آتش پاره آسمان جول – Flame

اولین باری که در مورد ویروس‌ها فارسی نوشتم، ۹ سال پیش بود. MyDoom یکی از پیش تازان بدافزارهای هدایت شده بود. بدافزارهای هدایت شده، به صورت کلی با استفاده از روش‌های رایجی که سامانه‌های فرماندهی و کنترل C&C از آن‌ها پیروی می‌کنند، به تخریب، حمله، خرابکاری و یا دزدی از یک هدف خاص اقدام می‌کنند. در آن زمان، MyDoom مقدمه‌ای بود تا اقتدار SCO شکسته شود و وب‌سایت این شرکت بزرگ برای مدتی از دسترس خارج شود و در نهایت همگی با SCO خداحافظی کنیم. این بار Flame، اقتدار سامانه‌های امنیتی گران قیمت و اداعاهای امنیتی دولت‌ها را هدف قرار گرفته است.

در زمان بسیار نزدیکی، ۳ گروه متفاوت در مورد بدافزار جدیدی با نام Flame هشدار داده‌اند. در ابتدا یک نوشته غیر رسمی از سوی کسپراسکی و سپس یک مقاله تحلیلی کامل از شرکت مجارستانی CrySyS و سپس اعلامیه از سوی مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای کشور) حضور این بدافزار را تایید کرده‌اند. اولین باری که فایل‌های مرتبط با این ویروس ثبت شده‌است، مربوط به دسامبر ۲۰۰۷ بوده است. نسخه بعدی در سال ۲۰۰۸ در امارات متحده عربی و نسخه نهایی در مارچ ۲۰۱۰ در ایران ثبت شده است. نمای زیر، نحوه زندگی این آتش پاره آسمان جول را از سال ۲۰۱۰ مرور کرده است:

این بدافزار از تکنولوژی‌های تقریبا کمیابی (در سطح بدافزارها) برای جمع آوری اطلاعات و ارسال داده‌ها استفاده می‌کند. ساختار کاملا ماجولاری دارد که با استفاده از چندین اسکریپت Lua کارهای متفاوتی را انجام می‌دهند.

[blockquote type=”blockquote_line” align=”left”]

CRUISE_CRED.lua
The script gathers credential information from an already infected machine. More precisely, it cruises all the token objects to find the ones belong to the administrator or the Administrators, Domain Admins groups. If it is successful, it updates cruiseAttackLog in the “CLAN” database by means of the user sd and the user name. For more information, please see the Tables creds and cruise_attack_log in Figure 48.
basic_info_app.lua
The script gathers basic information about an infected computer such as the flame version it has been infected with, the computer name, the ip address of the machine. Furthermore, it books various parameters about the nature of information leak (e.g., AVERAGE_LEAK_BANDWIDTH, LAST_LEAK_TO_INTERNET, MEDIA_LEAKS_FROM_THIS_COMPUTER, etc). Note that the FLAME_VERSION parameter must have been used to avoid the reinfection of the same computer and also to update flame if it is necessary.
clan_seclog.lua
The script parses the Security log by searching for certain event Ids and retrieves the corresponding username and ip information from it. It is supposedly used to collect information about the traces of infection, or the credentials and source IPs used to authenticate to the infected machine. The script examines the following event Ids, where the corresponding log entries store the required pieces of information (Account Name, User
Name and IP address)
Event Id: 540 – Refers to successful network logon. Among various parameters the log stores the User Name and Source Network Address as well.
Event Id: 672 – Refers to Authentication Ticket Granted Audit event. In case of Windows, the Kerberos authentication uses the optional pre-authentication phase before issuing an authentication ticket by checking the credentials of the client. If the client successfully authenticated to the workstation, Windows puts a log entry with event id 672 into the Security log in order to demonstrate the successful initial logon event.
Event Id 673: – Refers to Service Ticket Granted Audit event. Once the authentication ticket is granted a service ticket have to be gained. If it is so, the client could successfully logon to the domain, and Windows puts a log entry with the 673 event Id to the Security Log.
Event Id 680: – Refers to Account Used for Logon by: <authentication package> .
json.lua: json related string functions only
casafety.lua: “CLANattack safety” tries to find out processes, registry information and similar related to ESET, KAV, McAfee, TrendMicro, and list from THREATENING

[/blockquote]

همچنین داده‌هایی که این بدافزار جمع آوری می‌کند در یک ساختار مبتنی بر SQL Lite ذخیره می‌شود. چنین ساختاری در یکی از نسخه‌های این بدافزار وجود دارد:

اطلاعات بیشتر و کامل‌تری را  در گزارش CrySyS مشاهده خواهید کرد. با توجه به شایعه‌های تقریبا اشتباهی که در مورد کارکرد این بدافزار و استاکس‌نت وجود دارد، این جدول اطلاعات اولیه‌ای خوبی می‌تواند در خصوص مقایسه این دو خانواده بدافزار نمایش دهد:

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد.