DuquウイルスとStuxnetウイルスは、中東でのサイバー戦争の度合いを高めていますが、最近、おそらくこれまでで最も洗練されたサイバー兵器を発見しました。 サイバースパイのために作成されたFlameワームは、中東にあるコンピューターから機密データを削除する未知の悪意のあるプログラムを見つけるための支援を求めた国際電気通信連合(ITU)の要請で調査を行ったときに、カスペルスキーラボの専門家の視界に入りました東。 Wiperと呼ばれるこのプログラムを検索する過程で、Worm.Win32.Flameと呼ばれるマルウェアの新しいサンプルを発見しました。
最も影響を受けた7つの国
Flameは悪名高いDuquおよびStuxnetのサイバー兵器とは異なる機能を備えていますが、これらの悪意のあるプログラムにはすべて共通点が多くあります。 これにより、Flameは、未知の攻撃者によって中東に配備された「サイバネティックスーパーウェポン」と同等になります。 間違いなく、Flameはその存在の歴史の中で最も複雑なサイバー脅威の1つです。 このプログラムはサイズが大きく、非常に複雑です。 サイバー戦争やサイバースパイなどの概念の再考を強制します。
この洗練された脅威の詳細については、 www.securelist.ruの投稿をご覧ください。ここでは、マルウェアの重要な説明を提供しています。
記述
Flameとは正確には何ですか? ワーム? バックドア? その機能は何ですか?
Flameは非常に高度な攻撃ツールキットであり、Duquよりもはるかに複雑です。 これはバックドア型トロイの木馬で、ワームの特性も備えており、所有者からの注文を受信すると、ローカルネットワーク上およびリムーバブルメディアを介して拡散します。
Flameの最初のエントリポイントは不明です。最初の感染は標的型攻撃によるものと思われますが、まだ最初の攻撃ベクトルを見つけることができていません。 脆弱性MS10-033が使用されていると思われますが、現時点では確認できません。
システムに感染した後、Flameは、ネットワークトラフィックの分析、画面キャプチャの作成、音声会話の記録、キー入力のインターセプトなど、複雑な一連の操作を実行します。 これらすべてのデータは、Flameコマンドサーバーを介してオペレーターが利用できます。
将来、オペレーターは、Flame機能を拡張する追加モジュールを感染したコンピューターにダウンロードすることを決定する可能性があります。 合計で約20のモジュールがあり、その大部分は現在調査中です。
Flameはどのくらい複雑ですか?
まず、Flameはソフトウェアモジュールで構成された巨大なパッケージであり、完全に展開した場合の合計サイズはほぼ20 MBです。 その結果、このマルウェアの分析は非常に複雑です。 Flameが非常に大きい理由は、Lua仮想マシンだけでなく、コード圧縮(zlib、libbz2、ppmd)やデータベース操作(sqlite3)など、さまざまなライブラリが含まれているためです。
Luaはスクリプト言語です。 簡単に拡張し、Cで記述されたコードと統合できるプログラミング言語 。多くのFlameコンポーネントでは、トップレベルロジックはLuaで記述されますが、感染を直接実装するルーチンとライブラリはC ++でコンパイルされます。
コードの総量と比較すると、Luaで記述された部分は比較的小さくなっています。 Luaの開発ボリュームは3,000行を超えるコードであると推定されます。 平均的な開発者がこのような量のコードを作成してデバッグするには、約1か月かかります。
図 1-LUA言語の逆コンパイルされたFlameコード
さらに、悪意のあるプログラムは、内部ニーズのために埋め込みSQLクエリを含むローカルデータベースを使用し、いくつかの暗号化方法、さまざまな圧縮アルゴリズムを使用し、Windows Management Instrumentationを使用してスクリプトを作成し、バッチスクリプトを使用します。
マルウェアは通常の実行可能ファイルではなく、オペレーティングシステムの起動時にロードされる複数のDLLであるため、マルウェアの起動とデバッグは簡単な作業ではありません。
一般に、Flameはこれまでに検出された最も複雑な脅威の1つであると言えます。
分析
LCの主要な専門家は、すぐにプログラムの分析に専念しました。完全に分析するには数か月かかりますが、一部のデータは既に参照により記事で利用可能です。
ここでは、システムにFlame感染がないかを確認するための簡単な「手動」方法を提供できます。
1.ファイル〜DEB93D.tmpを検索します。 システム内に存在するということは、コンピューターがFlameに感染しているか、感染していることを意味します。
2.レジストリキーHKLM_SYSTEM \ CurrentControlSet \ Control \ Lsa \ Authentication Packagesを確認します。 mssecmgr.ocxまたはauthpack.ocxが見つかった場合、コンピューターはFlameに感染しています。
3.次のフォルダーを確認します。 もしそうなら、あなたは感染しています。
C:\ Program Files \ Common Files \ Microsoft Shared \ MSSecurityMgr
C:\ Program Files \ Common Files \ Microsoft Shared \ MSAudio
C:\ Program Files \ Common Files \ Microsoft Shared \ MSAuthCtrl
C:\ Program Files \ Common Files \ Microsoft Shared \ MSAPackages
C:\ Program Files \ Common Files \ Microsoft Shared \ MSSndMix
4.上記の残りのファイル名で検索を実行します。 それらはすべてユニークであり、それらが存在するということは、Flameコンピューターが感染する可能性が非常に高いことを意味します。
気をつけて! そしてお楽しみに...