赛门铁克发布白皮书深度剖析恶意威胁Flamer（喷火器）

尘梦幽然

赛门铁克捕获恶意威胁Flamer犯罪踪迹  提醒大家警惕Newsforyou

赛门铁克安全响应团队于今日发布了名为《警惕Newsforyou！——恶意威胁Flamer（喷火器）命令与控制服务器技术分析》的白皮书，白皮书针对今年早些时候发生的W32.Flamer攻击所利用的两个命令与控制（C&C）服务器进行了详细分析。W32.Flamer是一种高级网络间谍工具，其主要攻击目标是中东地区。

据分析，W32.Flamer攻击所利用的两个命令与控制（C&C）服务器分别创建于2012年3月25日和2012年5月18日，在它们创建后很短的时间里，第一个与其交互而感染Flamer的计算机就出现了。在接下来的几周内，这两个服务器相继感染了至少几百台计算机。

虽然这两台服务器具有相同的控制框架，但它们的用途却有所不同。通过对创建于2012年3月份的服务器的分析显示，在一周多的时间里，它从被感染的计算机中共收集了近6GB的数据。与之相比，创建于2012年5月的服务器仅收集了75MB的数据，并且该服务器只是用于向被感染的计算机分发一个命令模块。

"命令与控制"通过一个名为Newsforyou的网络应用程序实现。该应用程序负责处理W32.Flamer客户端交互，并提供一个简单的控制面板，该控制面板允许攻击者向被感染的计算机上传代码数据包，也允许向受感染的计算机传输并下载包含被窃取客户端的数据包。据分析，这个应用程序并不只是被Flamer利用，它还能够通过不同协议与被多个其他恶意软件标识符感染的计算机进行交互。下表为不同恶意软件标识符与各种支持协议之间的关系。

客户端	内部ID	协议	威胁
CLIENT_TYPE_SP	1	PROTOCOL_OLD	未知
CLIENT_TYPE_SPE	2	PROTOCOL_OLD_E	未知
CLIENT_TYPE_FL	3	PROTOCOL_OLD	W32.Flamer
CLIENT_TYPE_IP	6	PROTOCOL_SIGNUP	未知
N/A	N/A	PROTOCOL_RED	未知

如上表所示，由该框架支撑的其他几种威胁目前仍然无法识别，它们很可能是Flamer的未知变体，或者也许是完全不同的恶意软件。

一旦被发现，这两个服务器就会被设置为只记录少量信息，系统会禁止任何不必要的日志记录事件，数据库中的记录也会定期删除。现有的日志文件也会定期地从服务器上安全删除。一旦第三方捕获该服务器，这些设置便可以干扰相关的调查。

但是，这些攻击者并不是无懈可击的，分析人员找到了显示服务器设置的完整历史文件。此外，数据库中一组有限的加密记录显示，被感染的计算机来自中东地区。我们还能确定4个作者的昵称分别为DXX、HXX、OXX和RXX，他们分别负责不同阶段的代码和整个项目的不同方面，记录显示，整个项目最早启动于2006年。

@作者	编辑文件数	日期	控制面板	协议	数据库	清除	加密
DXX	33	12/4/2006 01/23/2007	X	X	X	X	X
HXX	10	09/02/2007	X	X	X		X
OXX	4	12/3/2006			X
RXX	1	2011				X

该框架的设置显示了各攻击者之间明确的分工——哪些负责设置服务器（管理员）、哪些是负责通过控制面板上载数据包和下载被窃取的数据（操作者）、哪些拥有私人密钥能够解码被窃取的数据（攻击者）。由于整个过程利用数据安全分割技术，并经过了精心的设计，操作者本身可能实际上并不十分清楚被窃取的数据的内容。这种结构可以反映出，这是一个有大量资金支持，且有组织的攻击行为。

尽管控制者试图在被第三方捕获该服务器时极力阻止相关信息泄露，我们还是能够确定，创建在2012年5月的服务器在2012年5月底发送了一个模块，命令Flamer"自杀"，也就是从计算机上将自己删除。通过被感染的mi-guan系统，我们发现了这一操作。

最后，控制面板需要一个散列（hash）存储的密码。尽管我们努力尝试将该散列变成纯文本，但最终还是不能确定该密码。如果谁能从以下散列中解压密码，请与赛门铁克公司联系：密码散列：27934e96d90d06818674b98bec7230fa  

此次C&C服务器分析工作是由赛门铁克、CERT-Bund/BSI、IMPACT和卡巴斯基共同完成的。点击此处了解赛门铁克对C&C服务器的完整分析报告，其中详细分析了：C&C服务器的设置情况、2006年起至少由4个作者开发的网络应用程序、操作者使用的控制面板，以及驱动该应用的数据库。

关于赛门铁克安全技术与响应中心
赛门铁克安全技术与响应中心（STAR），是由安全工程师、威胁分析员和研究员组成的全球化团队，为赛门铁克企业及个人用户安全产品，提供基础的功能、内容和支持。赛门铁克通过赛门铁克全球智能网络在全球建立了若干个互联网威胁数据的最综合来源。赛门铁克全球智能网络由6460万个攻击感应器组成，每秒更新数千次。该网络监测200多个国家和地区的攻击活动，并跟踪超过47000个漏洞，这些漏洞可能影响15000多个厂商的40000多个产品。垃圾邮件、网络钓鱼和恶意软件数据被多个来源捕获，包括赛门铁克探测网络、Skeptic、Symantec.cloud，以及赛门铁克许多其他安全技术。赛门铁克安全技术与响应中心通过这些强大的智能技术，提供全球最综合的安全保护。

关于赛门铁克
作为全球领先的安全、备份及可用性解决方案供应商，赛门铁克公司始终致力于保护全球的信息。赛门铁克的创新产品和服务能够保护处于各种环境下的人和信息——无论是小巧的移动设备，庞大的企业数据中心，还是云端系统。赛门铁克在保护数据、身份及交互方面的业界领先的专业技术和经验能够让人们在互联世界满怀信心。欲了解更多相关信息，欢迎访问赛门铁克公司网站：http://www.symantec.com。

新闻稿来源：http://www.symantec.com/zh/cn/ab ... sp?prid=20120918_01

ywsuda

此次C&C服务器分析工作是由赛门铁克、CERT-Bund/BSI、IMPACT和卡巴斯基共同完成的。

中间两个是干什么的

尘梦幽然

ywsuda 发表于 2012-9-23 15:31
此次C&C服务器分析工作是由赛门铁克、CERT-Bund/BSI、IMPACT和卡巴斯基共同完成的。

中间两个是干什么的

1.德国安全和计算机应急响应小组（CERT-Bund）

2.BSI集团已发展成为一流的全球性独立业务服务组织，通过基于标准的解决方案鼓舞客户的信心并提供保障。集团起初作为世界第一个国家标准组织，拥有超过2250 名员工，在100 多个国家和地区拥有50 多个全球办事处。集团的主要产品和服务有：
•编制和销售专用的、全国性和国际性标准和支持信息
•第二方和第三方管理系统评估和认证
•产品和服务的测试和认证
•绩效管理软件解决方案
•支持标准实施和业务最佳实践方面的培训服务

3.IMPACT应该也是一家公司或者组织，由于搜索引擎上干扰性条目太多，我找不到确切的信息。

ywsuda

尘梦幽然 发表于 2012-9-23 15:41
1.德国安全和计算机应急响应小组（CERT-Bund）

2.BSI集团已发展成为一流的全球性独立业务服务组织，通 ...

为何其他厂商不参与。。。三大呢

尘梦幽然

ywsuda 发表于 2012-9-23 15:51
为何其他厂商不参与。。。三大呢

剩下两大大概忙着入库去了。

dopod2009

铁壳给力啊

尘梦幽然

dopod2009 发表于 2012-9-23 16:33
铁壳给力啊

此处的“关于”那一栏中提到赛门铁克监控超过15000个厂商的40000多产品中至少47000个漏洞，比STAR技术介绍里的数据翻了近一番。

wjhstu-VxG

尘梦幽然 发表于 2012-9-23 17:05
此处的“关于”那一栏中提到赛门铁克监控超过15000个厂商的40000多产品中至少47000个漏洞，比STAR技术介绍 ...

因为 光阴荏苒啊

magicface

看来卡巴斯基这个去年营业额仅6亿美元的企业是真有心到企业级市场与三大竞争了。

尘梦幽然

magicface 发表于 2012-9-23 20:10
看来卡巴斯基这个去年营业额仅6亿美元的企业是真有心到企业级市场与三大竞争了。

卡巴斯基也是全球威胁情报比较灵通的厂商之一。