Troianul W32 Flame

Articol postat de:

CERT-RO

Scurt istoric

Malware-ul Flame a fost descoperit inițial pe 28 mai 2012 de către MAHER CERT din Iran, Kaspersky Lab și Lab CrySys. Vestea venită de la cercetătorii în securitate cibernetică sună ca o poveste dintr-un film science fiction: ani întregi, un program de supraveghere a stat în stare latentă pe computere din întreaga lume, activând în secret microfoane, luând imagini, copiind fișiere, înregistrând intrările de la tastatură. Răspândirea se realiza prin Bluetooth, iar informațiile erau trimise către servere necunoscute pe Internet.

Ca urmare a unei cereri de investigare făcută de către United Nations International Telecommunications Union, descoperirea lui Flame a fost făcută publică. Multe dintre calculatoarele infectate aparțineau unor ținte precise. Cel mai îngrijorător lucru era determinat de faptul că acest software a eludat cel mai bun software antivirus ani de zile.

Ce este W32/Flame

W32/Flame este un troian, capabil de acțiuni mai periculoase decât un troian normal. Acesta poate fura date din sistemele infectate prin diferite metode (capturi de ecran, furt parole, înregistrări audio prin microfon etc.) și poate instala software adițional pentru a oferi acces atacatorului.

Denumit ”Flame” de către Kaspersky Lab și ”Flamer” de către cei de la Symantec, acest cod malițios depășește Stuxnet ca mărime. Stuxnet este tot un malware care a atacat programul nuclear al Iranului în 2009 și 2012. Deși Flame are scop și compoziție diferită față de Stuxnet și pare că a fost scris de către programatori diferiți, complexitatea acestuia, delimitarea geografică a infecțiilor sale și comportamentul său indică puternice suspiciuni că un anumit stat ar putea susține activitatea din spatele Flame și nu infractori cibernetici comuni. Flame este văzut astfel ca un nou instrument ăn arsenalul de arme cibernetice, aflat în continuă creștere.

Cercetătorii sunt de părere că Flame poate fi parte a unui proiect paralel creat de contractori care au fost angajați de același stat care a fost în spatele Stuxnet și a malware-ului său afiliat, Duqu.

Analiza timpurie asupra Flame făcută de către laboratoarele de securitate indică faptul că acesta este destinat în primul rând pentru a spiona pe utilizatorii ai căror computere au fost infectate și pentru a le fura date, inclusiv documente, conversații înregistrate și intrările de la tastatură. Totodată, deține capacitatea de a deschide un backdoor la sistemele infectate pentru a permite atacatorilor să ajusteze setul de instrumente și să adauge noi funcționalități.

Acest software maliţios se instalează pe sistemele infectate şi adună date sub forma unor screen-shoturi, vizând programe de genul instant messaging ori înregistrări audio create cu ajutorul microfonului din sistem (în cazul în care acesta există). Totodată, el işi înmagazinează într-o bază de date SQL şi periodic transmite datele colectate către un server de comandă şi control, folosind conexiuni securizate HTTPS.

Infecţia poate fi indicată de către prezenţa următoarelor tipuri de fişiere:

  • %Windows%system32mssecmgr.ocx
  • %Windows%system32ccalc32.sys
  • %Windows%system32oot32drv.sys
  • DEB93D.tmp
  • HLV084.tmp
  • HLV294.tmp
  • dstrlog.dat
  • lmcache.dat
  • mscrypt.dat
  • ntcache.dat
  • rccache.dat
  • audcache
  • audfilter.dat
  • dstrlog.dat
  • lmcache.dat
  • ntcache.dat
  • wpgfilter.dat

Din cauza faptului că acest software maliţios nu pare a urmări distrugerea sistemului şi din pricina faptului că acesta comunică prin HTTPS cu sistemele de comandă şi control, infecţiile pot fi dificil de detectat.

Per total, rata infectării determinată de acest software pare a fi mică, în principal fiind ţintite state din Orientul Mijlociu, infecţii fiind raportate în Iran, Israel, Siria și Egipt.

Cum acţionează W32/Flame

Software-ul se poate răspandi prin metode multiple, chiar indreptându-şi atenţia asupra campaniilor pe e-mail, deviceuri USB cât şi a vulnerabilităţilor Microsoft Windows.

