火焰恶意软件被一些人称为“迄今为止最复杂的恶意软件”,虽然它是一款令人印象深刻的间谍软件,但它对普通用户的威胁很小。在这篇博文中,我将快速总结一下Flame恶意软件的技术能力,只是为了那些还没有阅读过去一周在网上流传的所有博客和新闻文章的人。然后,我将快速比较它与Stuxnet和Duqu的能力,然后告诉你为什么它们毫无相似之处。然后告诉你真正的威胁,当涉及到类似的恶意软件正在网络上传播,你可能不太了解。我将用一些安慰的话来结束这一切,并告诉你为什么你不应该害怕上网。

火焰技术概述

如前所述,Flame是一个令人印象深刻的恶意软件工具包;它非常强大,在执行某些操作的方式上非常独特。首先,一些背景故事:

Flame是卡巴斯基在帮助国际电信联盟(ITU)追踪一些破坏伊朗计算机文件系统的恶意软件时发现的,他们没有找到他们要找的确切的恶意软件,但他们找到了Flame。在同样的时间范围内,CrySyS实验室被要求加入一个国际努力来分析一个未知的恶意软件,他们称之为sKyWIper。不久之后,卡巴斯基和CrySyS意识到他们在处理同一个文件。卡巴斯基的研究人员发现,Flame不仅出现在伊朗,还出现在周边国家。该恶意软件在属于学术机构、私人公司和特定个人的系统上被发现。卡巴斯基认为,“火焰”可能从2010年3月开始使用,这也是Stuxnet首次被发现的时间。

下面是对其基本功能的简要总结:

  • 偷取文件
  • 用内部麦克风录制音频
  • 截屏(可以配置为仅在某些应用程序运行时才截屏)
  • Keylogging
  • 向命令和控制服务器报告并接受新命令
  • 可以附加多达20个模块,以获得额外的功能

它还可以通过利用USB或打印机漏洞传播到不同的计算机;这个功能只有在操作员告诉它这样做时才会被激活。

Flame的一个独特之处在于,它创建了一个内部SQLite数据库来存储它窃取的所有数据,然后将这些数据发送回C&C。这是不正常的,因为大多数恶意软件只会发送一系列值,要么嵌入在URL中,要么作为加密文本。CrySyS实验室在他们关于sKyWIper的报告中提到了一些我认为很有趣的功能:“在恶意软件中使用数据库存储攻击相关信息似乎不寻常,但显然是这样……”这种方法也意味着Flame需要携带适当的代码来创建和修改这个数据库,这就把我们带到了下一个独特的事情:它真的很大!Flame至少比Stuxnet大20倍,一般的共识是整个恶意软件套件大约为20mb。Flame拥有如此大的尺寸主要有两个原因:

  1. 它携带了SQLite、SSL、Zlib和各种其他加密和压缩库。
  2. 它的大小不仅使它看起来不那么可疑,而且还允许Flame将真正的恶意代码隐藏在合法代码的深处,使其非常难以分析。

Flame的第三个独特之处是它使用Lua作为脚本语言。Lua经常用于视频游戏引擎和其他应用程序,Lua本身并没有恶意。还有其他恶意软件使用独特的脚本语言来执行其操作,但Lua从未专门用于恶意软件。使用Lua也会使恶意软件变得更大,因为除了其他东西,它还必须带一个Lua解释器,这样它才能执行代码!

最后,根据CrySyS实验室的报告,Flame包含了有史以来最全面的反病毒/反恶意软件对策列表之一。这使得它有可能绕过检测尝试,并保持自己的隐藏。CrySyS公司认为,在他们的报告中公布这份名单是一个坏主意,因为他们担心它可能在坏人手中弊大于利。

我的意见:

事实上,火焰被认为是非常危险的,它的能力保持不被发现,直到现在,在我的拙见,因为它做的一切都是错误的。这么说,就好像作者扔掉了关于恶意软件编写的书,并决定从头开始以非常奇怪和不直观的方式做所有事情。显然,这招奏效了。上面提到的独特特征就是证明,大多数反病毒/反恶意软件组织、安全研究人员和恶意软件爱好者看到的恶意软件都使用新的和有趣的隐形方法来隐藏它们的存在和意图。当你考虑到单个样本的控制和移动是多么整齐地组织起来时,只有在Flame的情况下,隐身才会出现,在那里,操作员保持一定数量的受损主机,只有在他们完成收集信息时才会继续前进。最重要的是,由于它不寻常的设计和操作,如果它没有在被发现的时候被发现,火焰可能会再隐藏两年或更长时间。话虽如此,我今天提出的问题是,“还有多少Flame类型的恶意软件,不遵循标准模板的恶意软件,以及它们已经感染了谁?”

对比Stuxnet / Duqu

两年前,Stuxnet是有名的恐怖间谍恶意软件,去年是Duqu,今年是Flame。这三种所谓的“超级恶意软件”之间有一些相似之处,例如:

  • 他们都喜欢伊朗和中东
  • 人们怀疑它们都是由政府资助/开发的(事实上,在写这篇文章的时候,一篇来自the Register的文章已经“揭露”了Stuxnet背后的赞助商:http://www.theregister.co.uk/2012/06/01/stuxnet_joint_us_israeli_op/
  • 在被人发现之前,他们都藏得很好
  • 它们都是“模块化”恶意软件,这意味着你可以切换它们的附件。
  • 他们都有键盘记录器
  • 它们都使用DLL模块作为资源
  • 差不多就是这样。

Flame和Stuxnet/Duqu之间的一切都是完全不同的。它们具有不同的功能,为不同的目的(显然)开发,甚至使用完全不同的方法开发。以下是区别列表(我们将Stuxnet/Duqu组合称为StuQu):

  • StuQu使用了有效的数字签名,Flame则没有
  • StuQu使用0-day exploit;火焰用的是震网两年前用过的。
  • StuQu有失效定时器,火焰会在被要求时自杀
  • StuQu被开发用于感染SCADA和/或PLC系统;Flame采用更普遍的方法,感染正常的系统。
  • StuQu窃取特定数据;火焰偷走了它能偷走的一切。

这些只是Stuxnet/Duqu和Flame之间众多技术差异中的一小部分。重点是,虽然他们的总体目的(收集情报/搞砸事情)、传播方法和目标非常相似,但其他地方一点都不相似。实际上,卡巴斯基认为,Flame可能是作为备份情报收集工具构建的,以防更重要的情报被发现。

真正的威胁

这是一种延伸,但你可以将Flame称为RAT或远程管理工具/木马。RAT的目的是对另一个系统进行完全(或至少是大部分完全)控制,通常是从命令和控制服务器的安全控制。在我看来,目前世界上使用的rat有三种类型:

白帽老鼠—合法的网络管理员需要快速执行更新或为众多用户解决问题,因此他有合理的理由在他监督下的所有系统上安装远程管理工具。这将允许他在不离开办公桌的情况下做出改变和/或抓住那些违反公司对所有用户的电脑使用政策的人。

黑帽子老鼠通常由黑客或恶意软件作者开发,这些工具允许攻击者做与白帽鼠同样的事情,但在不属于他们的系统上。通常这些类型的rat包括隐藏得非常好的僵尸网络般的恶意软件,它不断地与其命令和控制服务器通信,并具有大量的网络间谍功能,以及一些有趣的功能(比如让屏幕看起来正在融化)。

G-Hat老鼠-政府赞助,詹姆斯邦德风格,完全是为了监视其他政府的远程管理木马。Flame属于这一类,因为它很可能是政府资助的,但也因为它通常比黑帽鼠更善于隐藏自己,并被用于进行一些严重的长期间谍活动。除了在过去几年里出现过的少数新闻外,你永远不会知道或听说过这类老鼠,因为你不应该知道,它们不会卖给黑客组织或网络犯罪组织,而且他们很少被抓住。

