•Kaspersky Labが先週悪意のあるプログラムの存在を発見した後、数年間運用されていたFlameチームのサーバーはすぐに切断されました。
•現在、2008年から2012年の間に登録されたFlameコマンドサーバーへのデータ転送に使用された80以上のドメインが知られています。
•過去4年間、Flameコマンドサーバーは、香港、トルコ、ドイツ、ポーランド、マレーシア、ラトビア、英国、スイスなど、世界のさまざまな国に交互に配置されてきました。
•Flameコマンドサーバードメインの登録には、偽の登録データとさまざまなレジストラ企業が使用されました。この活動は2008年に始まりました。
•Flameを使用して情報を盗む攻撃者は、特にオフィスドキュメント、PDFファイル、AutoCAD図面に関心がありました。
•Flameコマンドサーバーにアップロードされたデータは、比較的単純なアルゴリズムを使用して暗号化されました。 盗まれたドキュメントは、オープンソースのZlibライブラリと修正されたPPDM圧縮アルゴリズムを使用して圧縮されました。
•予備データによると、以前は最も安全なものの1つとしてカスペルスキーによって推奨されていたWindows 7オペレーティングシステムの64ビットバージョンは、Flame感染にさらされていませんでした。
分布地理の炎
私たちは何を見つけましたか?
Securelistのブログ投稿で、感染方法とサーバーFlameインフラストラクチャの配布について詳しく読むことができます。 ここでは、分布の地理に関する統計と最も興味深い事実を提供します。
たとえば、KSNからの現在のFlame統計は次のとおりです。
明らかに、炎の犠牲者の最大数は中東にいます。 一部の被害者はさまざまなVPN /プロキシサービスを使用する可能性があることに注意することが重要です。 このような場合、物理的にアジア地域にあるにもかかわらず、感染したシステムは、たとえばヨーロッパのIPアドレスを持つことができます。 また、「犠牲者」の一部は、実際には他の研究者のマシンかもしれません。 ただし、一般的に、統計は非常に正確に見え、感染の地理的分布を反映しています。
Flameの影響を受けるオペレーティングシステムについてはどうですか? 感染が検出されたシステムのOSのデータに基づいて取得された統計は次のとおりです。
Windows 7 32ビットを搭載したシステムで最も多くの感染が確認されました。 2番目はWindows XPです。 FlameはWindows 7 64ビットでは動作しないことに注意することが重要です。以前は、他の種類の脅威から保護するための優れたソリューションとして推奨されていました。
シンクホールとOpenDNSからの統計
この調査のパートナーであるOpenDNSは、近年のFlameドメインの登録日をまとめています。 このアニメーション化されたデータはここで見ることができます: www.opendns.com/flame-timeline
過去1週間で、当社のサーバーは感染したユーザーからの多くのヒットを登録しました-以下では、その場所の統計を見ることができます。 感染したマシンの大部分はすでにウイルス対策プログラムで修復されていることに留意する必要があります。 したがって、明らかにウイルス対策を使用していないか、長期間更新していない被害者のつながりがわかります。
また、英国、スペイン、ロシア、ルーマニアからの接続にも気づきました。これらは、独立系およびセキュリティ会社の両方のさまざまな専門家に属しています。
以下は、Sinkholeサーバーがアクセスする10の最も頻繁に使用されるドメインの統計です。
現在、28のFlame関連ドメインがKaspersky Labに属する同期サーバーにリダイレクトされています:flashupdates.info、nvidiadrivers.info、nvidiasoft.info、nvidiastream.info、rendercodec.info、syncstream.info、videosync.info、 dnslocation.info、dnsmask.info、dnsportal.info、dnsupdate.info、flushdns.info、localgateway.info、pingserver.info、serveflash.info、servers.info、autosync.info、bannerspot.in、bannerzone.in、micromedia。 in、mysync.info、newsync.info、syncdomain.info、synclock.info、syncprovider.info、syncsource.info、syncupdate.info、ultrasoft.in。
Flameが送信したデータ
Flameはシンクホールに接続すると、POST要求を送信して自身を識別します。 その後、Flameバージョン、その構成、感染したシステムでのアクティビティの履歴、ドキュメントから抽出されたデータなどに関する多くの「興味深い」情報を含む大きなデータパケットが送信されます。
観察したすべての構成で、同じパスワード「LifeStyle2」が使用されました。 このパスワードはFlame設定ファイルに保存されており、変更できます。
サーバーにアップロードされたデータパケットには、暗号化されたログファイルやその他の圧縮情報が含まれています。 このデータを復号化すると、サーバーに送信されるFlameのバージョンに関する情報を見つけることができます。
サーバーに接続したバージョン間でのFlameの分布は次のとおりです。
ほとんどの接続はバージョン2.242によって行われました。これは、最初に発見して分析したものと同じです。 これは、それがFlameの最も一般的なバージョンであることを裏付けています。 しかし、それは最も関連性がありません。バージョン2.243に感染したユーザーからの接続が1つあります。
バージョン2.080も非常に興味深い-これは「mssecmgr.ocx」の小さなバージョン(〜890kb)であり、6メガバイトの大きなバージョンで利用可能なすべてのモジュールが含まれているわけではありません。 このオプションのサンプルもあり、大きなサンプルと同時に分析しました。
私たちのシンクホールに接続したコンピューターの中には、非常に興味深い事例がいくつかあります。レバノン、イラク、イランの3台のPCです。 シンクホール操作中に、これらのマシンのFlameのバージョンが変更されました。この間にこのワームはおそらく更新されました。 たとえば、これらの2つのケースでは、オプション2.212が2.242に変更されました。 これは、まだ不明なC&Cの存在を示しており、これもシンクロホール中に機能しました。 または、未知のFlame更新メカニズムについて。
システムから取得したすべてのデータの中で、攻撃者は明らかにAutoCADの図面に対する関心が高まっています。 AutoCADプロジェクトはDuquトロイの木馬の標的でもあったことが知られているため、これは興味深い詳細です。
Flameは、AutoCADプロジェクトであるDWGファイルに加えて、PDFファイルやテキストファイル、およびその他のドキュメントを意図的に検索し、見つかったファイルに関する短いガイドを作成します。 彼はまた、電子メールや、ワームの構成で指定されているさまざまな「興味深い」(価値の高い)ファイルを探します。
管理サーバーに送信されるデータは、単純なXOR暗号化と置換暗号を組み合わせて暗号化されます。 これに加えて、内部の多くのブロックはZlibおよびPPDMライブラリを使用して圧縮されます。
興味深いことに、サーバーに送信されるデータは8192バイトのパケットに分割されます。 これはおそらくエラーから回復するために行われます-中東のインターネットは非常に遅く、あまり安定していないことが知られています。
Flameのもう1つの興味深い機能は、データを転送するときにSSH接続を使用することです。 どうやら(この動作を再現できなかったという事実にもかかわらず)、インターネットは機能するが、FlameサーバーにSSL経由でアクセスできない場合、SSHを使用しようとします。
SSH接続は、ワームに組み込まれたPuttyベースのライブラリを使用して確立されます。 現在、サーバーのIPアドレスとユーザー名/パスワードは不明です。 C&Cを介して更新され、SSLに一時的な問題がある場合にのみ到着する可能性があります。 SSHを使用する理由の1つは、イランなどの一部の国でSSL / HTTPSトラフィックが禁止されている一般的な状況です。
先週、カスペルスキーは複数の国のCERTと連絡を取り、それらにFlameドメインと悪意のあるサーバーのIPアドレスを通知しました。 これらのチームがこの研究に協力してくれたことに感謝します。
政府所有のCERTを代表していて、Flameのサーバーに関する詳細情報が必要な場合は、theflame @ kaspersky.comまでご連絡ください。
結論の代わりに
カスペルスキーは、この調査に対する迅速な対応と貴重なサポートについて、GoDaddy Network Abuse DepartmentとWilliam MacArthurに感謝します。 OpenDNSセキュリティ研究チームも調査中に貴重な支援を提供してくれました。