Un firewall rule-based ori unul de aplicaţie poate limita ori preveni impactul acestui troian. În primul caz, acestea sunt de regulă setate de către un administrator pentru întreaga reţea, de regulă pentru a bloca tot fluxul de trafic, excepţie făcand acel trafic ce trece prin porturi necesare producţiei. Cele de aplicaţie pot fi configurate pentru a permite anumitor servicii şi procese să acceseze internetul ori reţeaua locală. Aceste firewall-uri pot atenţiona un user de fiecare dată când un nou proces sau serviciu încearcă să acceseze internetul sau reţeaua locală. Amandouă pot preveni apariţia unor coduri maliţioase din descărcarea de updateuri sau fişiere adiţionale. Totodată, pot evita contactarea de către codul respectiv a unui atacator sau a unui website, dar şi accesarea resurselor reţelei locale.

Cele mai sigure practici cu privire la securitate presupun ca restricționarea formatele de fişiere de regulă asociate cu acel cod maliţios pentru a pătrunde în reţea. Aşadar, educarea userului în baza principiului evitării infecţiei este de o importanţă deosebită.

Extrem de interesantă este capabilitatea „sinucidere”. Computerele compromise contactează regulat serverul de comandă și control pentru a obține comenzi adiționale. În urma solicitării, serverul C&C le-a transmis un fișier numit browse32.ocx. Acest modul conține:

EnableBrowser. Acesta este un inițializator care setează mediul (mutex, evenimente, memorie partajată, etc) înainte de angajarea oricăror tipuri de acțiuni.
StartBrowse. Aceasta este partea de cod care operează actuala eliminare a componentelor Flame

Modulul conține o listă lungă de fișiere și directoare care sunt folosite de către Flame. Prin urmare, se localizează fiecare fișier de pe disc, se îndepărtează, și, ulterior se suprascrie discul cu caractere aleatoare pentru a împiedica obținerea de informații despre infecție. Această componentă conține o rutină pentru generarea de caractere aleatoare utilizate în operațiunea de suprascriere. Cu alte cuvinte, încearcă să nu lase urme ale infecției în urmă. Așadar, recuperarea componentei respective s-a făcut în honeypot-uri. Orice client care primește un astfel de fișier ar începe să elimine toate urmele Flame din computerul infectat, inclusiv acest modul.

Marea majoritate a infecțiilor Flame sunt mașini care rulează Windows 7 32 bit (aproximativ 50%). Windows XP ocupă locul următor cu 45% și Windows Vista în cele din urmă cu restul de 5%. Este important de precizat că Flame nu rulează pe Windows 7 64 bit, care este recomandat ca soluție împotriva infecțiilor cu acest tip de malware.

Măsuri de precauție

Administratorii sunt sfătuiţi să ruleze atât antivirusul cât şi firewall-ul cu scopul minimizării ameninţării interne şi externe.

Userii sunt sfătuiţi să nu deschidă mailuri de la surse necunoscute sau neautorizate. Dacă aceste linkuri ori ataşamente nu pot fi verificate pentru siguranţă, sfatul este să nu fie deschise.

Se recomandă folosirea unui antivirus actualizat, care să opereze continuu ori cu funcţii de autoprotecţie. În plus, configurarea să se facă, pe cât posibil, astfel încât să se permită scanarea fişierelor comprimate.

Funcţia auto-update este şi ea absolut necesară. Prin urmare, această acţiune trebuie repetată zilnic, fie şi manual. Stabiliţi proceduri pentru update imediat ca răspuns la atacuri.

Înlăturarea tuturor produselor şi caracteristicilor care nu sunt necesare. Se recomandă instalarea tuturor patch-urilor şi upradeurilor relevante pentru securitatea sistemului de operare și a aplicațiilor instalate pe sisteme.

Configuraţi accesul la reţea pentru a stabili un reper de interdicţie prin limitarea fluxului de trafic şi a serviciilor de reţea la doar acele acţiuni necesare pentru operaţiuni de business, spre exemplu.

Stabiliţi o protecţie suplimentară pentru useri mobili ori remote. Includeţi updateul zilnic al antivirusului, firewall-ul personal şi traducerea adreselor de reţea in routere ori firewalluri.

Pentru mai multe informații cu privire la modalitățile de dezinfectare, puteți accesa linkul de mai jos.

http://labs.bitdefender.com/2012/05/cyber-espionage-reaches-new-levels-with-flamer/

În secțiunea PROGRAME a site-ului CERT-RO poate fi regăsit și o aplicație de dezinfecție, dezvoltată de Kaspersky și International Multilateral Partnership Against Cyber Threats (IMPACT), parteneri de cooperare ai CERT-RO. Aceasta a fost pusă la dispoziția CERT-RO, în exclusivitate, pentru a fi diseminată în România.

http://www.cert-ro.eu/files/soft/Kaspersky_Virus_Removal_Tool_2011_SITU_Edition.zip

Sursa foto: CERT-RO
Sursa articolului: CERT-RO


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>