【科普帖】揭秘“火焰”病毒的前世今生

wangwenhui

【科普帖】揭秘“火焰”病毒的前世今生

Flame到底是什么？蠕虫？后门程序？它有什么功能？

        Flame是一种复杂的攻击工具，远比Duqu的结构复杂。它既是一种后门程序、一种木马，却又具有蠕虫的特点，只要其背后的操控者发出指令，它能够在本地网络、移动设备中进行自我复制。
        一旦系统被感染，Flame将开始一系列复杂的行动，包括勘察网络流量，抓取截屏，记录音频对话，截获键盘输入等等。系统中所有的数据都能通过链接传输到Flame的指令与控制服务器，操控者一目了然。
        随后，操控者可以选择进一步上传模块，从而扩大Flame的功能。目前发现Flame总共有大约20个模块，但大部分模块的具体功能还在调查之中。

为什么将其称为Flame（火焰）？它最初叫什么？

        Flame恶意程序是一种大型的攻击工具，由众多模块组成。其中最主要的模块被命名为Flame（火焰），这个模块是攻击和感染了众多设备的罪魁祸首。


Flame（火焰）到底有多复杂？

        首先，Flame是一个庞大的程序包，全部部署的话，大约为20MB。因为这样的特点，导致对其进行分析的工作极其困难。Flame为什么会这么大？其原因是包含了很多不同的功能，诸如压缩（zlib、libbz2、ppmd）和数据库操控（sqlite3），同时还要一个Lua虚拟设备。
        与整体编码比较起来，高效的Lua编码仅占用了很小一部分。我们估计在Lua上的开发消耗了3000多行代码，对于一个普通开发者来说，需要大约一个月的时间来创建故障排除。
同时，还有含嵌套SQL请求的内部数据库、多个加密方法、多重加密运算法则，使用Windows Management Instrumentation大量编写脚本及进行其它操作。
        总的来说，我们可以认定Flame是迄今为止发现的结构最为复杂的威胁之一。



        

它与其它后门木马有什么不同或者为什么更复杂？它是有什么新的特征吗？

        首先，在恶意程序中使用Lua就是非同寻常的，特别是在这么大的一个攻击工具中。一般来说，现代恶意程序大小都偏小，并用紧凑的编程语言进行编写，这样的话能很好的将其隐藏。因此，通过大量的代码实现隐藏是Flame的新特点之一。
        记录来自内部话筒音频数据也是相当新的手段。当然，其它一些已知的恶意程序也能够记录音频数据，但是Flame的关键不同是它很全面——能够以各种各样的手段盗取数据。
        Flame另外一个令人称奇的特点就是对蓝牙设备的使用。当设备的蓝牙功能开启的时候，Flame可以将配置模块中的相关选项同时开启，当发现有设备靠近被感染的计算机时，就可以收集设备中的信息。有赖于这样的配置，它还能受感染的计算机做为一个“灯塔”，发现通过蓝牙传输的设备，并为背后的操控者提供有关编入到设备信息中的恶意程序状态。

Flame（火焰）最受关注的信息盗取功能有哪些？

        尽管我们还在分析不同的模块，但看上去Flame最大的特点是能够通过话筒（如果受感染设备配备的了话筒）记录音频。并能通过公共资源路径，将记录到的音频以压缩方式储存。
        记录后的数据按时通过一个秘密的SSL频道发送至指令与控制中心（C&C）。我们目前还在对这个情况进行分析，更多的信息将会被公布在我们的网站上。
        该恶意程序还具有按时抓取截屏的能力，甚至可以只抓取那些它感兴趣的应用程序截屏，例如，即时通讯工具（IM）。截屏以压缩的方式储存，并像音频文件一样按时发送给指令与控制中心（C&C）。


是否有一个国家在背后支持这样的攻击？或者是专门的网络犯罪集团或者黑客组织？

        目前，开发这个恶意程序的背后主使可能有三大集团：黑客组织、网络犯罪集团和国家机构。然而，Flame并没有被用来盗取银行账户大肆敛财，而它也有别于黑客组织常用的黑客工具。因此，排除黑客组织和网络犯罪集团，我们认为第三个集团是最有可能的背后主使。此外，从Flame攻击的地区（主要在中东地区）和本身的复杂程度来看，无疑是一个国家才能支持这样的研究并进一步实践。

谁是背后的主使？

        代码中没有出现这样的信息，否则就可追查到具体的国家。就像Stuxnet和Duqu一样，背后的创建者一直未知。

他们为什么要这么做？

        系统地收集一些中东国家的信息，包括伊朗、黎巴嫩、叙利亚、以色列等国。7个主要受到感染的国家和地区如下：


Flame（火焰）是否攻击一些特别的组织机构，收集特别的数据用于未来的攻击？攻击者到底在找什么样的数据或信息？

        从初步的分析来看，Flame的创建者对各种情报感兴趣，像电子邮件、文档、消息、敏感地区的内部讨论，可以说对所有的信息都收集。我们还没有发现有特别针对某个领域（如能源工业）的攻击现象，我们相信这是一种复杂的攻击工具，执行各种网络间谍活动。

当然，从我们过去的经验来看，像此类高度灵活的恶意程序可以用来部署特别攻击模块，能够攻击SCADA设备、ICS、重要基础设施等。

Flame（火焰）攻击的行业或机构是哪些？是否是一些工业管理设施/PLC/SCADA？目标是哪些？有多少？

        Flame看上去没有明显的特定目标，遭到攻击的有个人、有国家机关，甚至还有教育机构。当然，要想从这些地方收集信息也是比较困难的，因为这些机构都有严格的数据保护，并制定有严格的信息管理政策。


关于Flame（火焰）恶意程序功能和特点的问题

Flame感染计算机的途径是什么？U盘？除了打印多任务缓冲处理器（print-spooler）的漏洞，是否还利用的其它漏洞来绕过检测？是否有零日攻击？

        Flame有两个专门应对USB的模块 ，被称为“Autorun Infector”和“Euphoria”。我们还没有发现它们活动的痕迹，可能是在某些配置数据中会变得无效，但无论怎样，它的代码具备感染USB的能力。除此之外，Flame能通过本地网络自我复制。
        目前，我们还没有发现零日攻击。但是，据悉该蠕虫已经能通过网络，感染了全部更新补丁程序后Windows 7系统，表明零日攻击的危险是存在的。

Flame（火焰）是否能像Stuxnet那样自我复制？或者像Duqu那样具有控制传播的能力？

        Flame的自我复制是由背后的操控者决定的。跟Duqu一样，也能控制僵尸程序配置文件。大多数感染路径都有攻击执行的后备方案，并且只集中在少量的攻击中。


JPEG文件或截屏的情况怎么样？它们也没有幸免吗？

        该恶意程序具有按时抓取截屏的能力。此外，它只截取自己感兴趣的应用程序截屏。例如，即时通讯工具（IM）。截屏以压缩的方式储存，并像音频文件一样按时发送给指令与控制中心（C&C）。

有没有能查杀Flame（火焰）病毒的有效工具？

       卡巴斯基实验室是最先截获Flame病毒的安全厂商，目前卡巴斯基实验室已推出安全部队2012火焰专杀版，能彻底查杀Flame（火焰）病毒。同时给大家如下安全建议：
1、建立良好的安全习惯，不打开可疑邮件和可疑网站。
3、使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。
5、安装专业的防毒软件升级到最新版本，并开启实时监控功能。
7、不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。
2、不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
4、现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。
6、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

卡巴斯基安全部队2012查杀Flame（火焰）病毒截屏

yaoogle007

这帖子早有了

chen月

有卡巴斯基  神马都不怕

xiehoujay

卡巴单本走天下

wangwenhui

卡巴实力派

百事-可乐

卡巴力量不小

艾楠京

学习了一下

desk_hua

这病毒完全是一个“国家级”的病毒，个人没法完成这样的“大工程”。