ΑρχικήsecurityΤο οδοιπορικό των πιο φονικών ιών της ιστορίας: 2012 – Flame #20

Το οδοιπορικό των πιο φονικών ιών της ιστορίας: 2012 – Flame #20

Συνεχίζοντας το μακρύ οδοιπορικό μας, και αφού είδαμε τον Duqu να δρα τον προηγούμενο χρόνο, βρισκόμαστε εξ απροόπτου όταν το 2012, ένα χρόνο μετά, ανακαλύπτουμε τον φλογερό ιό Flame! Η ομάδα Security Response της Symantec μόλις εντόπισε και αναλύει μίας νέα εξελιγμένη και αθόρυβη απειλή με την ονομασία «W32.Flamer». Η σοβαρότητα της απειλής παραλληλίζεται με τα κακόβουλα λογισμικά Stuxnet και Duqu. 

Σε αντίθεση με τις προηγούμενες δύο απειλές, αυτός ο κώδικας δεν είναι δημιουργημένος από ένα άτομο, αλλά από μία οργανωμένη ομάδα ατόμων με συγκεκριμένες «κατευθυντήριες εντολές». Ο κώδικας περιλαμβάνει πολλαπλές αναφορές στην ακολουθία με την ονομασία «FLAME», οι οποίες είναι ενδεικτικές είτε των περιόδων των επιθέσεων σε διάφορα τμήματα του κώδικα είτε αναφέρεται στην ονομασία ανάπτυξης του malware.

Flame-490x330

 

Η ομάδα Security Response παρομοιάζει τον ιό που ονομάζει “W32.Flamer”, γνωστό και ως Flame (Φλόγα), με τον Stuxnet -το «σκουλήκι» που προσέβαλε βιομηχανικές μονάδες ανά τον κόσμο, κυρίως στο Ιράν και τον Duqu, που δημιουργούσε μια κερκόπορτα σε ευαίσθητα δεδομένα. Ο κώδικας του περιλαμβάνει πολλαπλές αναφορές στην ακολουθία με την ονομασία ‘FLAME’, οι οποίες είναι ενδεικτικές είτε των περιόδων των επιθέσεων σε διάφορα τμήματα του κώδικα, είτε αναφέρεται στην ονομασία ανάπτυξης του malware.

Flamer_Comparison_v2-e1339449519960

Η απειλή λειτουργούσε αθόρυβα για τουλάχιστον δύο χρόνια, έχοντας τη δυνατότητα να υποκλέπτει αρχεία, να λαμβάνει screenshots από τα desktop των χρηστών, να εξαπλώνεται μέσω USB drive, να απενεργοποιεί προϊόντα ασφαλείας και κάτω από ορισμένες συνθήκες να εξαπλώνεται σε άλλα συστήματα. Η απειλή μπορεί να είχε επίσης την δυνατότητα να αξιοποιεί πολλές γνωστές και επιδιορθωμένες ευπάθειες (vulnerabilities) στο λειτουργικό σύστημα Microsoft Windows, με στόχο την εξάπλωσή του στο υπάρχον δίκτυο.


images

Flamer: Εξαιρετικά σύνθετη και αθόρυβη απειλή που πλήττει τη Μέση Ανατολή (Tεχνικά στοιχεία)

 

Δραστηριότητα της απειλής

Εξετάζοντας τις αναφορές μόλυνσης ενός από τα βασικά λειτουργικά της στοιχεία και το αρχείο διαμόρφωσης, μπορούμε να προσδιορίσουμε τους στόχους της W32.Flamer και μια τμηματική γραμμή χρόνου. Ωστόσο, είναι πιθανό οι στόχοι και η γραμμή χρόνου να αλλάξουν, καθώς θα αναλύουμε περισσότερες αναφορές μόλυνσης. Ορισμένα αρχεία των λειτουργικών της στοιχείων έχουν αναγνωριστεί.

Αυτά είναι:

advnetcfg.ocx
ccalc32.sys
mssecmgr.sys
msglu32.ocx
boot32drv.sys
nteps32.ocx

Έχουν ανακαλυφθεί δύο παραλλαγές του αρχείου advnetcfg.ocx. Η πρώτη παραλλαγή έχει ημερομηνία το Σεπτέμβριο του 2010. Η δεύτερη παραλλαγή εμφανίστηκε το Φεβρουάριο του 2011. Το αρχείο διαμόρφωσης ccalc32.sys επίσης έχει δύο παραλλαγές, οι οποίες και οι δύο εμφανίζονται περίπου το ίδιο χρονικό σημείο με το αρχείο advnetcfg.ocx.

timeline

Εικόνα 1. Γραμμή χρόνου της δραστηριότητας της απειλής

 

Εκτός από τα εξακριβωμένα περιστατικά, υπάρχουν ανεπιβεβαίωτες αναφορές για μολύνσεις που χρονολογούνται από το 2007. Ελπίζουμε να μπορέσουμε να επιβεβαιώσουμε σύντομα τις αναφορές αυτές.

heatmap_0

Εικόνα 2. Κατανομή της απειλής

Με βάση το πλήθος των μολυσμένων υπολογιστών, φαίνεται ότι οι κύριοι στόχοι της απειλής βρίσκονται στη Δυτική Όχθη της Παλαιστίνης, στην Ουγγαρία, στο Ιράν και στο Λίβανο. Ωστόσο, υπάρχουν αναφορές για επιθέσεις σε Αυστρία, Ρωσία, Χονγκ Κονγκ και Ηνωμένα Αραβικά Εμιράτα. Αυτές οι αναφορές μπορεί να αφορούν έναν στοχευμένο υπολογιστή ο οποίος όμως να μετακινήθηκε σε άλλη περιοχή–ένα laptop, για παράδειγμα. Είναι ενδιαφέρον να παρατηρήσουμε ότι, εκτός από συγκεκριμένες επιχειρήσεις που αποτέλεσαν στόχο, πολλοί από τους υπολογιστές που μολύνθηκαν φαίνεται να είναι προσωπικοί υπολογιστές με ιδιωτική σύνδεση στο Internet.

 

Λεπτομέρειες για την απειλή

Έχουμε πάρει αρκετά από τα λειτουργικά συστατικά στοιχεία της απειλής και τα αναλύουμε. Ορισμένα από αυτά έχουν γραφτεί με τέτοιο τρόπο ώστε με πρώτη ματιά δεν είναι εύκολο να εντοπιστεί η κακόβουλη λειτουργικότητά τους. Δεν υπάρχουν δεδομένα υψηλής εντροπίας (μεταβλητότητας) και δεν υπάρχουν εμφανώς ύποπτα strings.

Ο κώδικας είναι εξαιρετικά σύνθετος, γεγονός που δυσκολεύει την ανάλυση. Η δράση του περιλαμβάνει την ικανότητα υποκλοπής εγγράφων, τη λήψη στιγμιοτύπων από την επιφάνεια εργασίας των χρηστών, την εξάπλωση μέσω αφαιρούμενων μονάδων δίσκου και την απενεργοποίηση του λογισμικού ασφαλείας. Ακόμη, κάτω από συγκεκριμένες συνθήκες, η απειλή μπορεί επίσης να εκμεταλλευτεί γνωστές και διορθωμένες ευπάθειες των Microsoft Windows προκειμένου να εξαπλωθεί στο δίκτυο.

Στην Εικόνα 3 παρουσιάζεται η αλληλεπίδραση των συστατικών στοιχείων της απειλής που έχουν αναγνωριστεί μέχρι τώρα. Έχετε υπόψη σας ότι σε άλλες μολύνσεις, τα ονόματα αρχείων μπορεί να διαφέρουν.

 

malware_overview

Εικόνα 3. Συστατικά στοιχεία απειλής

Το αρχείο advnetcfg.ocx φορτώνει και αποκρυπτογραφεί δεδομένα διαμόρφωσης από ένα αρχείο που ονομάζεται ccalc32.sys. Το αρχείο ccalc32.sys έχει κρυπτογράφηση RC4 με κλειδί 128-bit. Όταν η απειλή δημιουργεί το αρχείο ccalc32.sys, τροποποιεί αναδρομικά τη χρονοσφραγίδα του ώστε να είναι ίδια με αυτή του αρχείου kernel32.dll, ενός αρχείου συστήματος των Windows, σε μια προσπάθεια να ξεγελάσει το χρήστη και να μην παρατηρήσει το αρχείο.

Το αρχείο advnetcfg.ocx έχει επίσης την αποστολή να εκτελεί εντολές που δίνονται από ένα τρίτο συστατικό στοιχείο. Η ανάλυση των υπόλοιπων συστατικών στοιχείων δεν έχει ακόμη αποκαλύψει ποιο στοιχείο είναι επιφορτισμένο να επικοινωνεί με το advnetcfg.ocx.

Το αρχείο χρησιμοποιεί μια σύνθετη μέθοδο για να εισχωρεί στο winlogon.exe, στις διεργασίες του λογισμικού ασφαλείας ή άλλες επιλεγμένες διεργασίες. Εισάγονται διάφορες ενότητες κώδικα και γίνεται κλήση τους ανάλογα με την περίπτωση.

Επιπλέον, μπορεί επίσης να φορτώσει το shell32.dll (ένα καθαρό DLL του συστήματος των Windows), αλλά αφού φορτωθεί, αντικαθιστά το DLL που φορτώθηκε με ένα μολυσμένο DLL. Το αρχείο advnetcfg.ocx έχει επίσης την ικανότητα να παίρνει στιγμιότυπα οθόνης και να εκτελεί διάφορα κόλπα anti-debugging.

Το αρχείο mssecmgr.ocx είναι μεγάλο και περιλαμβάνει σημαντική λειτουργικότητα, όπως φαίνεται στην Εικόνα 4.

mssecmgr.ocx_

Εικόνα 4. Αναγνωρισμένα συστατικά στοιχεία του mssecmgr.ocx

Περιλαμβάνει LUA interpreter, κώδικα SSH και λειτουργικότητα SQL. Η υλοποίηση LUA interpreter δίνει σε αυτό το στοιχείο μεγάλη ευελιξία και δυνατότητα διαμόρφωσης. Επιτρέπει στους εισβολείς να ενσωματώνουν νέες εντολές και λειτουργικότητα πολύ γρήγορα και πολύ αποτελεσματικά. Το αρχείο αυτό μπορεί επίσης να εμφανίζεται στο μητρώο ως:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\”Authentication Packages” = “mssecmgr.ocx”

Στο mssecmgr.ocx περιλαμβάνονται ακόμη μερικά στοιχεία, όπως βλέπετε στο διάγραμμα.

Το αρχείο mssecmgr.ocx παρουσιάζει ιδιαίτερο ενδιαφέρον επειδή στον κώδικά του γίνεται αναφορά σε ένα αρχείο με το όνομα ~DEB93D.tmp. Το αρχείο ~DEB93D.tmp έχει συσχετιστεί από ανεξάρτητους ερευνητές με τον ιό ‘wiper’ που προκάλεσε την αποσύνδεση από το Internet αρκετών τερματικών στις πετρελαϊκές εγκαταστάσεις του Ιράν. Ο ιός ‘wiper’ ονομάστηκε έτσι γιατί διέγραψε πληροφορίες από τους σκληρούς δίσκους των υπολογιστών που μόλυνε.

Το αρχείο nteps32.ocx έχει κυρίως ως αποστολή τη λήψη στιγμιοτύπων οθόνης. Ανακτά πληροφορίες διαμόρφωσης από το boot32drv.sys. Αυτά τα δεδομένα διαμόρφωσης, κρυπτογραφημένα με 0xFF, ορίζουν τις παραμέτρους της λειτουργικότητας. Για παράδειγμα, καθορίζει πόσο συχνά θα γίνεται λήψη στιγμιοτύπων οθόνης.

Το αρχείο msglu32.sys περιλαμβάνει κώδικα που του επιτρέπει να ανοίγει και να υποκλέπτει δεδομένα από διαφόρων τύπων έγγραφα, εικόνες, εικόνες με δεδομένα GPS, παρουσιάσεις, αρχεία έργων και μηχανολογικά ή άλλα σχέδια. Όπως και το mssecmgr.sys, διαθέτει επίσης λειτουργικότητα SQL. Είναι ενδιαφέρον να πούμε ότι το στοιχείο αυτό περιέχει πολλαπλές αναφορές στο ‘JIMMY’, με μηνύματα όπως ‘Jimmy Notice: failed to convert error string to unicode’. Jimmy μπορεί να είναι το κωδικό όνομα αυτού του στοιχείου.

 

Η ανάπτυξη του malware σε module δηλώνει ότι δημιουργήθηκε από μια ομάδα προγραμματιστών με στόχο να διατηρηθεί για μεγάλο χρονικό διάστημα και πολύ πιθανό να συντηρείται από διαφορετικές ομάδες. Η αρχιτεκτονική που χρησιμοποιήθηκε για το W32.Flamer επιτρέπει στους δημιουργούς του να αλλάζουν τη συμπεριφορά και τη λειτουργικότητα μεμονωμένου συστατικού στοιχείου χωρίς να χρειάζεται να ξαναγράψουν τον κώδικα και χωρίς να γνωρίζουν για τα άλλα στοιχεία που χρησιμοποιούνται από τους ελεγκτές του malware. Οι αλλαγές μπορούν να υλοποιoύνται ως αναβαθμίσεις της λειτουργικότητας, διορθώσεις ή απλώς να ξεφεύγουν από το λογισμικό ασφαλείας.

 

 

[alert variation=”alert-info”]Στον σύνδεσμο που ακολουθεί μπορείτε να διαβάσετε τις οδηγίες απεγκατάστασης του ιού Flame

Πώς να απεγκαταστήσετε τον  Worm W32.Flamer; (οδηγίες απεγκατάστασης)[/alert]

 

Σε αυτό το σημείο η εκτενής αναφορά μας στον ιό Flame έφτασε στο τέλος της. Ελπίζουμε να μάθατε αρκετές νέες πληροφορίες από τη σημερινή μας στάση. Ανανεώνουμε το ραντεβού μας για αύριο. Ποιά θα είναι η επόμενη στάση; Είναι άραγε ο αυριανός ιός πιο καταστροφικός από τον Flame; 

Μείνετε συντονισμένοι στο SecNews και θα βρείτε όλες τις απαντήσεις!

to be continued

 

spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS