شعله آتش در واقع پلتفرمی است كه قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیتهای مختلف را داراست.
به گزارش گرداب، در پی بررسیهای تخصصی انجام شده به وسیله كارشناسان مركز مديريت امداد و هماهنگي عمليات رخدادهاي رايانهاي و در ادامه تحقیقات صورت گرفته درباره حملات هدفمند "استاكس نت" و "دوكو"، مركز ماهر برای نخستین بار به انتشار اطلاعات آخرین نمونه از حملات این خانواده اقدام كرد.
این حمله به وسیله بدافزاری كه از این پس با نام "Flame" (شعله آتش) معرفی خواهد شد صورت میگیرد. این نام برگرفته از محتویات رمزگشایی شده فایلهای اصلی بدافزار است.
این بدافزار در واقع پلتفرمی است كه قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیتهای مختلف را داراست. در حال حاضر هیچ كدام از اجزای پرشمار تشكیل دهنده این بدافزار به وسیله بیش از 43 نرمافزار آنتیویروس در دسترس مورد شناسایی قرار نمیگیرند. با این وجود ابزار شناسایی و پاكسازی این بدافزار در مركز ماهر تهیه شده و از امروز در اختیار سازمانها و شركتهای متقاضی قرار خواهد گرفت.
شماری از قابلیتهای مهم این بدافزار عبارتند از:
1. انتشار از طریق حافظه های فلش
2. انتشار در سطح شبكه
3. پویش شبكه و جمع آوری و ثبت اطلاعات منابع شبكه و رمز عبور سیستمهای مختلف
4. پویش دیسك كامپیوتر آلوده و جستجو برای فایلهایی با پسوندها و محتوای مشخص
5. تهیه تصویر از فعالیتهای خاص كاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور كاربر
6. ذخیره سازی صوت دریافتی از طریق میكروفن سیستم در صورت وجود
7. ارسال اطلاعات ذخیره شده به سرورهای كنترل خارج از كشور
8. دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C
9. برقراری ارتباط امن با سرورهای C&C از طریق پروتكل های SSH و HTTPS
10. شناسایی و از كار انداختن بیش از 100 نرم افزار آنتی ویروس، ضد بدافزار، فایروال و ...
11. قابلیت آلوده سازی سیستمهای ویندوز XP، ویستا و ویندوز 7
12. قابلیت آلوده سازی سیستمهای یك شبكه در مقیاس بالا
به احتمال قریب به یقین و با در نظر گرفتن پیچیدگی و كیفیت بالای عملكرد و همچنین اهداف مشابه این بدافزار، میتوان آن را محصولی از خانواده استاكس نت و دوكو دانست. نشانههای یافت شده حاكی از آن است كه رویدادهای رخ داده اخیر درخصوص از بین رفتن همزمان اطلاعات سیستمهای كامپیوتری نتیجه فعالیت یكی از اجزای این بدافزار است.
با تحلیل انجام شده فهرستی از اجزای تشكیل دهنده این بدافزار شناسایی شده و در زير ارائه شده است. این اطلاعات قابل ارائه به تولیدكنندگان عمده آنتی ویروس بوده و از این پس اجزای این بدافزار میتواند مورد شناسایی آنتی ویروسها قرار بگیرد.
علائم آلودگی و جزئیات اجزای تشكیل دهنده بدافزار
وجود هریك از این نشانهها بیانگر آلودگی سیستم به بدافزار flame است:
1- وجود كلید رجیستری: آدرس HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages -> mssecmgr.ocx
2- فایلهای اجرایی و تنظیمات آلودگی: آدرس windows\system32\mssecmgr.ocx Windows\System32\ccalc32.sys Windows\System32\msglu32.ocx Windows\System32\boot32drv.sys Windows\System32\nteps32.ocx Windows\System32\advnetcfg.ocx Windows\System32\soapr32.ocx Windows\System32\to961.tmp Windows\ EF_trace.log
منبع: ماهر
این حمله به وسیله بدافزاری كه از این پس با نام "Flame" (شعله آتش) معرفی خواهد شد صورت میگیرد. این نام برگرفته از محتویات رمزگشایی شده فایلهای اصلی بدافزار است.
این بدافزار در واقع پلتفرمی است كه قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیتهای مختلف را داراست. در حال حاضر هیچ كدام از اجزای پرشمار تشكیل دهنده این بدافزار به وسیله بیش از 43 نرمافزار آنتیویروس در دسترس مورد شناسایی قرار نمیگیرند. با این وجود ابزار شناسایی و پاكسازی این بدافزار در مركز ماهر تهیه شده و از امروز در اختیار سازمانها و شركتهای متقاضی قرار خواهد گرفت.
شماری از قابلیتهای مهم این بدافزار عبارتند از:
1. انتشار از طریق حافظه های فلش
2. انتشار در سطح شبكه
3. پویش شبكه و جمع آوری و ثبت اطلاعات منابع شبكه و رمز عبور سیستمهای مختلف
4. پویش دیسك كامپیوتر آلوده و جستجو برای فایلهایی با پسوندها و محتوای مشخص
5. تهیه تصویر از فعالیتهای خاص كاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور كاربر
6. ذخیره سازی صوت دریافتی از طریق میكروفن سیستم در صورت وجود
7. ارسال اطلاعات ذخیره شده به سرورهای كنترل خارج از كشور
8. دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C
9. برقراری ارتباط امن با سرورهای C&C از طریق پروتكل های SSH و HTTPS
10. شناسایی و از كار انداختن بیش از 100 نرم افزار آنتی ویروس، ضد بدافزار، فایروال و ...
11. قابلیت آلوده سازی سیستمهای ویندوز XP، ویستا و ویندوز 7
12. قابلیت آلوده سازی سیستمهای یك شبكه در مقیاس بالا
به احتمال قریب به یقین و با در نظر گرفتن پیچیدگی و كیفیت بالای عملكرد و همچنین اهداف مشابه این بدافزار، میتوان آن را محصولی از خانواده استاكس نت و دوكو دانست. نشانههای یافت شده حاكی از آن است كه رویدادهای رخ داده اخیر درخصوص از بین رفتن همزمان اطلاعات سیستمهای كامپیوتری نتیجه فعالیت یكی از اجزای این بدافزار است.
با تحلیل انجام شده فهرستی از اجزای تشكیل دهنده این بدافزار شناسایی شده و در زير ارائه شده است. این اطلاعات قابل ارائه به تولیدكنندگان عمده آنتی ویروس بوده و از این پس اجزای این بدافزار میتواند مورد شناسایی آنتی ویروسها قرار بگیرد.
علائم آلودگی و جزئیات اجزای تشكیل دهنده بدافزار
وجود هریك از این نشانهها بیانگر آلودگی سیستم به بدافزار flame است:
1- وجود كلید رجیستری: آدرس HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages -> mssecmgr.ocx
2- فایلهای اجرایی و تنظیمات آلودگی: آدرس windows\system32\mssecmgr.ocx Windows\System32\ccalc32.sys Windows\System32\msglu32.ocx Windows\System32\boot32drv.sys Windows\System32\nteps32.ocx Windows\System32\advnetcfg.ocx Windows\System32\soapr32.ocx Windows\System32\to961.tmp Windows\ EF_trace.log
منبع: ماهر