» »

Flame stokrat kompleksnejši od Stuxneta

Flame stokrat kompleksnejši od Stuxneta

Secure List - Računalniški napadi postajajo vedno pogostejši in zdi se, da zamenjujejo klasično vojskovanje in vohunjenje. Najbolj razvpit primer zlonamerne kode v zadnjih letih je Stuxnet, ki je sabotiral iranske centrifuge za bogatenje urana, leto dni pozneje pa mu je sledil Duqu, ki je kradel občutljive podatke. Naslednjo fazo v tej tekmi predstavlja Flame, ki je po besedah strokovnjakov najobsežnejši in najkompleksnejši zlonamerni program za prisluškovanje in krajo informacij.

Flame je razširjen že od leta 2010, a je javnosti postal znan šele sedaj, ko so ga analizirali v Kaspersky Labu. Gre za obsežen in dovršen kos kode, ki tehta 20 MB ali 40-krat več od Stuxneta. Vsebuje vrsto knjižic in celo virtualni stroj LUA, kar je v klasičnih malwarih velika redkost. Vektor napada je za zdaj neznan, a ko se program enkrat ugnezdi na omrežju, se lahko razširi po računalnikih v omrežju in začne prisluškovati. To počne zelo temeljito, saj ne le spremlja datoteke na disku, ampak zajema zaslonsko sliko, beleži pritiske tipk in celo snema pogovore po mikrofonu in s spletno kamero. Tako nastale večpredstavnostne datoteke stiska in skupaj z ostalimi podatki posreduje svojim avtorjem, in sicer prek SSL-kanala.

Manj gotove so informacije o avtorjih, njihovih motivih in času nastanka. Datoteke, ki tvorijo Flame, imajo datume nastanka v letih 1992-1995, a gre za lažne datume. Bržkone je bil Flame napisan najkasneje leta 2010 (krožiti je začel marca tedaj ali prej), obsežno predelavo pa je doživel lani. Zanimivo je, da je okužil predvsem bližnjevzhodne države. Čeprav so ga zaznali tudi v ZDA in Evropi, je ogromna večina okuženih računalnikov v Iranu, Izraelu, Sudanu, Siriji, Libanonu in Saudski Arabiji - skupno okoli 5000. Natančnih ciljev nima, ampak napada podjetja, univerze in vse ostale ustanov, kamor zaide. To daje slutiti, da je avtor neznana država. Strokovnjaki pojasnjujejo, da tako obsežne projekte običajno pišejo haktivisti, internetni kriminalci in države. Ker ne krade bančnih informacij, ga očitno ni napisala klasična hudodelska družba, poleg tega pa se precej razlikuje od tipičnih izdelkov haktivistov. Razlikuje se tudi od Stuxneta in Duquja in je v bistvu precejšen unikat.

Flame je precej prebrisan, saj se zelo trudi, da nase ne pritegne preveč pozornosti. Ker je velik 20 MB, se na računalnike naloži kosoma, najprej 6 MB-paket. Po namestitvi se poveže na 80 strežnikov, od koder dobi nadaljnja navodila. Pri tem se ne širi po omrežju brez potrebe, ampak postane aktiven šele, ko dobi ukaz za to. Širi se tudi prek USB-ključev, a spet ne avtomatično. Predvideva se, da je to z namen pritegniti čim manj pozornosti in se izogniti odkritju. Flame je izšel še pred odkritjem Stuxneta, a so ga v vmesnem času gotovo dodelali. Nima avtomatičnega datuma uničenja, vsebuje pa stikalo, ki ga lahko operaterji sprožijo na daljavo in pobrišejo vse dokaze o obstoju virusa. Kdo ti operaterji in avtorji so, še ni znano.

42 komentarjev

7982884e ::

in zaradi česa je zdaj to že "stokrat kompleksnejše"?

MAGGOTs! ::

Flame je precej prebrisan, saj se zelo trudi, da nase ne pritegne preveč pozornosti. Ker je velik 20 MB, se na računalnike naloži kosoma, najprej 6 MB-paket. Po namestitvi se poveže na 80 strežnikov, od koder dobi nadaljnja navodila. Pri tem se ne širi po omrežju brez potrebe, ampak postane aktiven šele, ko dobi ukaz za to. Širi se tudi prek USB-ključev, a spet ne avtomatično. Predvideva se, da je to z namen pritegniti čim manj pozornosti in se izogniti odkritju. Flame je izšel še pred odkritjem Stuxneta, a so ga v vmesnem času gotovo dodelali. Nima avtomatičnega datuma uničenja, vsebuje pa stikalo, ki ga lahko operaterji sprožijo na daljavo in pobrišejo vse dokaze o obstoju virusa. Kdo ti operaterji in avtorji so, še ni znano.

Tule maš razlog ;((
Play TF2 until death! :D

Zgodovina sprememb…

  • spremenil: MAGGOTs! ()

7982884e ::

ja ne vem, jest v tem vidim zgolj, da je bolj obsežen, kar pa še ne pomeni, da je stokrat bolj kompleksen

MisterR ::

Gre se zato, da je pametnejši od preostalih. In da ima 20MB kode že nekaj pove.

Moti pa me to, da so v bistvu ovrgli sum na posamezno državo, ker se širi spontano in ne krade bančnih podatkov. Em... če pa zajema vse kaj se na računalniku in ob njem(mikrofon,webcam) dogaja? To je super način, da se ovrže sum neke države... bravo!

morbo ::

Po namestitvi se poveže na 80 strežnikov, od koder dobi nadaljnja navodila.

Noob vprašanje: a so naslovi teh strežnikov zapisani (hardcoded) v virusu? Je torej možno izslediti od kje dobiva "navodila"?

LuiIII ::

Eno izmed področij kjer bo AI verjetno najhitreje napredovala.

black ice ::

morbo je izjavil:

Po namestitvi se poveže na 80 strežnikov, od koder dobi nadaljnja navodila.

Noob vprašanje: a so naslovi teh strežnikov zapisani (hardcoded) v virusu? Je torej možno izslediti od kje dobiva "navodila"?

Verjetno, če je podana fiksna številka serverjev.
Po drugi strani pa v tem ne vidim smisla - toliko vloženega truda, potem ga pa kiksnejo s takšno banalno napako.

7982884e ::

zakaj se najpogosteje pojavlja v bližnjem zahodu? so ga tam lansirali, ima kje v kodi napisane target lokacije, kaj drugega?

ikeman ::

MisterR je izjavil:

Gre se zato, da je pametnejši od preostalih. In da ima 20MB kode že nekaj pove.


To ne pove ničesar.. razen mogoče, da je neka "čudna", neinteligentna limanka.. balast..

"zajema zaslonsko sliko, beleži pritiske tipk in celo snema pogovore po mikrofonu in s spletno kamero. Tako nastale večpredstavnostne datoteke stiska in skupaj z ostalimi podatki posreduje svojim avtorjem, in sicer prek SSL-kanala."

Tole je precejšen dokaz, da zadeva ni "top-notch". Namreč tako početje kuri kar precejšen del CPU in pasovne širine, kar ni ravno neopazno. Sploh ker dela kot virtualna mašina.
Računalnik po vsej verjetnosti postane precej neodziven oz. manj odziven, kar bi uporabnik moral opaziti.

Mr.B ::

ikeman , ja na kako starem HW-ju pa ti delaš i386
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

MisterR ::

ikeman + tega da verjetno vse skupaj pošilja/kompresira takrat ko je računalnik v idle.

ikeman ::

Mr.B je izjavil:

ikeman , ja na kako starem HW-ju pa ti delaš i386


Ni važno tut če maš quad-cora to moraš opazit..
Predvsem kompresija slike je tu problem predstavljaj si, da zajemaš realtime video v resoluciji 1650x1050..

Btw. 386ka z 8MB rama komaj zboota 95ko pa še to je treba fino nafrizirat ;)

Zgodovina sprememb…

  • spremenilo: ikeman ()

LorD_DDooM ::

Sicer nikjer nisem dobil eksplicitnega odgovora, ampak glede na razbrane informacije, se dotični virus širi samo na Windows mašinah, medtem ko naj bi bil GNU/Linux imun. Čeprav je še zmeraj možno prisluškovanje skupinskim pogovorom, če je vsaj eden od udeležencev na Windows mašini.

Kot zaposlenega v industriji me tako dovršeno industrijsko vohunjenje precej straši.

Truga ::

Dost je en jpeg vsake par sekund, sej ne rabi bit glih full video...

ikeman ::

MisterR je izjavil:

ikeman + tega da verjetno vse skupaj pošilja/kompresira takrat ko je računalnik v idle.


Lahko, a sigurno opaziš, ker HDD začne ružit k zmešan med shranjevanjem zajete slike ;)
Plac na disku se dramatično manjša itd..

To je sigurno lame-job. Že teh 20MB sizea ti pove to. Lame-job za lame-uporabnike = win-win kot vedno ;)

jype ::

ikeman> Lahko, a sigurno opaziš, ker HDD začne ružit k zmešan med shranjevanjem zajete slike ;)

Ne.

MisterR ::

Kaj ti misliš da oni snemajo 1080p posnetke? :)

Mr.B ::

ikeman , sej res mam visto z 1 GB spomina, skoz ruži. Če imaš karkoli na na mašini, ti disk "vsaj lučka" na vsake toliko časa utripa, pa kolikor je bilo včasih znano, so diski v Idel skoz nekaj ružili, itd... Tako da moraš res vedeti, kaj iščeš, ko ti mašina ruži. Prav tako na mojem starem prnosniku cca 3 leta "res da HP EB serija W" , lahko gledam FUl HD video, pa na drugem ekranu veselo ružim po disku, pa se vsaj na filmu ne opazi. No res pa da nisem iz istega diska gledal film, samo v realnem svetu, to tudi ni neki, pa zelo težko verjameš, da opaziš po en drop frame, glede na to da se večino zadev kešira v ramu, ....
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

PJani ::

Virus je lahko velik tud 2GB in laufa na javi. In če ga pravilno skriješ ga nihče ne bo našel dokler ne naredi kake butaste poteze...

PS.: js postanem pozoren kadar cpu poraba poskoči zaradi nezananega razloga(mal sm obseden z preverjanjem task managerja xD).
C/C++

Zgodovina sprememb…

  • spremenil: PJani ()

darkolord ::

Lahko, a sigurno opaziš, ker HDD začne ružit k zmešan med shranjevanjem zajete slike ;)
Plac na disku se dramatično manjša itd..
Brez težav lahko vse to počne, brez da bi "ružil ko zmešan".

ikeman ::

Uglavnem zadevo je treba sprobat.. je kje kak dl link :)

kixs ::

Lahko dela na principu VNC-ja in podobnih protokolov in seveda ne bos cisto nic opazil - ne glede CPU-ja, niti mreznega pretoka.

Po eni strani pa tako precej hitro ugotovijo ali se ta racunalnik splaca se naprej "nadzirat". Je pa to tudi precej zamudno opravilo, ce bi hotel vsakega preverjat - morda se zato tudi ni tako razsiril.

Mesar ::

to pa je ko si jih med sabo not tišite... usbje
pa z maili za foro šopate drug drugega in vse odpirate...

povrh tega v tej novici nekaj manjka ane? Kako ugotoviti če maš Flame na kompu... ne pa, da je samo pol strani branja o superiornosti malwara, razen če je strašenje nevednih uporabnikov po novem dobro delo.
Your turn to burn!

ikeman ::

@kixs res je, lahko dela tako oz. zgleda da dela na podobnem principu.

"The malware has the ability to regularly take screenshots. What's more, it takes screenshots when certain "interesting" applications are run, for instance, IM's. Screenshots are stored in compressed format and are regularly sent to the C&C server, just like the audio recordings."

Malce sem preteral s full screen real-time video "coverage"-om, zgleda da res jemlje samo "scrn-shote" zanimivih programov..

Ampak vseeno, trdim, da je zadeva vse prej kot neopazna.

antonija ::

Pred casom sem gledal en video od enga geeka, ki imel na svojem laptopu (mislim da je bil mac) instaliran en keylogger ki ga je lahko pognal na daljavo (ssh) in je ostal "skrit" (vsaj neukemu uporabniku).

A pozna kdo podoben kos SWja, ki bi loggal in loge posiljal na vnaprej dolocen email/server, pa da ga povprecen uporabnik ne opazi (da glih ne prikaze ikone v taskbaru ali kaj podobnega)? Pa seveda da gre za namenski install, ne kaksno nesnago ki se bo sirila naprej.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

PJani ::

antonija je izjavil:

Pred casom sem gledal en video od enga geeka, ki imel na svojem laptopu (mislim da je bil mac) instaliran en keylogger ki ga je lahko pognal na daljavo (ssh) in je ostal "skrit" (vsaj neukemu uporabniku).

A pozna kdo podoben kos SWja, ki bi loggal in loge posiljal na vnaprej dolocen email/server, pa da ga povprecen uporabnik ne opazi (da glih ne prikaze ikone v taskbaru ali kaj podobnega)? Pa seveda da gre za namenski install, ne kaksno nesnago ki se bo sirila naprej.


Naredi si ga :), pa boš 100% prepričan da ni kakega payloada not. Drugače pa sploh ni tako težko narest nek keylogger sam windows/osx/linux api moraš poznat.

PS: Je pa ta stvar illegal v druge namene kot logiranje svojega tipkanja(i think).
C/C++

Zgodovina sprememb…

  • spremenil: PJani ()

antonija ::

sej bo na mojem compu... tam lahko dela karkoli jaz hocem (dokler sem edini user).

V tistem doticnem videu so mu spizdili maca, in se je ssh-jal na njega, vklopil logger in vnc in se kar vredu zabaval na racun nepridiprava.

Tale video je bil se mi zdi:
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

BigWhale ::

ikeman je izjavil:

Malce sem preteral s full screen real-time video "coverage"-om, zgleda da res jemlje samo "scrn-shote" zanimivih programov..

Ampak vseeno, trdim, da je zadeva vse prej kot neopazna.


Nehi no. Screenshote lahko delas enkrat v sekundi, pa ti sploh opazil ne bos.

- zajames sliko
- skompresiras
- zapises

Jpeg kompresiranje je peanuts za dansanje procesorje. Zapisati nekaj sto kB na disk pa tudi ni nek hud podvig. Ce vse skupaj se tko casovno razporedis, ti niti v sanjah ne bos opazil, da se karkoli dogaja.:)

RedZo ::

PJani je izjavil:

PS: Je pa ta stvar illegal v druge namene kot logiranje svojega tipkanja(i think).


glede na slovensko kazensko zakonodajo posedovanje, izdelava, razpecevanje ali uporaba "hekerskih" orodij ni kazniva, razen ko to izvajas v namene storitve kaznivega dejanja.

Mesar ::

Mimogrede... logiranje tipk, miške in zajemanje slike z zaslona so lažji del...
Your turn to burn!

7982884e ::

BigWhale je izjavil:

Jpeg kompresiranje je peanuts za dansanje procesorje. Zapisati nekaj sto kB na disk pa tudi ni nek hud podvig. Ce vse skupaj se tko casovno razporedis, ti niti v sanjah ne bos opazil, da se karkoli dogaja.:)
ti ne, kak program pa z lahkoto. verjetno bi vsak anti-keyloggerski program kaj zaznal

nodrim ::

hm, meni je dejansko pred par tedni kar naenkrat začel padat prostor na OS particiji ... to je šlo skoraj do nule, potem čez nekaj časa sem imel pa spet prostih 2+ GB ... je še kak drug razlog možen za tako vedenje Winsov?

5er--> ::

Namestitev update-ov?

googleg1 ::

Velikost programa pa res ni merilo njegove kompleksnosti. Čim se zraven programa bundla kateregakoli od prevajalnikov, (python, lua) velikost programa precej naraste. V pythonu če hello world skompajlaš v exe (py2exe) te pride več kot 10MB.

BigWhale ::

7982884e je izjavil:

BigWhale je izjavil:

Jpeg kompresiranje je peanuts za dansanje procesorje. Zapisati nekaj sto kB na disk pa tudi ni nek hud podvig. Ce vse skupaj se tko casovno razporedis, ti niti v sanjah ne bos opazil, da se karkoli dogaja.:)
ti ne, kak program pa z lahkoto. verjetno bi vsak anti-keyloggerski program kaj zaznal


Nekdo zgoraj je trdil, da bi nekaj taksnega z lahkoto in takoj opazil. Samo zaradi tega ker bi u racunalnik pocasneje delal.

Nihce ni govoril o programih, ki detektirajo keyloggerje.

Aston_11 ::

ikeman je izjavil:

Mr.B je izjavil:

ikeman , ja na kako starem HW-ju pa ti delaš i386


Ni važno tut če maš quad-cora to moraš opazit..
Predvsem kompresija slike je tu problem predstavljaj si, da zajemaš realtime video v resoluciji 1650x1050..

Btw. 386ka z 8MB rama komaj zboota 95ko pa še to je treba fino nafrizirat ;)


No no - moja je zbutala s 2 mb rama brez nekega friziranja, tako da...

Aja, pa saj ni treba, da kopresira na polno, komot si lahko vzame čas in pošilja podatke po par kb - saj ima cajt za to.

Zgodovina sprememb…

  • spremenil: Aston_11 ()

Jst ::

Malware se lahko skrije tudi tako, da gleda resurse in ko je CPU obremenjen, doda še svoje zahtevke za kompresijo; ko drug program piše na disk, doda še svoje podatke; prav tako za network. You get the idea. Ne bi opazil, da ti računalnik počasneje dela, razen če vsak dan, ko zbootaš računalnik, s štoparico meriš odzivnost programov, delaš benchmarke,... Pa še to bi se vse lahko pripisalo statistični napaki.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

7982884e ::

seveda da ti ne bi opazil, ampak glede na spisek stvari, ki jih je stvar delala, bi pa vsaj nek namenski program že moral, ane

Shkorc ::

darkolord je izjavil:

Lahko, a sigurno opaziš, ker HDD začne ružit k zmešan med shranjevanjem zajete slike ;)
Plac na disku se dramatično manjša itd..
Brez težav lahko vse to počne, brez da bi "ružil ko zmešan".


Za lastnike SSDjev bi lahko izumili USB vibrator, da bo simuliral ruženje HDDja, drugače si lahko okužen, pa sploh ne boš opazil.

BigWhale ::

7982884e je izjavil:

seveda da ti ne bi opazil, ampak glede na spisek stvari, ki jih je stvar delala, bi pa vsaj nek namenski program že moral, ane


Tudi namenski program, spisan posebaj za to, bi taksno stvar zelo zelo tezko opazil. Rabil bi goro statisticnih podatkov o tem kaj se je dogajalo preden si imel namescen malware. Pa se tako je stvar precej vprasljiva.

PJani ::

Mislim da je lažje detektirat z vzorci kot to delajo antivirusni.
C/C++

BigWhale ::

Ce tebi nekdo vsake pol ure nekaj randomly zapise na disk, potem bos v tem tezko nasel vzorec.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kaspersky išče pomoč pri dešifriranju trojanca Gauss

Oddelek: Novice / Varnost
84137 (2347) Fave
»

Računalniški napadi na iranski jedrski program se nadaljujejo (strani: 1 2 )

Oddelek: Novice / Varnost
5817523 (15622) enadvatri
»

Flame izkoriščal Microsoftove certifikate

Oddelek: Novice / Varnost
177787 (5692) MrStein
»

Flame stokrat kompleksnejši od Stuxneta

Oddelek: Novice / Varnost
4218988 (16731) BigWhale

Več podobnih tem