ایتنا - بررسیهای شرکتهای امنیتی درخصوص آن ادامه داشته و تا لحظه انتشار این مستند هنوز هیچ شرکت معتبری Removal tools قطعی برای این ویروس ارائه نکرده است.
گزارش ویژه ایتنا: متن کامل تحليل فني سيمانتك از بدافزار flame
سايت خبری ايتنا , 9 خرداد 1391 ساعت 12:08
ایتنا - بررسیهای شرکتهای امنیتی درخصوص آن ادامه داشته و تا لحظه انتشار این مستند هنوز هیچ شرکت معتبری Removal tools قطعی برای این ویروس ارائه نکرده است.
در این مستند آخرین اخبار و تحلیل فنی ویروس W32.flamer و یا Skywiper بر اساس اطلاعات اولیه منتشره توسط سیمانتک را از نظر می گذرانید.
مطالعه دقیق این مستند ما را به این باور میرساند که اکنون نبرد سایبری به مراحل پیچیدهای کشیده شده است و اساسا تداوم کسب و کار بر بستر IT بدون اندیشیدن به زیرساختهای امنیتی مورد نیاز و ضروری آن ممکن نیست.
تهدیدات سایبری پیچیده باعث شده است که بسیاری از سازمان ها ملزم شوند که شبکه اینترنت خود را از شبکه داخلی سازمان جدا کنند تا خطر حملات اینچنینی را به حداقل برسانند.
به گزارش ایتنا از شرکت آیندهنگاران (آیکو) ، متن کامل گزارش به شرح زیر است:
شناسایی حمله سایبری هدفمند بدافزار Flamer
پس از انتشار خبرهای حمله سایبری در اوایل اردیبهشت ۹۱ به شبکه وزارت نفت و از بین رفتن اطلاعات هارد دیسکهای برخی از Serverها و در پی آن قطع شبکه اینترنت شبکه وزارت نفت و برخی شرکتهای تابعه، گمانهزنیهای مختلفی در خصوص این حمله سایبری میان کارشناسان امنیتی رواج یافت. عدم انتشار هرگونه اطلاعات فنی در خصوص این حمله سایبری و از سوی دیگر عدم مشاهده حمله مشابه در کشورهای دیگر باعث شد که دسترسی به منابع معتبر درجهت شناسایی و تحلیل این حمله برای شرکتهای امنیتی بسیار سخت باشد.
پس از انتشار اطلاعیه مرکز ماهر در تاریخ ۰۷/۰۳/۹۱ مبنی بر شناسایی عامل حمله سایبری با استفاده از بدافزاری موسوم به Flame ، شرکتهای امنیتی مختلف نتایج تحلیلهای اولیه خود را درخصوص این حمله منتشر کردند.
اگرچه بعضی نمایندگان فروش ایرانی بعضی از آنتیویروسها اعلام کرده اند که فلان آنتیویروس قادر است این ویروس را از بین ببرد اما همانگونه که در ادامه این مستند خواهد آمد بدلیل عملکرد پیچیده این ویروس و متغیر بودن ماهیت آن بررسیهای شرکتهای امنیتی درخصوص آن ادامه داشته و تا لحظه انتشار این مستند هنوز هیچ شرکت معتبری Removal tools قطعی برای این ویروس ارائه نکرده است. بنابراین بهترین مستند برای تعقیب اخبار موثق مراجعه به وب سایتهای امنیتی و آنتیویروسهای معتبر در این خصوص میباشد.
شماری از قابلیتهای مهم این بدافزار عبارتند از:
• انتشار از طریق حافظههای فلش
• انتشار در سطح شبكه
• پویش شبكه و جمعآوری و ثبت اطلاعات منابع شبكه و رمز عبور سیستمهای مختلف
• پویش دیسك كامپیوتر آلوده و جستجو برای فایلهایی با پسوندها و محتوای مشخص
• تهیه تصویر از فعالیتهای خاص كاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور كاربر
• ذخیرهسازی صوت دریافتی از طریق میكروفن سیستم در صورت وجود
• ارسال اطلاعات ذخیره شده به سرورهای كنترل خارج از كشور
• دارا بودن بیش از ۱۰ دامنه مورد استفاده به عنوان سرور C&C
• برقراری ارتباط امن با سرورهای C&C از طریق پروتكلهای SSH و HTTPS
• شناسایی و از كار انداختن بیش از ۱۰۰ نرمافزار آنتیویروس، ضد بدافزار، فایروال و ...
• قابلیت آلودهسازی سیستمهای ویندوز XP، ویستا و ویندوز ۷
• قابلیت آلودهسازی سیستمهای یك شبكه در مقیاس بالا
مرکز ماهر اعلام کرده که "این احتمال وجود دارد که حمله سایبری اوایل اردیبهشت ماه به شبکه وزارت نفت و تخریب اطلاعات سیستمها توسط یکی از اجزای این بدافزار صورت گرفته باشد."
تحلیل شرکت سیمانتک که در ادامه خواهد آمد این احتمال را تایید میکند. و با توجه به ماهیت عملکرد این بدافزار، میتوان آن را محصولی از خانواده استاكس نت و دیوكیو دانست.
شرکت سیمانتک در خصوص این بدافزار اطلاعاتی را به این شرح منتشر کرده است:
این بدافزار که با نامهای W32.Flamer ویا Skywiper شناخته می شود ۲۰ برابر ویروس Stuxnet حجم دارد و مطالعات نشان میدهد که احتمالا در سال ۲۰۱۰ تولید شده است. تحلیل کدهای Flamer نشان میدهد که این بدافزار به طرز بسیار ماهرانهای تولید شده و کدهای به کار رفته در آن درظاهر شبیه کدهای معمولی نرم افزارهای دیگر است اما درحقیقت قابلیتهای هوشمندانه و مخرب و پنهانی در آن کدها قرار داده شده است.
پیچیدگی به کار رفته در کدهای مخرب این بدافزار باعث شده که به همراه ویروسهای Stuxnet و Duqu به عنوان پیچیدهترین ویروسهای شناخته شده تاکنون به شمار برود.
این بدافزار نیز همانند دو نمونه قبلی احتمالا نه توسط یک فرد بلکه توسط یک گروه با حمایت مالی قوی و برای اهداف خاصی ساخته شده است.
فایلهایی که توسط این ویروس برای حمله به کار گرفته میشوند مشابه فایلهایی است که در حملات سایبری اخیر به وزارت نفت ایران نقش داشتهاند.
تحلیل سیمانتک بر روی این بدافزار ادامه دارد اما نتایج بدست آمده نشان میدهد که هدف این ویروس جمعآوری اطلاعات و دادههاست. ردیابیهای اولیه نشان میدهد که انتشار این ویروس در شرق اروپا و خاورمیانه بوده است.
بر اساس بررسیهای سیمانتک ، اجزای بکار رفته در این ویروس که از این پس سیماتک آنرا با نام W۳۲.Flamer می شناسد حکایت از این دارد که اولین بار ویروس W۳۲.Flamer در سال ۲۰۱۰ بوجود آمده است. اجزای شناخته شده این ویروس عبارتند از:
• advnetcfg.ocx
• ccalc۳۲.sys
• mssecmgr.sys
• msglu۳۲.ocx
• boot۳۲drv.sys
• nteps۳۲.ocx
دو نسخه مختلف از فایل advnetcfg.ocx کشف شده است. نوع اول برمی گردد به سپتامبر ۲۰۱۰ و نوع دوم در فوریه ۲۰۱۱. فایل پیکربندی ccalc۳۲.sys نیز دارای دو نوع است که هر دو تقریبا در همان حاشیه زمانی فایل advnetcfg.ocx کشف شده است.
دامنه انتشار ویروس Flamer بر اساس ردیابیهای فعلی در شکل زیر آمده است:
کد مطلب: 22356
آدرس مطلب: https://www.itna.ir/report/22356/گزارش-ویژه-ایتنا-متن-کامل-تحليل-فني-سيمانتك-بدافزار-flame