远程管理木马无处不在,您最需要担心的是黑帽木马。它们通常在地下市场上卖给一些不可靠的公司,或者只是想从别人那里偷东西的人。它们非常强大,很容易获得,下面是这些工具可以做的一些可怕的事情:

  • 创建/删除/移动/窃取文件,包括更多的恶意软件或图片/文档,你不想让任何人看到。
  • 他们可以打开你的麦克风,听“你”电台!
  • 他们可以打开你的网络摄像头,看到你的穿着
  • 他们可以截很多屏
  • 他们甚至可以看到您在系统上所做的事情的实时视图
  • 他们可以窃取你的密码、信用卡号、联系方式等。用键盘记录
  • 他们可以让你认为你疯了,让你的电脑锁住或你的CD托盘自己打开,或者,如前所述,让你的屏幕融化!

他们可以在您的系统上执行任意命令,并且几乎可以完全控制他们想做的任何事情。我现在要简单地讨论一下今天RAT行业的几个大名字:毒常春藤,黑阴影和暗彗星。

毒葛:

一个更臭名昭著的远程管理木马被称为毒常春藤。它是由中国黑客开发的,并在2006年获得了很大的知名度。它通常用于有针对性的攻击,并通过漏洞或网络钓鱼攻击传播,对特定的个人或组织进行网络间谍活动。根据需要的版本和/或支持,它可以商业或免费获得。它使攻击者能够做上面列出的几乎所有事情,甚至允许使用木马工具包为特定的攻击目的创建单个恶意有效载荷。

毒葛并没有消失,即使它广为人知,它仍然被黑客用于各种形式的间谍活动,这里有一篇文章描述了一个窃取化学防御机密的事件:

http://news.techworld.com/security/3314804/hackers-used-poison-ivy-malware-to-steal-chemical-defense-secrets/

这是另一个关于今年5月初在以色列发现的毒常春藤的消息:

http://community.websense.com/blogs/securitylabs/archive/2012/05/02/the-israeli-institute-for-national-security-studies-lead-to-a-posionivy-infection-flow.aspx

BlackShades网:

BlackShades NET是另一个RAT,尽管它认为自己是一个远程管理“工具”而不是一个木马。它由AirDemon.net开发,用Visual Basic 6编写。它可以做上面提到的所有事情,包括允许攻击者与受害者进行实时聊天。YouTube上有很多视频展示了这一功能,通过捉弄不情愿的受害者,他们没有意识到发生了什么。Blackshades比Poison Ivy更友好,甚至提供了一些产品支持!

Blackshades可以用于合法目的,我认为这是AirDemon.net在他们的网站上传达这一点的意图,尽管他们有大量的黑客工具和恶意软件用于“研究”目的。然而,Blackshades通常通过各种感染方法用于攻击不愿意使用的用户。

DarkComet:

DarkComet是由法国的DarkCoderSc公司开发的。它是一种完全免费的远程管理工具(木马),允许管理员(攻击者)做一些事情,比如流媒体用户(受害者)的网络摄像头,监视桌面,键盘记录,从浏览器和即时消息应用程序恢复存储的密码,使用系统执行DDOS攻击,最终完全控制系统。DarkComet网站做了一个伟大的工作,使这个木马的功能听起来完全合法,在许多情况下,它可以用来服务好。然而,Malwarebytes的研究人员经常看到这个工具被用来感染必威平台APP不情愿的用户,接管他们的系统,窃取信息等。

你是安全的

这篇文章的目的并不是让你或其他人对互联网上潜伏的邪恶感到恐慌,而是告诉你那里有什么,你可以做些什么来保护自己。大多数防病毒/反恶意软件产品将检测到RAT,并能够快速删除它。

必威平台APPMalwarebytes反恶意软件做了一个伟大的工作,因为我们不断更新我们的定义,以捕捉任何在那里。无论您是否使用我们的产品,您在使用计算机时都应该尽可能地受到保护,因为这种威胁只会继续变得更糟,任何计算机安全组织的最终目标是使您的桌面成为一个安全的工作、娱乐和生活场所。

引用: