Symantec провела анализ сервера управления шпионским вирусом Flamer

Читайте также:

Корпорация Symantec совместно с CERT-Bund и «Лабораторией Касперского» провела детальный криминалистический анализ сервера управления атаками W32.Flamer, выявленными этой весной.

W32.Flamer представляет собой комплексное средство кибер-шпионажа, ориентированное, в первую очередь, на страны Ближнего Востока. В рамках проводимого исследования C&C-сервер был запущен 18 мая 2012 г., и примерно через 5 часов после его запуска было зарегистрировано первое взаимодействие с клиентом — компьютером, инфицированном вирусом Flamer. За последующие несколько недель данный исследуемый C&C-сервер получил контроль как минимум над несколькими сотнями аналогичных клиентов, говорится в сообщении Symantec.

Исследование показало, что управление клиентами осуществляется с помощью веб-приложения Newsforyou (дословно с англ. — «новости для вас»). Оно обеспечивает взаимодействие клиентов с C&C-сервером и предоставляет злоумышленнику простую панель управления для загрузки дополнительного программного кода на клиента и скачивания с него похищенной информации. По мнению экспертов Symantec, CERT-Bund и «Лаборатории Касперского», не похоже, чтобы оно было создано исключительно для Flamer — в нём содержится функционал взаимодействия по различным протоколам с клиентами, заражёнными множеством других вредоносных программ. В таблице ниже отражена взаимосвязь между идентификаторами различных вредоносных программ и множеством поддерживаемых протоколов:

image

Как видно из таблицы, несколько угроз, поддерживаемых данной средой, всё ещё неизвестны. Это, скорее всего, не обнаруженные модификации Flamer, либо совершенно не связанные с ним другие вредоносные программы, полагают в Symantec.

Сервер был настроен так, чтобы записывать лишь минимальные объёмы информации, конфигурация системы предусматривала журналирование лишь необходимых событий, а записи базы данных регулярно удалялись. Файлы журналов невосстановимо вычищались с сервера также на регулярной основе. Всё это было предпринято с целью затруднить расследование в случае непредусмотренного получения доступа к серверу, пояснили в компании.

Однако злоумышленники подошли к делу недостаточно тщательно — остался доступным файл, в котором был отражён весь процесс установки и настройки сервера. Кроме того, по оставшимся в базе данных зашифрованным записям удалось определить, что подключение заражённых клиентов осуществлялось из стран Ближнего Востока. Специалистам Symantec, CERT-Bund и «Лаборатории Касперского» также удалось установить псевдонимы четырёх авторов — DeMo, Hikaru, OCTOPUS и Ryan, работавших над созданием программного кода на разных стадиях и по различным аспектам, начиная ещё с 2006 г.

Symantec провела анализ сервера управления шпионским вирусом Flamer

«Структура проекта отражает четкое распределение ролей между злоумышленниками: одни занимались настройкой сервера (администраторы), другие отвечали за загрузку вредоносного кода и скачивание украденной информации через панель управления (операторы), а третьи обладали ключом для расшифровки полученной информации, — рассказали в компании. — При этом операторы могли совсем ничего не знать о характере украденной информации. Налицо использование злоумышленниками методов фрагментации (разделения на зоны безопасности) для обеспечения защиты информации. Использование подобного подхода характерно, прежде всего, для военных и разведывательных подразделений, хотя ими не ограничивается».

Несмотря на все усилия злоумышленников предотвратить утечку информации в случае получения несанкционированного доступа к серверу, экспертам Symantec, CERT-Bund и «Лаборатории Касперского» удалось обнаружить, что C&C-сервер распространил модуль, содержащий инструкции самоуничтожения Flamer в конце мая 2012 г. — поведение, которое также наблюдалось у инфицированных компьютеров-приманок.

«И, наконец, для доступа к панели управления требуется пароль, соответствующий его хранимому хешу. Несмотря на все предпринятые нами попытки подбора, восстановить пароль из его хеша нам не удалось, — сообщили в Symantec. — Если кто-нибудь может восстановить пароль из нижеприведённого хеша, пожалуйста, свяжитесь со специалистами Symantec через официальный сайт корпорации».

Хеш пароля: 27934e96d90d06818674b98bec7230fa.

Источник: http://safe.cnews.ru/news/line/index.shtml?2012/09/20/503662

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Symantec провела анализ сервера управления шпионским вирусом Flamer | | 2012-09-20 11:30:00 | | Статьи об Интернет безопасности | | Читайте также:Корпорация Symantec совместно с CERT-Bund и «Лабораторией Касперского» провела детальный криминалистический анализ сервера управления атаками W32.Flamer, выявленными этой весной. W32 | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: