снимки экрана, похитить информацию из документов различного типа, цифровые снимки (в том числе с данными GPS), презентации, проектные и технические схемы.

    По данным Symantec, общий размер кода всех модулей достигает 20 МБ, что в 20 раз превосходит по размеру Stuxnet. По мнению специалистов компании, как и две предыдущие угрозы — Stuxnet и Duqu — столь серьёзная разработка могла быть выполнена лишь чётко координируемой и хорошо финансируемой командой экспертов. Его код содержит многочисленные ссылки на строку “FLAME” (англ. — «Пламя»), которые могут идентифицировать и атакующие участки кода, и принадлежность проекту с таким названием.

    Между тем, установить дату создания W32.Flamer пока не представляется возможным — различные модули имеют различные даты создания. Однако есть основания полагать, что компьютерный червь ведёт своё скрытное существование в течение не менее двух лет, сообщили в Symantec.

    Источник
     
    4 пользователям это понравилось.
  2. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Эксперты ожидают появления новых видов вредоносного кода Flame

    Старший специалист по информационной безопасности "Лаборатории Касперского" Александр Гостев говорит, что несмотря на заявления Ирана о выпуске лечащей утилиты для опасного троянца Flame, пока еще слишком рано говорить о полной нейтрализации этого кода. Гостев говорит, что хотя текущая версия Flame, судя по всему, действительно была остановлена, с высокой долей вероятности можно говорить о появлении новых версий данного вредоноса.

    "Flame имеет модульную структуру. Это означает, что после того, как целевая машина была заражена, операторы могут устанавливать дополнительные модули. Пока мы обнаружили 20 разных модулей, но скорее всего на этом список не исчерпывается", - говорит он. "Думаю, что люди, стоящие за Flame могут провести целый год за разработкой новых модулей. Это очень большая операция с десятками вовлеченных людей, работа на том же уровне, что и Stuxnet".

    Согласно данным российской антивирусной компании, на сегодня больше всего случаев заражения Flame зафиксировано в Иране - 189 систем, далее с 98 системами идут Израиль и Палестина. Сегодня власти Ирана сообщили, что им удалось создать лечащую утилиту для Flame. "Иран создал собственный дезинфектор, я впечатлен скоростью их работы", - говорит Гостев.

    По его словам, пока еще слишком рано говорить о том, кто именно может стоять за созданием Flame, так как сейчас еще нет достаточного объема данных о коде. Изначальные подозрения пресса возложила на Израиль, однако в "Лаборатории Касперкого" говорят, что если эти доводы базируются лишь на ряде первичных IP-адресов, то они не являются достаточным доказательством. "В некоторых случаях, IP-адреса имеют неочевидное использование и конкретные цели Flame для нас пока остаются неясными", - заявил эксперт. "По умолчанию Flame может делать снимки экранов, красть информацию, графику и видео на зараженных машинах, но операторы могут оснащать его дополнительным функционалом, таким как аудиошпионаж".


    источник

    Добавлено через 8 минут 40 секунд
    [​IMG]

    Специалисты McAfee и «Лаборатории Касперского» провели предварительный анализ основного модуля шпионской программы Flame, которая уже удостоилась звания самой сложной в истории. Напомним, что эта программа содержит около 20 мегабайт исходного кода в большом количестве специализированных модулей. При первоначальной инсталляции на компьютер устанавливается только шесть компонентов размером 6 МБ, в том числе базовый модуль mssecmgr.ocx.

    Анализ McAfee даёт понять, с проблемой какой сложности столкнулись сейчас вирусные аналитики. После декомпиляции базовый модуль содержит около 650 000 строк обфусцированного кода на языке программирования C, при этом имеются индикаторы, что декомпиляция не даёт точного результата, и на самом деле размер программы составляет около 750 000 строк кода. И это всего лишь один из многочисленных модулей. Его сложность показана на диаграмме взаимосвязей внутри программы, которая опубликована вверху (кликабельна).

    Модуль содержит 4400+ вызовов к строкам деобфускатора. Высокий уровень обфускации используется, чтобы усложнить анализ программы и снизить риск повторного использования кода третьими лицами.

    Внутри основного модуля находится код всех необходимых библиотек: SSH, ZLib, веб-сервер и т.д. Обнаружено более двух десятков криптографических функций Blowfish, MD5/MD4 и др.

    Flame оснащён продвинутыми функциями для шпионажа: парсинг файловой системы, парсинг ZIP-файлов, разбор многочисленных форматов файлов, в том числе PDF, Word, Excel и др., продвинутый способ для скрытной отправки собранной информации на удалённый сервер: это делается путём запуска дополнительных сущностей Internet Explorer, в которые внедряется код, так что запуск IE не вызывает подозрений у антивируса и файрвола.

    Ещё одна интересная деталь — подробное исследование мобильных устройств, которым занимается модуль Beetlejuice. Он ищет Bluetooth-устройства и скачивает оттуда список контактов, в том числе список контактов в социальных сетях. То же самое делается на локальном компьютере.

    Вот список некоторых модулей и функций Flame.

    AUTORUN_INFECTOR – занимается инфицированием через AutoRun
    BOOST – создаёт список «интересных» файлов после анализа файловой системы, по заданной маске
    WEASEL – создаёт список директорий на компьютере
    JIMMY – поддержка парсинга файлов
    TELEMETRY – связь с управляющим сервером
    SUICIDE – процедура самоуничтожения
    EUPHORIA – различные эксплойты
    BEETLEJUICE – интерфейс и управление устройствами Bluetooth
    BUNNY – пока непонятно
    DBQUERY – пока непонятно
    GADGET – пока непонятно
    PLATYPUS – пока непонятно
    CLAN – модуль Lua, возможно, связанный с эксплойтами удаленных целей
    CRUISE – разбор доменов NT
    DRILLER – пока непонятно
    AUDITION – прекращение процессов, работа с антивирусами
    SECURITY – идентификация программ, которые могут помешать работе Flame (антивирусы, файрволы)
    GATOR – коммуникации с управляющим сервером
    LIMBO – создаёт бэкдор-аккаунты на других машинах в домене с именем пользователя HelpAssistant
    FROG – модуль заражения других компьютеров с использованием аккаунта HelpAssistant
    MICROBE – запись аудио
    SNACK – прослушивает сетевые интерфейсы, сохраняет пакеты NBNS в лог
    MUNCH – HTTP-сервер, реагирующий на запросы “/view.php” и “/wpad.dat”
    VIPER – модуль для скриншотов
    HEADACHE – пока непонятно

    Это неполный список, который будет дополнен в будущем, по мере более подробного анализа исходных кодов. Очевидно, что анализ продолжится ещё долго и станет темой не одной конференции.
     
    5 пользователям это понравилось.

Поделиться этой страницей