1- معرفي :
بد افزار شعله در 28 مه 2012 توسط
موسسه ماهر ايران،
آزمايشگاه كسپراسكي و آزمايشگاه كراي سيس (
CrySys ) كشف
شد.اما خبرهاي بعدي كه توسط محققين در مورد اين ويروس منتشر شد بيشتر شبيه به داستان هاي علمي تخيلي بود :
يك جاسوس افزار بين الملي كه به طور مخفيانه اقدام به ضبط صداي ميكروفن هاو تصاوير دوربينها، كپي كردن فايل هاو ضبط
كليد ها مي كرد و مي توانست از طريق شبكه محلي، USB درايو و حتي بلوتوث خود را منتشر كند و تمام اطلات خود را بر
روي ده ها سرور ناشناخته بر روي اينترنت قرار مي داد.
پس از درخواست
سازمان بين المللي ارتباطات براي بررسي ويروس،مشخص شد اين پيچيده ترين سلاح سايبري شناخته
شده در جهان مي باشد كه تاكنون ساخته شده . نگران كننده ترين موضوع در رابطه با Flame ناشناخته ماندن آن از ديد تمام
شركت هاي مختلف آنتي ويروسي جهان بود.
{لينك خبر}
البته انجين نرم افزار شركت امنيتي
webroot در سال 2007 و 2010 توانسته بود هسته مركزي و يكي از فايل هاي تمپ
مخرب اين ويروس را شناسايي كند ولي به گفته كارشناسان اين شركت چون گزارش هاي كمي در رابطه با اين فايل ارائه
شده بود تنها به پرخطر بودن آن اكتفا كرده و هرگز به اناليز آن نپرداختند. بد نیست بدانید شرکت آمریکایی وب روت در سال
2010 شرکت امنیتی انگلیسی Prevx را به تملک خود در آورده و سپس محصول ضد ویروس Webroot Secure Anywhere را با
ویژگی های منحصر بفرد ارائه نمود
.
"~ZFF042.TMP"
در اين پست ما به طور خلاصه در مورد آنچه Flame يا SkyWIperخوانده مي شود صحبت مي كنيم و اينكه چه چيز اون رو از
ديگر بدافزارهاي شناخته شده امروزي متمايز مي كنه.
2- تعريف :
ويروس
Flame _ نامگذاري توسط آزمايشگاه كسپرسكي _ يا
Flamer _ نامگذاري توسط سيمانتك_ يا
sKyWIper _ نامگذاري
توسط كراي سيس _ كد مخربي بسيار شبيه به استاكس نت بود ( در اين باره بعدا مفصل توضيح خواهم داد ) كه در دسته
بندي امروزي بد افزارها در دسته ويروس هاي هدفمند قرار مي گيرد كه ظاهرا هدف آن حمله به تاسيسات زير ساختي ايران
از جمله تاسيسات هسته اي بوده است .
اگر چه هدف نهايي ويروس استاكس نت و فليم يكي بوده اما به خاطر تفاوت هاي زيادي كه بين اين دو وجود دارد مي توان
نتيجه گرفت توسط دو تيم مخلف طراحي شده اند اما شباهت هايي بين اين دو وجود دارد كه باعث شده برخي كارشناسان
حدس بزنند كه اين دو تيم حداقل يك بار با هم تبادل اطلاعات كرده و سورس هاي خود را در اختيار يكديگر قرار داده اند.
اين شباهت در سورس ويروس دوكو Duqu و ويروس MiniFlame هم ديده مي شه. اگر به همه اينها پيچيدگي بيش از حد و
وسعت و نحوه انتشار اونها رو هم اضافه كنيم و صحبت هاي مقامات آمريكايي و اسرائيل رو هم باور كنيم مي شه نتيجه گرفت
كه اين نه يك ويروس مخرب بلكه يك سلاح سايبري جديد و بسيار توسعه يافته است كه اكنون در اختيار اين كشورهاست.
برخي شباهت ها بين Duqu و StuxNet و sKyWIper كه باعث شده ما اونها رو هم خانوده قلم داد كنيم :
• اينها تروجان هاي بسيار پيچيده اي هستند كه همگي از يك درايور 1MG با لايسنس معتبر استفاده مي كنند.
همين ويژگي احتمال دولتي بودن آنها را افزايش مي دهد
• هدف از ساخته شدنشان كنترل دستگاهي هاي صنعتي به خصوص دستگاه هاي ساخت شركت زيمنس بوده كه در
تاسيسات هسته اي ايران استفاده مي شدند. گفته مي شه اين ويروس ها ( StuxNet ) توانستند براي مدتي ( حدود
چندماه ) يك هزار دستگاه از مجموع 5 هزار سانتريفيوژي كه در تاسيسات غني سازي ايران بود را از دور خارج نمايند.
• هدفشان بيشتر جاسوسي صنعتي بوده
• حملات آنها به سيسيتم ها تقريبا شبيه به هم بوده
شباهت باينري درايورها ( ويروس دوكو و استاكس نت )
کد:
ATM n/wk Duqu FDD IPV6 fw KBD class Stuxnet
البته ويروس SKyWIper داراي ويژگي هاي منحصر به فردي است كه باعث مي شه برخي اون رو كاملا جدا از استاكس نت بدونن
پیچیده ترین بدافزار مخربي كه تا کنون یافت شده (20MB!). پلاگین های اختیاری برای محیط های مختلف.
گسترش از طریق شبکه محلی و یا USB
ضبط صدا، تصویر، کلید، ترافیک شبکه، مکالمات اسکایپ
به طور خودكار سيستم قرباني رو به يك BT تبديل مي كند (Break & Enter)
ارسال اطلاعات به C & C (Command & Control)
اما با اين حال شباهت هاي معنا دار فراواني از نظر تكنيكي و تكنولوژي به كار رفته در اين نوع ويروس ها وجود داره كه باعث شده من مجاب شم اين ويروس ها هم خانواده و احتمالا توسط تيم هايي بسيار نزديك به هم ساخته شده اند.
کد:
Feature Duqu, Stuxnet, ~D sKyWIper
------------------------------------------------------------------------------------------------------
Modular malware ✓ ✓
Kernel driver based rootkit ✓ fltmgr usage
Valid digital signature on driver Realtek, JMicron, C-media Not found
Injection based on A/V list ✓ Different
Imports based on checksum ✓ Not seen
3 Config files, all encrypted, etc. ✓ Totally diferrent
Keylogger module ✓ (Duqu) ✓
PLC functionality ✓ (Stuxnet) Not found (yet)
Infection through local shares ✓ (Stuxnet) ✓ Very likely
Exploits ✓ ✓ Some from Stuxnet!
0-day exploits ✓ Not yet found
DLL injection to system processes ✓ ✓ (but different)
DLL with modules as resources ✓ ✓
RPC communication ✓ ?
RPC control in LAN ✓ ?
RPC Based C&C ✓ ?
Port 80/443, TLS based C&C ✓ SSL+SSH found
Special “magic” keys, e.g. 790522, AE ✓ Only 0xAE is similar
Virtual file based access to modules ✓ Not seen
Usage of LZO lib Mod. LZO No LZO: Zlib, PPMd, bzip2
Visual C++ payload ✓ ✓
UPX compressed payload, ✓ some
Careful error handling ✓ ?
Deactivation timer ✓ Self-kill logic inside
Initial Delay ? Some Different from Duqu
Configurable starting in safe mode/dbg ✓ Not like Stuxn
محققان مي گويند كه "شعله" ممكن است بخشي از يك پروژه موازي ايجاد شده توسط همان پيمانكاران دولتي باشد كه
تيمي را جهت ساخت stuxNet و Duqu استخدام كرده اند.
تجزیه و تحلیل اولیه از شعله توسط آزمایشگاه های امنیتی نشان می دهد اين ويروس طوري طراحی شده است كه در درجه
اول به جاسوسی بر روی کامپیوتر های آلوده و سرقت اطلاعات از آنها مي پرداخته. همچنین با ايجاد BackDoor يا درپشتي
اين امكان را فراهم مي كرده كه سازندگان آن بتوانند به راحتي ماژول ها و كدهاي مخرب بيشتري را روي سيستم هاي
قرباني منتقل و اجرا نمايند.
در زماني كه بدافزارها وزني حدود 25 تا 70 KB دارند و به ندرت حجمي بيشتر از 100 kb پيدا مي كنند، تروجاني با هسته
مركزي حدود 6MB و مشتمل بر چندين ماژول و كتابخانه ، مجهز به پايگاه داده SqlLite3 ، داراي 5 روش مختلف رمزنگاري
و 3 روش فشرده سازي ، قابليت اضافه شدن ماژول هاي فراوان و همچنين داراي موتوري مجزا براي اجراي كدهاي اسكريپت
LUA ( اين نقطه عطف ويروس است ) و ....
همه و همه باعث شده تا شعله به يك ويروس فوق سنگين با وزني حدود 20،000 KB تبديل شود!
اولين نشانه هاي وجود شعله در سال 2007 كشف شد اما سال ها پس از آن از ديد تمام آنتي ويروس هاي دنيا مخفي ماند.
برخي محققان اظهار داشتند :" براي تجزيه و تحليل كامل stuxNet حدود 6 ماه زمان لازم است اما ويروس شعله 20 بار پيچيده
تز از آن بوده و آناليز كامل شعله ممكن است بيش از 10 سال طول بكشد"
![[تصویر: 21475555972771601434.png]](http://upload7.ir/images/21475555972771601434.png)
در ميان ماژول هاي انبوه شعله ، ماژولي وجود داشت كه مي توانست سيستم قرباني را به يك دستگاه شنود تما عيار تبديل
كند و تمام مكالمات افراد نزديك سيستم و نيز مكالماتي كه از طريق SKyPe انجام مي شد را نيز ضبط نمايد. يكي ديگر از ماژول ها هر 15 ثانيه يك تصوير از دستكتاپ قرباني تهيه مي كرد و ديگري كليه كليدهاي فشرده شده را لاگ مي نمود .اين ويروس مي توانست دستگاه بلوتوث سيستم قرباني را فعال نموده و اطلاعات دستگاه هاي مجاور را نيز هك كند و در نهايت همه اين اطلاعات به صورت فشرده و با استفاده از پروتكل امن SSL به سرور هاي C & C منتقل مي شدند.
همچنين اين بدافزار مي توانست با تكيه بر ابزاري شبيه به اسنايفر تمام پكت هاي ارسال شده در شبكه را رسد كرده و
احتمالا از آن براي يافتن پسورد و نام كاربران براي ايجاد دسترسي به سطوح بالاي امنيتي استفاده مي كرده.
نكته جالب توجه وجود فايلي با نام suicide در بين ماژول ها بود. درست حدس زديد! شلعه مكانيزمي براي خودكشي نيز دارد. اين
ويروس به طور دائم با سرور هاي C&C در تماس بود و به محض اينكه احساس خطر مي كرد مي توانست خود را به طور كامل
از روي سيستم قرباني آنيستال نمايد!! اين قابليت ها توسط browse32.ocx به ويروس اضافه شده بودند. اين فايل داراي دو
تابع داخلي بود :
EnableBrowser : اين تابع شرايط محيطي ويروس از جمله حافظه ، ايونتها و ماتكس ها و ... را قبل از اينكه هر اتفاقي بيافتد چك مي كرد.
StartBrowser : حذف ويروس و تمام كامپوننت هاي آن از روي سيسيتم قرباني دقيقا توسط اين تابع انجام مي شد.
همچنين اين ماژول محتوي ليست بلند بالايي از فايل ها و شاخه هاي ساخته شده توسط ويروس بود كه در زمان آنيستال
شدن! بايد همگي از روي سيستم قرباني حذف مي شدند، اما اين پايان حذف نبود، پس از حذف هر فايل ،فايل ها با
كاراكترهاي تصادفي به جاي آنها ايجاد و اصطلاحا ري رايت مي شد تا هر گونه عمليات ريكاوري بر روي سيستم ها غير ممكن
شود.
در زير فهرست فايل ها و پوشه هاي استخراج شده از فايل را ملاحظه مي كنيد :
کد:
Deleted files
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audcache
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audfilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlog.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlogh.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mlcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaud.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\qpgaaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\srcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wavesup۳.drv
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\authcfg.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ctrllist.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\posttab.bin
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\secindex.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\tokencpt
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dmmsap.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۲.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۳.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dommt.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\Lncache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ltcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscorest.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrol.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mspovst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrovst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrsysv.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msvolrst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\nt۲cache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rdcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ssitable
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache۳.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\audtable.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\fmpidx.bin
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lrlogic
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixercfg.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixerdef.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\sndmix.drv
•%SystemDrive%\system۳۲\msglu۳۲.ocx
•%SystemDrive%\Temp\~۸C۵FF۶C.tmp
•%Temp%\~*
•%Temp%\~a۲۸.tmp
•%Temp%\~a۳۸.tmp
•%Temp%\~DF۰۵AC۸.tmp
•%Temp%\~DFD۸۵D۳.tmp
•%Temp%\~DFL۵۴۲.tmp
•%Temp%\~DFL۵۴۳.tmp
•%Temp%\~DFL۵۴۴.tmp
•%Temp%\~DFL۵۴۵.tmp
•%Temp%\~DFL۵۴۶.tmp
•%Temp%\~dra۵۱.tmp
•%Temp%\~dra۵۲.tmp
•%Temp%\~dra۵۳.tmp
•%Temp%\~dra۶۱.tmp
•%Temp%\~dra۷۳.tmp
•%Temp%\~fghz.tmp
•%Temp%\~HLV۰۸۴.tmp
•%Temp%\~HLV۲۹۴.tmp
•%Temp%\~HLV۴۷۳.tmp
•%Temp%\~HLV۷۵۱.tmp
•%Temp%\~HLV۹۲۷.tmp
•%Temp%\~KWI۹۸۸.tmp
•%Temp%\~KWI۹۸۹.tmp
•%Temp%\~mso۲a۰.tmp
•%Temp%\~mso۲a۱.tmp
•%Temp%\~mso۲a۲.tmp
•%Temp%\~rei۵۲۴.tmp
•%Temp%\~rei۵۲۵.tmp
•%Temp%\~rf۲۸۸.tmp
•%Temp%\~rft۳۷۴.tmp
•%Temp%\~TFL۸۴۸.tmp
•%Temp%\~TFL۸۴۹.tmp
•%Temp%\~ZFF۰۴۲.tmp
•%Temp%\comspol۳۲.ocx
•%Temp%\GRb۹M۲.bat
•%Temp%\indsvc۳۲.ocx
•%Temp%\scaud۳۲.exe
•%Temp%\scsec۳۲.exe
•%Temp%\sdclt۳۲.exe
•%Temp%\sstab.dat
•%Temp%\sstab۱۵.dat
•%Temp%\winrt۳۲.dll
•%Temp%\winrt۳۲.ocx
•%Temp%\wpab۳۲.bat
•%Temp%\wpab۳۲.bat
•%Windir%\Ef_trace.log
•%Windir%\Prefetch\Layout.ini
•%Windir%\Prefetch\NTOSBOOT-B۰۰DFAAD.pf
•%Windir%\repair\default
•%Windir%\repair\sam
•%Windir%\repair\security
•%Windir%\repair\software
•%Windir%\repair\system
•%Windir%\system۳۲\advnetcfg.ocx
•%Windir%\system۳۲\advpck.dat
•%Windir%\system۳۲\aud*
•%Windir%\system۳۲\authpack.ocx
•%Windir%\system۳۲\boot۳۲drv.sys
•%Windir%\system۳۲\ccalc۳۲.sys
•%Windir%\system۳۲\commgr۳۲.dll
•%Windir%\system۳۲\comspol۳۲.dll
•%Windir%\system۳۲\comspol۳۲.ocx
•%Windir%\system۳۲\config\default.sav
•%Windir%\system۳۲\config\sam.sav
•%Windir%\system۳۲\config\security.sav
•%Windir%\system۳۲\config\software.sav
•%Windir%\system۳۲\config\system.sav
•%Windir%\system۳۲\config\userdiff.sav
•%Windir%\system۳۲\ctrllist.dat
•%Windir%\system۳۲\indsvc۳۲.dll
•%Windir%\system۳۲\indsvc۳۲.ocx
•%Windir%\system۳۲\lrl*
•%Windir%\system۳۲\modevga.com
•%Windir%\system۳۲\mssecmgr.ocx
•%Windir%\system۳۲\mssui.drv
•%Windir%\system۳۲\mssvc۳۲.ocx
•%Windir%\system۳۲\ntaps.dat
•%Windir%\system۳۲\nteps۳۲.ocx
•%Windir%\system۳۲\pcldrvx.ocx
•%Windir%\system۳۲\rpcnc.dat
•%Windir%\system۳۲\scaud۳۲.exe
•%Windir%\system۳۲\sdclt۳۲.exe
•%Windir%\system۳۲\soapr۳۲.ocx
•%Windir%\system۳۲\ssi*
•%Windir%\system۳۲\sstab.dat
•%Windir%\system۳۲\sstab۰.dat
•%Windir%\system۳۲\sstab۱.dat
•%Windir%\system۳۲\sstab۱۰.dat
•%Windir%\system۳۲\sstab۱۱.dat
•%Windir%\system۳۲\sstab۱۲.dat
•%Windir%\system۳۲\sstab۲.dat
•%Windir%\system۳۲\sstab۳.dat
•%Windir%\system۳۲\sstab۴.dat
•%Windir%\system۳۲\sstab۵.dat
•%Windir%\system۳۲\sstab۶.dat
•%Windir%\system۳۲\sstab۷.dat
•%Windir%\system۳۲\sstab۸.dat
•%Windir%\system۳۲\sstab۹.dat
•%Windir%\system۳۲\tok*
•%Windir%\system۳۲\watchxb.sys
•%Windir%\system۳۲\winconf۳۲.ocx
Deleted folders
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix
بيشترين ميزان آلودگي در ويندوز 7 نسخه 32 بيتي در حدود 50 % از كل آلودگي ها گزارش شده،پس از آن ويندوز XP با حدود
45% و ويندوز ويستا با حدود 5% گزارش شده اند،گرچه ويندوز 7 نسخه 64 بيتي از اين حمله در امان مانده بود اما به
هيچ وجه راه حل مناسبي براي محافظت در برابر اين قبيل ويروس ها نيست.
ادامه دارد ...
صفحه اصلی
انجمن
جستجو
فهرست اعضا
افزونه های فایرفاکس
» 
تشکر شده توسط :
![[تصویر: 83291253536269251046.jpg]](http://upload7.ir/images/83291253536269251046.jpg)
![[تصویر: 25333658019353663715.jpg]](http://upload7.ir/images/25333658019353663715.jpg)
![[تصویر: xshon.png]](http://i34.tinypic.com/xshon.png)
![[تصویر: cropped-Logo-3-2.png]](http://kernel32.ir/wp-content/uploads/2019/01/cropped-Logo-3-2.png){kind=logo}
