انتشار شده در تاریخ 1392/06/27 - 00:54

اهداف و توانایی‌های بد افزار Flame

بر اساس گزارش‌های مختلف آلودگی، پژوهشگران دریافته‌اند که آغاز حملات flame در سپتامبر سال 2010 بوده و فعالیت‌ها و اهداف این بدافزار در طول زمان تغییر کرده است.

موسسه خبری سایبربان: بر اساس بررسی‌های انجام شده بر روی گزارش‌های مختلف آلودگی (کامپوننت‌های اصلی و فایل‌های تنظیماتی این بدافزار)، پژوهشگران دریافته‌اند که آغاز آن در ماه سپتامبر سال 2010 بوده و فعالیت‌ها و اهداف این بدافزار در طول زمان تغییر کرده است.

از نظر تعداد کامپیوترهای آلوده شده به این بدافزار، اهداف اصلی آن در کشورهای فلسطین، مجارستان، ایران و لبنان قرار داشته‌اند. همچنین گزارش‌هایی دال بر وقوع تعدادی حمله به استرالیا، روسیه، هنگ‌کنگ و امارات متحده عربی وجود دارد که حاکی از سوء استفاده موقت از این اهداف برای آلوده سازی اهداف اصلی می‌باشد (به‌طور مثال، آلودگی توسط یک لپ‌تاپ از جایی به جای دیگر برده شود). علاوه بر آن بسیاری از سیستم‌های آلوده شده، کامپیوترهای شخصی بوده که از اینترنت‌های خانگی استفاده می‌کردند.

جزئیات بدافزار: تا کنون چندین کانپوننت از این بدافزار تجزیه و تحلیل شده که بسیار ماهرانه و طوری نوشته شده‌اند که به نظر مخرب نیامده و حاوی کد مشکوک هم نیستند و این امر روند تحلیل را دشوار کرده است. کارایی کلی این بدافزار، دزدی اسناد، عکس گرفتن از صفحه‌ی کامپیوتر کاربر، گسترش آلودگی از طریق حافظه‌های فلش و قابل حمل و غیر فعال کردن نرم‌افزارهای امنیتی می‌باشد. همچنین در موارد خاص قابلیت نفوذ و تغییر در چندین آسیب‌پذیری اصلاح شده‌ی Windows برای گسترش در سطح شبکه را دارد.
این بدافزار با استفاده از کلید 128 بیتی الگوریتم RC4 اطلاعات دزدیده شده را رمزنگاری کرده و با تغییر در مهر زمان فایل‌های خود مانند فایل kernel32.dll موجب گمراه کردن کاربر شده و روشی پیچیده برای تزریق خود به winlogon.exe یا نرم‌افزارهای امنیتی یا پردازه‌های دیگر دارد. همچنین فایل سیستمی shell32.dll را با یک فایل آلوده شده جایگزین می‌کند. فایل حجیم mssecmgr.ocx دارای اجزای زیر می‌باشد:

این فایل شامل یک مفسر LUA، کدهای SSH و توابع SQL می‌باشد. قرار دادن مفسر زبان برنامه‌نویسی LUA این کامپوننت را بسیار انعطاف‌پذیر کرده‌است به‌طوریکه حمله‌کنندگان می‌توانند دستورات و توابع خود را برای ایجاد تغییر در بدافزار خیلی سریع به آن ارسال کنند. کامپوننت دیگر یعنی فایل ~DEB93D.tmp قابلیت بسیار جالبی دارد. این همان ویروس wipe بوده که پس از سرقت اطلاعات کل هارد دیسک سیستم را پاک می‌کند.
فایل nteps32.ocx مسئولیت عکس گرفتن از کامپیوتر کاربر در بازه‌های زمانی مشخص و رمزنگاری آن را بر عهده دارد.
فایل msglu32.sys حاوی کد جهت بازکردن و دزدیدن اطلاعات از انواع اسناد، تصاویر، تصاویر حاوی اطلاعات GPS، فایل‌های ارائه مطالب PowerPoint، فایل پروژه‌‌ها و طراحی‌های صنعتی می‌باشد. همچنین دارای ماژول‌هایی با عملکرد SQL و پیام‌های ارجاعی به رشته‌ی "JIMMY" با مضامین مختلف می‌باشد که احتمالاً نام مستعار این ماژول است.
در تحلیل‌‌های انجام شده ارجاعات متعددی به رشته‌ی "FLAME" دیده شده که ممکن است ارجاع به حملات خاص و یا مشخص کننده‌ی نام پروژه باشد.
با توجه به طبیعت ماژولار این بدافزار می‌توان نتیجه‌گیری کرد که توسعه‌دهندگان آن قصد دارند این پروژه را زمان زیادی به حال اجرا در آورده و نسخه‌های مختلفی از آن را اجرایی کنند. با توجه به معماری استفاده شده در طراحی W32.Flamer، توسعه‌دهندگان می‌توانند بدون تغییر کلی در دیگر ماژول‌ها و یا کل ساختار، کارایی و رفتار یک کامپوننت را تغییر دهند. این تغییرات می‌توانند به عنوان بسته‌ی به روز رسانی و یا وصله‌ی اصلاحی، نرم‌افزارهای امنیتی را به اشتباه بیندازند.