今年五月份發(fā)現的Flame病毒(又名Flamer、Skywiper或火焰病毒)對伊朗能源部門進行了猛烈的網絡攻擊,Flame病毒的出現引起了人們對于網絡間諜活動和網絡戰(zhàn)爭的高度關注。伊朗方面認為,Flame病毒與之前針對工業(yè)系統(tǒng)的臭名昭著的Stuxnet(震網)病毒和Duqu病毒有密切的關聯。
面對這一高危病毒,邁克菲實驗室第一時間對該病毒的相關功能和主要特性進行了深度分析和持續(xù)研究,以助力業(yè)界更好地了解這一威脅并找出應對措施。
根據邁克菲實驗室的分析,Flame病毒是一種模塊化的、可擴展和可更新的,具有廣泛隱蔽性和很強攻擊性的威脅。目前,邁克菲防病毒產品已經可以從感染的系統(tǒng)中檢測到這一威脅并進行清除。通過邁克菲的初期數據顯示,目前這一威脅還存在多種變體。
Flame病毒強大的攻擊能力
以下是邁克菲發(fā)現的Flame病毒的部分攻擊能力(實際上,Flame病毒的攻擊能力還遠不止于此):
◆掃描網絡資源
◆竊取指定信息
◆能夠偵測到100多種安全防護產品(包括反病毒軟件、反間諜軟件和防火墻等)
◆進行屏幕截圖
◆記錄語音通話
◆利用 PE 加密資源
◆像 Stuxnet 和 Duqu 一樣把自己隱藏為名為 ~ 的臨時文件
◆使用已知漏洞,如被Stuxnet利用的Print Spooler 和 lnk漏洞
◆通過 USB 閃存和局域網攻擊新系統(tǒng)(緩慢傳播)
◆使用 SQLite 數據庫存儲收集到的信息
◆使用自定義數據庫來構建攻擊模塊(這很罕見,但顯示了這一惡意軟件的模塊化構造和可擴展性)
◆運行于Windows XP、Windows Vista 和 Windows 7 系統(tǒng)
◆隨 Winlogon.exe 一起加載并注入IE和服務項中
◆復雜的內部功能能夠調用Windows APC、操控線程啟動并對關鍵進程進行代碼注入
◆往往位于臨近的系統(tǒng)上并通過局域網進行總控和發(fā)起目標注入攻擊
◆通過 SSH 和 HTTPS 協(xié)議與總控服務器通信
◆同時使用內核模式和用戶模式邏輯
總體而言,Flame病毒在一些工作原理上與 Stuxnet 和 Duqu 十分類似,但代碼庫和具體實施上則差別很大,因為Flame病毒更加復雜,攻擊能力更強。
Flame病毒極其復雜的結構
邁克菲通過反編譯操作發(fā)現,其主模塊包含 65 萬行 C 語言編寫的代碼。所有跡象都表明,這并非這一惡意軟件的所有代碼,預計最高可能達到 75 萬行以上。鑒于此,邁克菲已著手展開長期分析,以確定其完整的功能和特性。
根據截至目前所獲得的數據及分析結果,邁克菲使用IDA(一款專業(yè)反匯編和反編譯工具)完成了跟蹤工作,并繪制了以下代碼關系圖:
這個像龍卷風一樣的代碼關系圖展示了Flame病毒龐大的代碼群及代碼間復雜的關系。令人驚嘆的是,這只是主模塊的代碼!僅僅這一個模塊就調用了大約 4400 多次字符串反混淆例程。本質上講,如果代碼中存在容易引起關注的字符串,例如"flame::beetlejuice::BeetleJuiceDataCollector,"或"flame::gator::GatorCmdFetcher,",它就會把信息封裝在一個密封函數中。這使得本已十分龐大的代碼進一步"增肥",要成功辨識更是難上加難。
代碼中用到的混淆字符串量超乎尋常,這保證了可執(zhí)行文件的功能不僅難于理解,而且即使代碼被他人捕獲也無法輕易用于其他目的。
代碼中包含了其所需的全部庫代碼:SSH、ZLib 例程、Web 服務器代碼等。從這點來說,代碼中至少涉及幾十種加密函數,例如,Blowfish 算法、MD5/MD4 函數等。
#p#副標題#e#
Flame似乎對有關專業(yè)監(jiān)控需求和操作的信息"情有獨鐘"。它的一些功能和特性包括:
◆具備適用于文件系統(tǒng)解析和存取的低級別磁盤存取解析
◆支持 ZIP 文件解析
◆能夠解析多種文檔格式,例如,PDF、Microsoft Word 和其他 Office 格式
◆特別關注記錄項,搜索目標項時即使是操作系統(tǒng)內的隱藏位置也不會放過
◆"熱衷"于探究目標桌面上的內容
◆能夠在特定的域內實現遠程自行傳播
◆該惡意軟件在搜尋到需要的信息后會非常謹慎地傳回給控制服務器:這一點是通過在后臺啟動額外的 IE 實例并將代碼注入其中來實現的。如此一來,它就成功"化身"為計算機上的一項"可信"進程,從而繞過個人防火墻。
◆可能最重要的是,移動設備才是它的"興趣所在"。 這正是 Beetlejuice 模塊的"用武之地"。該模塊就好像進入計算機的"幽靈"一樣到處搜尋藍牙設備,同時通過查找聯系人來關注目標受害人的社交網絡。在本地同樣可以這樣做,因為它能夠在文件中或執(zhí)行信息同步的主機上找到設備信息。目前為止,Sony 和 Nokia 設備的聯系信息已成為其覬覦的目標。當然,這其中的文章絕非表面看上去這樣簡單。
實際上Flame病毒還在不斷"與時俱進"。對該病毒的分析將是長期的工作。20 世紀 90 年代,病毒分析可謂爭分奪秒,被調侃為"百米賽跑"。 如果說那個年代的病毒的實際代碼可以打印出 100 米,那么 Flame的代碼長度足可達到一英里(約為1609米)。這樣看來,對Flame病毒的分析可以堪稱"一英里徒步"!
Flame病毒能夠隨意更改其名稱和擴展名,迷惑性極強
威脅文件可以根據控制服務器特定的指令和配置使用情況更改文件名和擴展名。一些情況下,Flame可以檢測到特定的防病毒軟件,于是就會更改可執(zhí)行文件 (DLL) 的擴展名,比如從 OCX 更改為 TMP。實際上,通常在受感染的系統(tǒng)上,尤其是威脅先于安全產品安裝的情況下,就不需要進行這樣的更改。
Flame病毒的主模塊超過6MB,而完全部署后接近20MB。毫無疑問,這是一款包含大量代碼的惡意軟件,它使用了Zlib、LUA Interpreter、SQLite 支持、Custom DB 支持代碼等,整個代碼像一個復雜的企業(yè)數據庫系統(tǒng)。
加密包含簡單的模糊處理,例如帶有字節(jié)值的 XOR。在一些其他攻擊中,都用到了 XOR 密鑰 (0xAE),這揭示了其與 Duqu 和 Stuxnet 的一些潛在關系,因為它們也使用這個值。但 Stuxnet 和 Duqu 會在使用此字節(jié)值的同時結合使用其他值,包括具有可能含義的日期。
除了上述內容,Flame在代碼方面并未顯示出與Stuxnet或 Duqu 的直接關系。它采用了相似但又復雜得多的結構,這在很多方面都提醒了研究人員,這些攻擊具有高危性。根據早期日期值來判斷,它從某些方面可以視為一個并行項目。而從文件中遺留的日期值不難發(fā)現,攻擊文件中融入了 2011 年 1 月和 8 月最新開發(fā)的代碼。文件標頭中的日期經過了蓄意更改(例如,聲稱是 1994 年),但導出表日期值和文件其他位置的日期卻暴露了真實日期:2011年。
Flame病毒與Stuxnet、Duqu病毒的關聯
通過分析,可以發(fā)現雖然Flame病毒代碼庫與Stuxnet蠕蟲病毒或Duqu木馬病毒不同,但三者的攻擊目標和技術非常相似。Flame與 Duqu 擁有差不多的變體數量,但其傳播范圍更廣,代碼結構更為復雜。顯然,這一威脅經過了數年的開發(fā),幕后很可能是一支訓練有素的大型而專門的團隊。
Stuxnet于2010年7月被發(fā)現,這種蠕蟲病毒專門針對德國西門子公司設計制造的供水、發(fā)電等基礎設施的計算機控制系統(tǒng),伊朗曾承認Stuxnet影響到其核電站的部分離心機。Stuxnet當年成名的一個重要原因在于其使用了"零日漏洞"攻擊,即病毒編寫者利用自己發(fā)現的4個系統(tǒng)漏洞,在軟件公司發(fā)布補丁之前發(fā)起攻擊。而Flame病毒利用的已知漏洞中就包括Stuxnet曾攻擊的兩個漏洞。Duqu病毒針對的也是工業(yè)控制系統(tǒng),目的在于收集信息。業(yè)界普遍認為,Stuxnet和Duqu來源相同,因為它們都需要多人長時間合作完成,極可能是某組織或政府機構所為。
通過目前邁克菲網絡動態(tài)傳感器檢測到的信息,我們在地圖上繪制了Flame病毒的感染情況:
上圖顯示伊朗是Flame病毒的重災區(qū)。實際上,在過去至少兩年中,Flame病毒已經感染了伊朗、黎巴嫩、敘利亞、蘇丹、其他中東和北非國家的相應目標計算機系統(tǒng)。此威脅的攻擊目標僅限于一些個人、組織和機構,是極具針對性的威脅。
作為安全公司,邁克菲將對Flame病毒展開長期分析,以確定其完整的功能和特性。幫助大家更好地了解這一威脅并部署安全防護措施。
原文鏈接:http://netsecurity.51cto.com/art/201206/342092.htm
