ايتنا - گزارش ویژه ایتنا: متن کامل تحليل فني سيمانتك از بدافزار flame

در این مستند آخرین اخبار و تحلیل فنی ویروس W32.flamer و یا Skywiper بر اساس اطلاعات اولیه منتشره توسط سیمانتک را از نظر می گذرانید.
مطالعه دقیق این مستند ما را به این باور می‌رساند که اکنون نبرد سایبری به مراحل پیچیده‌ای کشیده شده است و اساسا تداوم کسب و کار بر بستر IT بدون اندیشیدن به زیرساخت‌های امنیتی مورد نیاز و ضروری آن ممکن نیست.
تهدیدات سایبری پیچیده باعث شده است که بسیاری از سازمان ها ملزم شوند که شبکه اینترنت خود را از شبکه داخلی سازمان جدا کنند تا خطر حملات اینچنینی را به حداقل برسانند.

به گزارش ایتنا از شرکت آینده‌نگاران (آیکو) ، متن کامل گزارش به شرح زیر است:

شناسایی حمله سایبری هدفمند بدافزار Flamer
پس از انتشار خبرهای حمله سایبری در اوایل اردیبهشت ۹۱ به شبکه وزارت نفت و از بین رفتن اطلاعات هارد دیسک‌های برخی از Serverها و در پی آن قطع شبکه اینترنت شبکه وزارت نفت و برخی شرکت‌های تابعه، گمانه‌زنی‌های مختلفی در خصوص این حمله سایبری میان کارشناسان امنیتی رواج یافت. عدم انتشار هرگونه اطلاعات فنی در خصوص این حمله سایبری و از سوی دیگر عدم مشاهده حمله مشابه در کشورهای دیگر باعث شد که دسترسی به منابع معتبر درجهت شناسایی و تحلیل این حمله برای شرکت‌های امنیتی بسیار سخت باشد.
پس از انتشار اطلاعیه مرکز ماهر در تاریخ ۰۷/۰۳/۹۱ مبنی بر شناسایی عامل حمله سایبری با استفاده از بدافزاری موسوم به Flame ، شرکت‌های امنیتی مختلف نتایج تحلیل‌های اولیه خود را درخصوص این حمله منتشر کردند.

اگرچه بعضی نمایندگان فروش ایرانی بعضی از آنتی‌ویروس‌ها اعلام کرده اند که فلان آنتی‌ویروس قادر است این ویروس را از بین ببرد اما همانگونه که در ادامه این مستند خواهد آمد بدلیل عملکرد پیچیده این ویروس و متغیر بودن ماهیت آن بررسی‌های شرکت‌های امنیتی درخصوص آن ادامه داشته و تا لحظه انتشار این مستند هنوز هیچ شرکت معتبری Removal tools قطعی برای این ویروس ارائه نکرده است. بنابراین بهترین مستند برای تعقیب اخبار موثق مراجعه به وب سایت‌های امنیتی و آنتی‌ویروس‌های معتبر در این خصوص می‌باشد.

شماری از قابلیتهای مهم این بدافزار عبارتند از:
• انتشار از طریق حافظه‌های فلش
• انتشار در سطح شبكه
• پویش شبكه و جمع‌آوری و ثبت اطلاعات منابع شبكه و رمز عبور سیستمهای مختلف
• پویش دیسك كامپیوتر آلوده و جستجو برای فایل‌هایی با پسوندها و محتوای مشخص
• تهیه تصویر از فعالیتهای خاص كاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور كاربر
• ذخیره‌سازی صوت دریافتی از طریق میكروفن سیستم در صورت وجود
• ارسال اطلاعات ذخیره شده به سرورهای كنترل خارج از كشور
• دارا بودن بیش از ۱۰ دامنه مورد استفاده به عنوان سرور C&C
• برقراری ارتباط امن با سرورهای C&C از طریق پروتكل‌های SSH و HTTPS
• شناسایی و از كار انداختن بیش از ۱۰۰ نرم‌افزار آنتی‌ویروس، ضد بدافزار، فایروال و ...
• قابلیت آلوده‌سازی سیستمهای ویندوز XP، ویستا و ویندوز ۷
• قابلیت آلوده‌سازی سیستمهای یك شبكه در مقیاس بالا

مرکز

مرکز ماهر اعلام کرده که "این احتمال وجود دارد که حمله سایبری اوایل اردیبهشت ماه به شبکه وزارت نفت و تخریب اطلاعات سیستم‌ها توسط یکی از اجزای این بدافزار صورت گرفته باشد." تحلیل شرکت سیمانتک که در ادامه خواهد آمد این احتمال را تایید می‌کند. و با توجه به ماهیت عملکرد این بدافزار، می‌توان آن را محصولی از خانواده استاكس نت و دیوكیو دانست.

ماهر اعلام کرده که "این احتمال وجود دارد که حمله سایبری اوایل اردیبهشت ماه به شبکه وزارت نفت و تخریب اطلاعات سیستم‌ها توسط یکی از اجزای این بدافزار صورت گرفته باشد."
تحلیل شرکت سیمانتک که در ادامه خواهد آمد این احتمال را تایید می‌کند. و با توجه به ماهیت عملکرد این بدافزار، می‌توان آن را محصولی از خانواده استاكس نت و دیوكیو دانست.

شرکت سیمانتک در خصوص این بدافزار اطلاعاتی را به این شرح منتشر کرده است:
این بدافزار که با نام‌های W32.Flamer ویا Skywiper شناخته می شود ۲۰ برابر ویروس Stuxnet حجم دارد و مطالعات نشان می‌دهد که احتمالا در سال ۲۰۱۰ تولید شده است. تحلیل کدهای Flamer نشان میدهد که این بدافزار به طرز بسیار ماهرانه‌ای تولید شده و کدهای به کار رفته در آن درظاهر شبیه کدهای معمولی نرم افزارهای دیگر است اما درحقیقت قابلیت‌های هوشمندانه و مخرب و پنهانی در آن کدها قرار داده شده است.
پیچیدگی به کار رفته در کدهای مخرب این بدافزار باعث شده که به همراه ویروس‌های Stuxnet و Duqu به عنوان پیچیده‌ترین ویروس‌های شناخته شده تاکنون به شمار برود.
این بدافزار نیز همانند دو نمونه قبلی احتمالا نه توسط یک فرد بلکه توسط یک گروه با حمایت مالی قوی و برای اهداف خاصی ساخته شده است.
فایل‌هایی که توسط این ویروس برای حمله به کار گرفته می‌شوند مشابه فایل‌هایی است که در حملات سایبری اخیر به وزارت نفت ایران نقش داشته‌اند.
تحلیل سیمانتک بر روی این بدافزار ادامه دارد اما نتایج بدست آمده نشان می‌دهد که هدف این ویروس جمع‌آوری اطلاعات و داده‌هاست. ردیابی‌های اولیه نشان می‌دهد که انتشار این ویروس در شرق اروپا و خاورمیانه بوده است.

بر اساس بررسی‌های سیمانتک ، اجزای بکار رفته در این ویروس که از این پس سیماتک آنرا با نام W۳۲.Flamer می شناسد حکایت از این دارد که اولین بار ویروس W۳۲.Flamer در سال ۲۰۱۰ بوجود آمده است. اجزای شناخته شده این ویروس عبارتند از:
• advnetcfg.ocx
• ccalc۳۲.sys
• mssecmgr.sys
• msglu۳۲.ocx
• boot۳۲drv.sys
• nteps۳۲.ocx

دو نسخه مختلف از فایل advnetcfg.ocx کشف شده است. نوع اول برمی گردد به سپتامبر ۲۰۱۰ و نوع دوم در فوریه ۲۰۱۱. فایل پیکربندی ccalc۳۲.sys نیز دارای دو نوع است که هر دو تقریبا در همان حاشیه زمانی فایل advnetcfg.ocx کشف شده است.

دامنه انتشار ویروس Flamer بر اساس ردیابی‌های فعلی در شکل زیر آمده است:

بر اساس آمار تعداد کامپیوترهایی که مورد حمله ویروس Flamer قرار گرفته اند هدف اصلی این تهدید کشورهای فلسطین، مجارستان، ایران، و لبنان بوده است. با این حال، سیمانتک گزارش‌هایی از این حمله در کشورهای اتریش، روسیه، هنگ کنگ و امارات متحده عربی نیز دریافت کرده است که احتمال می رود موارد گزارش شده شامل Laptopهایی باشند که از کشورهای آلوده شده اصلی به این کشورها آورده شده اند.
نکته قابل توجه این است که علاوه بر شبکه‌های سازمانها و ارگانهای دولتی و صنعتی، سیستمهای کاربران خانگی نیز به ویروس Flamer آلوده شده است.

تحلیل فنی ویروس Flamer:
تعدادی از اجزای این تهدید کشف شده است و در حال حاضر در حال تجزیه و تحلیل بر روی آنها ادامه دارد. اجزای کشف شده این ویروس بگونه ای نوشته شده اند که در نگاه اول به نظر نمی رسد حاوی کدهای مخرب باشند. اما تحلیلهای دقیقتر نشان از مخرب بودن آنها دارد. کدهای این ویروس بسیار پیچیده است و همین امر مانع تجزیه و تحلیل آن می شود. از جمله قابلیت‌های کلی شناخته شده این ویروس می توان به توانایی سرقت اسناد، گرفتن تصاویری از دسکتاپ کاربران و انتشار از طریق Cooldisk اشاره کرد. این بدافزار همچنین قادر است برخی از نرم افزارهای امنیتی نصب شده روی سیستم کاربر را غیرفعال کند.
همچنین این ویروس تحت شرایط خاصی می تواند از نقاط آسیب پذیری Windows استفاده کرده و خود را در سطح شبکه منتشر کند.
در شکل زیر اجزای شناخته شده این ویروس آمده است. توجه داشته باشید در برخی حملات این ویروس ممکن است نام فایلها تغییر کند:

نحوه عملیات

این بدافزار که با نام‌های W32.Flamer ویا Skywiper شناخته می شود ۲۰ برابر ویروس Stuxnet حجم دارد و مطالعات نشان می‌دهد که احتمالا در سال ۲۰۱۰ تولید شده است.

به این صورت است که ابتدا فایل advnetcfg.ocx در حافظه Load می شود. سپس بکمک آن یک فایل رمز شده با نام ccalc۳۲.sys رمزگشایی می شود. فایل ccalc۳۲.sys یک فایل رمزشده با روش RC۴-encrypted و با یک کلید ۱۲۸ بیتی است. بدافزار بعد از ایجاد فایل ccalc۳۲.sys به سراغ فایل kernel۳۲.dll می رود و آنرا آلوده می سازد. فایل Kernel۳۲.dll از جمله فایلهای سیستمی Windows است. Windows تلاش می کند ایجاد تغییر در این فایل سیستمی را به User اعلام کند. فایل advenetcfg.ocx فرمانهای صادر شده از یک جزء دیگر بدافزار را که هنوز تحلیل روی آن ادامه دارد و ناشناخته است به اجرا در می آورد.
فایل advnetcfg.ocx با استفاده از روش‌های پیچیده خود را به winlogon.exe ، پروسس‌های نرم افزارهای امنیتی و یا پروسس‌های دیگر تزریق می کند، علاوه بر این، ممکن است فایل shell۳۲.dll که از فایلهای سیستمی ویندوز است نیز با نسخه آلوده شده ای جایگزین گردد.
فایل advnetcfg.ocx قابلیت ضبط تصاویر نیز را نیز داراست.
mssecmgr.ocx فایلی بزرگ و با قابلیت‌های پیچیده زیادی است که در شکل زیر آمده است:

این فایل همزمان دارای یک مترجم(Interpreter) LUA، کد SSH، و قابلیت‌های SQL است. پیاده سازی و استفاده از یک مترجم LUA باعث شده این ویروس بسیار قابل انعطاف و قابل تنظیم باشد. این به مهاجمان اجازه می دهد از راه دور بتوانند فرمانهای متنوع خود را خیلی سریع و راحت به اجرا درآورند و حتی ماهیت عملکرد ویروس را تغییر دهند.
اثر این فایل ممکن است در رجیستری ویندوز در آدرس زیر دیده شود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"Authentication Packages" = "mssecmgr.ocx"
چندین ماژول اضافی دیگر نیز در mssecmgr.ocx وجود دارد که در شکل آمده است.
یکی از اجزایی که توسط فایل mssecmgr.ocx میتواند مورد فراخوانی قرارگیرد فایلی است بنام ~DEB۹۳D.tmp. این فایل منشأ ویروس Wiper است که در اوایل اردیبهشت ماه به شبکه وزارت نفت ایران آسیب وارد کرد و باعث قطع چند روزه شبکه پایانه‌های نفتی ایران از اینترنت گردید. بدلیل عملکرد این ویروس و حذف اطلاعات هارد دیسک سیستم ها، این ویروس بنام Wiper نامگذاری گردید.
فایل nteps۳۲.ocx مسئول ضبط تصاویر در این بدافزار است. این فایل به منظور ضبط تصاویر، اطلاعات تنظیمات خود را از فایلی بنام boot۳۲drv.sys دریافت می کند. در این فایل تعیین میشود که چه تصاویری و با چه تنظیماتی ضبط شود و چگونه ارسال گردد. این فایل نیز با کدینگ ۰xFF کد شده است.
فایل msglu۳۲.sys حاوی کد است که سرقت اطلاعات را انجام می دهد. این فایل، وظیفه شناسایی و سرقت انواع فایل ها نظیر انواع اسناد، تصاویر، داده‌های GPS، فایل‌های پروژه و نقشه‌های فنی را بر عهده دارد. این فایل همچنین دارای قابلیت‌های SQL است. جالب توجه است، این ماژول شامل عبارتهای متعددی از واژه 'JIMMY' است. (مانند: 'Jimmy Notice: failed to convert error string to unicode')
نکته قابل توجه دیگر این است که درون کدهای این بدافزار بطور متعدد از واژه 'FLAME' استفاده شده است که می تواند معنی خاصی داشته باشد.

طبیعت ماجولار این تروجان نشان می دهد که یکی از اهداف گروه طراحان آن، استفاده بلندمدت از این بدافزار برای طراحی حملات خود بوده است. معماری بکار رفته در W۳۲.Flamer اجازه می دهد تا طراحان بدون نیاز به دوباره کاری بتوانند عملکرد و رفتار ویروس را به دلخواه خود تغییر دهند و یا ماژولهای جدیدی به آن اضافه کنند. می توانند آنرا ارتقا دهند و یا به منظور فرار از نرم افزارهای امنیتی تغییر شکل دهند.
سیمانتک درحال بررسی و تحلیل لایه‌های عمیق بکار رفته در این ویروس بوده و به زودی نتایج بررسی‌های خود را منتشر خواهد کرد.