- 2010年7月-Stuxnet 、VirusBlokAdaが検出されました。
- 2011年10月-カスペルスキーが発見したDuqu 。
- 2012年3月-ワイパー、カスペルスキーは痕跡を発見しました。
- 2012年4月-カスペルスキーが炎を検出。
- 2012年8月-カスペルスキーによって発見されたガウス。
- 2012年10月-カスペルスキーがMiniFlameを検出。
それらに加えて、いくつかの小さな口径のサンプル:
- 2012年7月-マディ、カスペルスキーによって発見。
- 2012年8月-カスペルスキーによって発見されたShamoon。
- 2012年11月-シマンテックが発見したNarilam。
簡単な特徴
| マルウェア | Stuxnet | ドゥク | 炎 | ガウス |
| 発見日 | 2010年7月 | 2011年9月 | 2012年5月 | 2012年8月 |
| 感染数(KSNによる) | 約18万 | 約20 | 約700 | 約2500 |
| 最も多く感染したのはどこですか? | インド、インドネシア、イラン | イラン、インド、スーダン、ベトナム、フランス、オランダ、スイス、ウクライナ、オーストリア、ハンガリー、インドネシア、イギリス(シマンテックによる) | イラン、イスラエル | レバノン、イスラエル、パレスチナ |
| 初期感染ベクター | 不明(おそらくUSBフラッシュ); | 関心のある人へのメールでアドレス指定されたMicrosoft Word文書経由 | 不明、偽のWindows更新メカニズムによる配布方法があります。Microsoft署名により、警告なしにインストールできます。 | 不明 |
| コンピューターの起動時の起動方法 | 署名されたドライバーをサービスとしてダウンロードし、続いて暗号化されたファイルからメインモジュールをロードし、復号化と起動はメモリ内でのみ実行されます | 署名されたドライバーをサービスとしてダウンロードし、続いて暗号化されたファイルからメインモジュールをロードし、復号化と起動はメモリ内でのみ実行されます | メインモジュールはLSA認証パッケージとして登録します | wbemサブシステムをそれ自体にロードするレジストリエントリを変更し、元のwbemライブラリを呼び出します |
| 開発環境(言語) | Visual Studio(メインモジュール) | Visual Studio、メインモジュールはC言語でオブジェクトアドインを使用して記述されています | C ++、コードの一部はインタプリタ言語Luaで書かれています | C ++ |
| デジタル署名を使用する | Realtek | C-Media(おそらくJMicron) | Microsoft(衝突選択MD5によって作成された証明書) | いや |
| 特徴的な機能 | メインモジュールには、リソースの形でいくつかのコンポーネントが含まれています | コンテナ構造-入れ子人形 | 大きいサイズ-約20 Mb、大量のサードパーティコードを使用 | 「ペイロード」の使用。これは、コンピューターに特定のパス(パス)がある場合にのみ復号化されます |
| 機能的 | ファイル検索と転送、SCADAシーメンスWinCCシステムの実装 | ファイルの検索と転送、キーストロークの追跡、ネットワークインフラストラクチャでのデータ収集 | ファイルの検索と転送、音声情報の記録、他のデバイスからの情報のbluetooth傍受を使用 | ファイルの検索と転送、中東のリモートバンキングサービスのパスワードの傍受、ソーシャルネットワーク、メールサービス、インスタントメッセージングシステムのパスワードの傍受 |
| 目的 | SCADA Siemens WinCCシステムの誤動作 | ネットワークインフラストラクチャへのその後の実装のためのスパイ活動とデータの準備 | スパイ | 社会的影響 |
| 他のマルウェアとの類似性 | 起動方法は、Duquの方法と似ています。2009年版のFlameに似たUSB感染モジュールの使用方法です。 | 起動方法はStuxnetの起動方法と似ています | 2009年のStuxnetバージョンに似たUSB感染モジュール、GaussなどのOCX拡張機能を備えた多くのモジュールを使用 | FlameのようなOCX拡張を備えた多くのモジュール |
| 推定開発年 | 2009 | 2008年 | 2006 | 2011 |
Dell SecureWorksによると、StuxnetとDuquマルウェアのいくつかの要素の類似性は偶然です。 マルウェアの他のサンプルでも同様の方法が使用されています。 StuxnetとDuquを比較するトピックはこちらです。 ガウスとフレイムの関係では、好奇心が強いケースが一般的に関連付けられています。 Kaspesky Labの従業員は、シンクホールルーターを編成しました。 簡単に言えば、マルウェアが独自のものとして認識し始める偽のコントロールセンターを作成することです。 したがって、着信接続のIPアドレスを分析することにより、感染の程度と地理的分布を評価することが可能になります。 場合によっては、これにより、制御を取り、自己破壊のコマンドを与えることもできますが、これはまれです。 シンクホールで、ルーターはGaussとFlameからトラフィックをもたらしました。 また、FireEyeの専門家は、GaussとFlameが同じサーバーにアクセスしていることに気付き、同じ人がマルウェアの開発の背後にいると結論付けました。 少し後に、FireEyeはその誤りと不実表示について公に謝罪しました。
したがって、Stuxnet、Duqu、Flame、およびGaussをリンクしようとする試みはすべて、それほど印象的ではありません。 さらに、さまざまな操作のために新しいマルウェアモデルを開発するにはコストがかかりすぎるため、既存のモデルを変更して、ウイルス対策ツールによる検出の可能性を排除し、モジュールの機能を向上させるだけで十分です。 中東で発生するイベントの氷山の一角のみを観察している可能性があり、これらのマルウェアは、接続されていないさまざまな国または組織によって開発されています。 次の主要なプレーヤーは、サイバー戦争の分野で区別できます:アメリカ、中国、ロシア、イスラエル、韓国。 さらに、地元のプレーヤーがここに参加していることは明らかです-マルウェアのサンプルの一部はDeplhi(Madi、Shamoon、Narilam)で記述されていますが、これは不十分な専門的作業の指標ですが、情報の収集と削除のタスクを正常に完了しています。
要約:
- アンチウイルス企業は、事実を操作することにより、サイバー戦争のトピックを不必要に「ファン」にします。 彼らは販売市場を拡大するためにこれを行います。 HPEが長年にわたって「汚い」作業を行ってきた場合、ヒューリスティック手法、プロアクティブな防御、およびサンドボックスがどれほど素晴らしいかを伝える方が良いでしょう。
- ニュースサイトを信頼しないでください、多くの装飾もあります。 理想的には、元の記事を読むのは良いことですが、すべてが英語が得意というわけではなく、主要な情報源の検索にもある程度の忍耐が必要です。
しかし、いずれにせよ、アンチウイルス企業のすべての歪みにもかかわらず、我々は興味を持ってサイバー兵器の開発のプロセスに従います。