Прошло меньше пары недель с момента обнаружение Flame, как с помощью коллег из OpenDNS и GoDaddy нам удалось перенаправить вредоносные домены на наш сервер.
В результате детального анализа полученной таким образом информации наши эксперты пришли к следующим выводам: • Серверы управления Flame, работавшие в течение нескольких лет, были отключены сразу после того, как «Лаборатория Касперского» обнаружила на прошлой неделе существование вредоносного ПО.
• На данный момент известно более 80 доменов, которые использовались для передачи данных на серверы управления Flame, зарегистрированные в период с 2008 по 2012 год. • За последние 4 года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.
• Для регистрации доменов Flame C&C использовались фальшивые регистрационные данные и различные регистраторы, причем деятельность началась в 2008 году.
• Злоумышленники, использующие Flame для кражи информации, особенно интересовались офисными документами, файлами PDF и чертежами AutoCAD. • Данные, загруженные на серверы управления Flame, были зашифрованы с использованием относительно простых алгоритмов.
Украденные документы были сжаты с использованием библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма сжатия PPDM.
• По предварительным данным, 64-битная версия операционной системы Windows 7, которую ранее рекомендовала «Лаборатория Касперского» как одна из самых безопасных, не была подвержена заражению Flame. 
География распространения пламени Что мы узнали?
Подробнее о способе заражения и распространении серверной инфраструктуры Flame вы можете прочитать в нашем блоге на Список безопасности .
Здесь мы приведем немного статистики о географии распространения и наиболее интересных фактах.
Например, вот текущая статистика Flame от KSN: 
Очевидно, что наибольшее количество жертв Flame приходится на Ближний Восток.
Важно отметить, что некоторые жертвы могут использовать разные VPN/прокси-сервисы.
В таких случаях зараженные системы могут иметь, например, европейские IP-адреса, хотя физически расположены в азиатском регионе.
Кроме того, некоторыми из «жертв» на самом деле могут быть машины других исследователей.
Однако в целом статистика выглядит достаточно точной и отражает географическое распределение инфекций.
А как насчет операционных систем, на которые влияет Flame? Вот как выглядит статистика, полученная на основе данных об ОС систем, где были обнаружены заражения: 
Наибольшее количество заражений наблюдалось на системах с 32-битной ОС Windows 7. На втором месте Windows XP. Важно отметить, что Flame не работает в 64-разрядной версии Windows 7, которую мы ранее рекомендовали как хорошее решение для защиты от других типов угроз.
Статистика из нашей воронки и из OpenDNS Наш партнер по данному исследованию, компания OpenDNS, собрала информацию о датах регистрации доменов Flame за последние годы.
Вы можете увидеть эти анимированные данные здесь: www.opendns.com/flame-timeline 
За последнюю неделю наш сервер зафиксировал множество запросов от зараженных пользователей — ниже вы можете увидеть статистику их местонахождения.
Необходимо учитывать, что подавляющее большинство зараженных машин уже вылечено с помощью антивирусных программ.
Таким образом, мы видим подключения жертв, которые, судя по всему, не используют антивирусное ПО или давно его не обновляли.
Мы также заметили связи из Великобритании, Испании, России и Румынии, которые принадлежат различным экспертам, как независимым, так и из охранных компаний.
Ниже представлена статистика по 10 наиболее часто используемым доменам, к которым осуществлялся доступ на нашем сервере воронки: 
В настоящее время на сервер «Лаборатории Касперского» перенаправлены 28 доменов Flame: flashupdates.info, nvidiadrivers.info, nvidiasoft.info, nvidiastream.info, rendercodec.info, syncstream.info, videosync.info, dnslocation.info, dnsmask.info, dnsportal.info, dnsupdate.info,lushdns.info, localgateway.info, pingserver.info, serveflash.info, servers.info, autosync.info, Bannerspot.in, Bannerzone.in, micromedia. in, mysync.info, newsync.info, syncdomain.info, synclock.info, syncprovider.info, syncsource.info, syncupdate.info и ultrasoft.in. Данные, передаваемые Flame
Когда Flame подключается к воронке, он отправляет POST-запрос для идентификации.
После этого отправляется большой пакет данных, который содержит много «интересной» информации, например, о версии Flame, его конфигурации, истории активности в зараженной системе, данных, извлеченных из документов и так далее.
Во всех наблюдаемых нами конфигурациях использовался один и тот же пароль «LifeStyle2».
