“Flame” آتش زننده فضای سایبر

مایلیم تا از آخرین بروزرسانی در رابطه با آنالیز Flamer (شعله) -بد افزار سارق اطلاعات- که اخباری فراوانی از آن در فضای سایبر منتشر شده، خوانندگان خود را آگاه سازیم.

بررسی ها نشان داد که برخی از اجزای بدافزار Flamer گزارش شده در پورتال اسکنر آنلاین، مربوط به ۲ سال و ۱۰ ماه پیش (آگوست ۲۰۰۹) می باشد. لیست زیر نشان می دهد که Flame محصولات امنیتی را شناسایی و متوقف می سازد.

ویروس Flame

رشته ‘KasperskyLab\AVP6’ و ‘KasperskyLab\protected\AVP7’ سرنخ مربوط به زمان تولید Flame را می دهد. این محصولات امنیتی خاص در سالهای ۲۰۰۸ و ۲۰۰۹ منتشر شده بودند. این بخش احتمال تولید این بدافزار در بین تاریخ های انتهای ۲۰۰۸ تا اویل ۲۰۰۹ را بسیار افزایش می دهد.

مخرب “شعله” شباهت های زیادی مانند استفاده از آسیب پذیری ای Print Spooler و LNK جهت انتشار برداری و قوانین نامگذاری برخی از فایلها با ویروس Stuxnet/Duqu دارد. هرچند که نحوه پیاده سازی آن به علت استفاده از زبان برنامه نویسی Lua -یک زبان اسکریپتی قدرتمند، سبک و قابل درونسازی از ویروسهای استاکس نت/دوکو متفاوت است. پیاده سازی با زبان Lua مزایای فراوانی در فرآیند توسعه دارد مثلاً پکیج های فراوان منتشر شده در https://github.com/LuaDist/Repository برای برنامه نویسی شبکه ای، کتابخانه های فشرده ساز و برنامه نویسی پایگاه داده ای که همه این عوامل تولید نرم افزار را تسریع می کند.

استفاده از کلیدنگار (key logging)، تصویربرداری از صفحه نمایش (screenshot taking)، رصد بسته های شبکه (network sniffing)، آلودگی USB، آلودگی Autorun.inf، ارسالی اطلاعاتی به سرورهای C&C، معماری مبتنی بر کامپوننت، مکانیزم خود-بروزرسانی و متدهای رمزنگاری/فشرده سازی با فرمتهای پیچیده فایل در این بد افزار نهفته است. تمایز Flame در استفاده از پایگاه داده SQLite برای ذخیره سازی مقدار زیادی از اطلاعات ذخیره شده، ضبط صدا از میکروفن، قابلیت ها بلوتوث و… می باشد.

ویروس شعله

ویروس “شعله” همچنین دارای ماژولهای متفاوتی است که بر روی موارد زیر متمرکز شده اند:
– انتخاب فایلهای خاص از کامپیوتر قربانی
– ذخیره لیستی از دایرکتوری های رد شده
– فشرده سازی فایلها در فضای ذخیره سازی
– تقسیم داده ها به بخش های کوچکتر قبل از ارسال آنها
– اولویت بندی داده ها برای ارسال
– محدود کردن مقدار اطلاعاتی که باید ارسال شوند
– ارسال مجدد در صورت شکست در ارسال
– نظارت بر عملکرد رایانه بدون برانگیختن سوءظن

ویروس فلیم

در موارد حملات هدفمند، ویژگی های مهمی وجود دارند که بهره برداری موفق از هر یک از این ویژگی ها برای مهاجمین بسیار ارزشمند است. عملکرد Flamer برای اجرای دستورات بر مبنای هفتگی و ماهانه برنامه ریزی شده بود. تعداد کل آلودگی های گزارش شده زیر ۵۰۰ مورد است که در حال حاضر بیشتر سازمانهای دولتی خاورمیانه را هدف قرار داده اند. به دلیل تعداد آلودگی اندک، طی این ۳ سال از رادار شرکتهای امنیتی در برابر شناسایی در امان بوده است.

سوالات درباره چگونگی حمله و محتویات اطلاعات جمع آوری شده هنوز بی پاسخ باقی مانده است. تحقیق و تفحص جهت پاسخگپویی به این پرسشها همچنان ادامه دارد.

این امکان وجود دارد که مانند “شعله های” آتش در حال سوزاندن مزارع زیادی باشد، نه فقط در خاورمیانه!

کاربران کوییک هیل در برابر این جاسوسی سایبری محافظت شده می باشند. Quick Heal این بد افزار را با عنوان “Trojan.Flamer.A” شناسایی و پاکسازی می کند.

نویسنده: رانجش نیکام

این نوشته در تهديدات جديد, عمومی ارسال و , , , , , برچسب شده است. افزودن پیوند یکتا به علاقه‌مندی‌ها.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *