邁克菲實(shí)驗(yàn)室：Flame病毒的深度分析(3)

威脅文件可以根據(jù)控制服務(wù)器特定的指令和配置使用情況更改文件名和擴(kuò)展名。一些情況下，F(xiàn)lame可以檢測(cè)到特定的防病毒軟件，于是就會(huì)更改可執(zhí)行文件 (DLL) 的擴(kuò)展名，比如從 OCX 更改為 TMP。實(shí)際上，通常在受感染的系統(tǒng)上，尤其是威脅先于安全產(chǎn)品安裝的情況下，就不需要進(jìn)行這樣的更改。

Flame病毒的主模塊超過6MB，而完全部署后接近20MB。毫無疑問，這是一款包含大量代碼的惡意軟件，它使用了Zlib、LUA Interpreter、SQLite 支持、Custom DB 支持代碼等，整個(gè)代碼像一個(gè)復(fù)雜的企業(yè)數(shù)據(jù)庫系統(tǒng)。

加密包含簡(jiǎn)單的模糊處理，例如帶有字節(jié)值的 XOR。在一些其他攻擊中，都用到了 XOR 密鑰 (0xAE)，這揭示了其與 Duqu 和 Stuxnet 的一些潛在關(guān)系，因?yàn)樗鼈円彩褂眠@個(gè)值。但 Stuxnet 和 Duqu 會(huì)在使用此字節(jié)值的同時(shí)結(jié)合使用其他值，包括具有可能含義的日期。

除了上述內(nèi)容，F(xiàn)lame在代碼方面并未顯示出與Stuxnet或 Duqu 的直接關(guān)系。它采用了相似但又復(fù)雜得多的結(jié)構(gòu)，這在很多方面都提醒了研究人員，這些攻擊具有高危性。根據(jù)早期日期值來判斷，它從某些方面可以視為一個(gè)并行項(xiàng)目。而從文件中遺留的日期值不難發(fā)現(xiàn)，攻擊文件中融入了 2011 年 1 月和 8 月最新開發(fā)的代碼。文件標(biāo)頭中的日期經(jīng)過了蓄意更改（例如，聲稱是 1994 年），但導(dǎo)出表日期值和文件其他位置的日期卻暴露了真實(shí)日期：2011年。

Flame病毒與Stuxnet、Duqu病毒的關(guān)聯(lián)

通過分析，可以發(fā)現(xiàn)雖然Flame病毒代碼庫與Stuxnet蠕蟲病毒或Duqu木馬病毒不同，但三者的攻擊目標(biāo)和技術(shù)非常相似。Flame與 Duqu 擁有差不多的變體數(shù)量，但其傳播范圍更廣，代碼結(jié)構(gòu)更為復(fù)雜。顯然，這一威脅經(jīng)過了數(shù)年的開發(fā)，幕后很可能是一支訓(xùn)練有素的大型而專門的團(tuán)隊(duì)。

Stuxnet于2010年7月被發(fā)現(xiàn)，這種蠕蟲病毒專門針對(duì)德國(guó)西門子公司設(shè)計(jì)制造的供水、發(fā)電等基礎(chǔ)設(shè)施的計(jì)算機(jī)控制系統(tǒng)，伊朗曾承認(rèn)Stuxnet影響到其核電站的部分離心機(jī)。Stuxnet當(dāng)年成名的一個(gè)重要原因在于其使用了"零日漏洞"攻擊，即病毒編寫者利用自己發(fā)現(xiàn)的4個(gè)系統(tǒng)漏洞，在軟件公司發(fā)布補(bǔ)丁之前發(fā)起攻擊。而Flame病毒利用的已知漏洞中就包括Stuxnet曾攻擊的兩個(gè)漏洞。Duqu病毒針對(duì)的也是工業(yè)控制系統(tǒng)，目的在于收集信息。業(yè)界普遍認(rèn)為，Stuxnet和Duqu來源相同，因?yàn)樗鼈兌夹枰�多人長(zhǎng)時(shí)間合作完成，極可能是某組織或政府機(jī)構(gòu)所為。

通過目前邁克菲網(wǎng)絡(luò)動(dòng)態(tài)傳感器檢測(cè)到的信息，我們?cè)诘貓D上繪制了Flame病毒的感染情況：

上圖顯示伊朗是Flame病毒的重災(zāi)區(qū)。實(shí)際上，在過去至少兩年中，F(xiàn)lame病毒已經(jīng)感染了伊朗、黎巴嫩、敘利亞、蘇丹、其他中東和北非國(guó)家的相應(yīng)目標(biāo)計(jì)算機(jī)系統(tǒng)。此威脅的攻擊目標(biāo)僅限于一些個(gè)人、組織和機(jī)構(gòu)，是極具針對(duì)性的威脅。

作為安全公司，邁克菲將對(duì)Flame病毒展開長(zhǎng)期分析，以確定其完整的功能和特性。幫助大家更好地了解這一威脅并部署安全防護(hù)措施。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]