Этот пароль хранится в файле конфигурации Flame и может быть изменен.
Пакет данных, загруженный на сервер, содержит зашифрованные файлы журналов и другую сжатую информацию.
Если расшифровать эти данные, то можно найти информацию о версии Flame, которая передается на сервер.
Распределение Flame по версиям, подключенным к нашему серверу, следующее: 
Большинство подключений было установлено с помощью версии 2.242, которую мы изначально обнаружили и проанализировали.
Это подтверждает, что она является наиболее распространенным вариантом Пламени.
Но оно не самое актуальное: мы видим одно подключение от пользователя, зараженного версией 2.243! Версия 2.080 тоже очень интересна — это маленькая версия «mssecmgr.ocx» (~890кб), которая не содержит всех модулей, доступных в большой версии размером 6 МБ.
У нас также есть образец этого варианта, и мы проанализировали его одновременно с более крупной выборкой.
Среди компьютеров, подключенных к нашей воронке, есть несколько очень интересных случаев: три ПК — в Ливане, Ираке и Иране.
В ходе нашей операции с провалами версии Flame на этих машинах менялись — червь, вероятно, за это время обновлялся.
Например, в двух из этих случаев опция 2,212 изменилась на 2,242. Это указывает на существование пока неизвестного C&C, который также функционировал во время нашей провала.
Или о неизвестном нам механизме обновления Flame. Среди всех данных, извлеченных из систем, у злоумышленников явно повышенный интерес к чертежам AutoCAD. Это интересная деталь, поскольку известно, что проекты AutoCAD также были объектами трояна Duqu. Помимо файлов DWG, которые являются проектами AutoCAD, Flame специально ищет PDF-файлы и текстовые файлы, а также другие документы и создает краткие справочные руководства по найденным файлам.
Он также охотится за электронной почтой и многими другими типами различных «интересных» (высокоценных) файлов, которые указаны в конфигурации червя.
Данные, отправляемые на сервер управления, шифруются с помощью простого шифрования XOR в сочетании с шифром замены.
В дополнение к этому многие блоки внутри сжаты с помощью библиотек Zlib и PPDM. Интересно, что данные, передаваемые на сервер, разбиваются на пакеты по 8192 байта.
Возможно, это сделано для восстановления после ошибок — известно, что Интернет на Ближнем Востоке очень медленный и не очень стабильный.
Еще одна интересная особенность Flame — использование SSH-соединений при передаче данных.
Очевидно (хотя нам не удалось воспроизвести такое поведение), когда Интернет включен, но серверы Flame недоступны через SSL, он пытается использовать SSH. SSH-соединение устанавливается с помощью встроенной в червь библиотеки на основе Putty. На данный момент IP-адрес сервера и имя пользователя/пароль неизвестны.
Возможно, они обновляются через C&C и приходят только при временных проблемах с SSL. Одной из причин использования SSH может быть широко распространенная ситуация с запретом SSL/HTTPS-трафика в некоторых странах, таких как, например, Иран.
За прошедшую неделю «Лаборатория Касперского» установила контакты с CERT в нескольких странах, чтобы информировать их о доменах Flame и IP-адресах вредоносных серверов.
Мы хотели бы поблагодарить эти команды за помощь в этом исследовании.
Если вы представляете правительственный CERT и хотите получить дополнительную информацию о серверах Flame, свяжитесь с нами по адресу [email protected]. Вместо заключения «Лаборатория Касперского» благодарит отдел GoDaddy Network Abuse и Уильяма Макартура за быстрый ответ и неоценимую поддержку в этом расследовании.
Исследовательская группа по безопасности OpenDNS также оказала ценную помощь в ходе нашего расследования.
Теги: #информационная безопасность #вирусы #Касперский #Лаборатория Касперского #антивирусы #флейм #лаборатория Касперского #червь Касперского #кибершпионаж
-
Грин, Томас Хилл
19 Oct, 24 -
Небоскреб С Дата-Центром Data Tower
19 Oct, 24 -
Новые Карты Google
19 Oct, 24 -
Впервые За 25 Лет Обнаружен Новый Антибиотик
19 Oct, 24 -
Iot-Решение За 1,5 Часа
19 Oct, 24 -
Бен Стиллер Объясняет Микки Руни Твиттер
19 Oct, 24 -
Изменить Таблицу Без Блокировки Таблицы
19 Oct, 24
