[操作疑難] (forward from email) Flame惡意程序

Flame(火焰):Bunny、 Frog、Munch和BeetleJuice…
        Flame惡意程序不僅龐大,而且功能強大,需要花很長時間才能完成全部的分析。我們目前正在計劃逐步公佈我們已知的一些信息。



        目前,我們已經接到很多請求,想知道如何檢測系統已經被Flame感染。當然,最簡單的回答是使用卡巴斯基安全部隊或反病毒軟件。我們成功的檢測並刪除了所有可能的Flame變種及額外的組件。


        如果想了解相關分析細節,我們可以給出一些建議和意見。


MSSECMGR.OCX


        Flame的主要模塊是一個DLL文件,稱為mssecmgr.ocx。我們已經發現了這個模塊的兩個變種。大部分被感染的機器所感染的是體積較大的版本(6MB),其中包含了所需執行和部署的額外模塊。另外一個較小的版本為900kb,不包括額外模塊。安裝之後,小版本的模塊會連接指令與控制(C&C)服務器,並從那兒嘗試下載和安裝餘下的組件。


        Mssecmgr在不同的受感染設備上可能會被命名為不同的名字,這取決於其感染的手段和惡意程序內部的結構狀態(安裝、複製、升級),例如wavesup3.drv、~zff042.ocx、msdclr64 .ocx等。


        完整的mssecmgr模塊分析情況將會陸續發布。


        該文件的首次激活可以由兩種途徑完成,一是使用Windows WMI工具打開構造好的MOF文件(利用了MS10-061漏洞),二是使用BAT文件。


s1 = new ActiveXObject("Wscript.Shell");
s1.Run("%SYSTEMROOT%system32 undll32.exe msdclr64.ocx,DDEnumCallback");
(svchostevt.mof,MOF文件源代碼)


        激活後,mssecmgr將其在Windows註冊表中註冊為身份認證軟件包:


HKLM_SYSTEMCurrentControlSetControlLsa
Authentication Packages = mssecmgr.ocx [added to existing entries]


        在系統下次啟動時,該模塊會被操作系統自動加載。更新Windows註冊表後,mssecmgr從加密和壓縮的資源節(資源“146”)中抽取出其它模塊,並將其安裝。該資源包含了mssecmgr和其它模塊配置選項的路徑,模塊自身(DLL文件)、以及需要傳遞給這些模塊以使其進行正確加載的參數,也就是解密密鑰。具體細節將逐步公佈。


        一旦安裝完成,mssecmgr會加載可用的模塊,並開啟幾個線程來連結C&C服務器和Lua主機。此外根據配置,它還會執行其它功能。此模塊的功能被分為幾個“單元”,這些單元在資源配置中有著不同的命名空間,在日誌消息中也有著不同的名稱,並在代碼中被廣泛使用。




        模塊包含的功能單元如下,其名稱是從二進製文件和146資源中獲取的。




Beetlejuice 藍牙:發現受感染計算機周圍的設備。
講自己設定為“燈塔”,將計算機做為發現設備,使用base64對設備信息中惡意程序的狀態進行編碼。
Microbe 使用現有硬件錄製音頻。列出所有多媒體設備,儲存全部的設備配置參數,挑選出最適合的錄音設備。
Infectme​​dia 選擇感染其它介質也即USB磁盤的方法。可用的方法如:Autorun_infector、 Euphoria。
Autorun_infector 創建“autorun.inf”,使用其中的“open”行啟動惡意軟件。Stuxnet在使用LNK exploit之前,也用過同樣的方法。
Euphoria 利用資源146(資源中並未出現)中的LINK1和LINK2來創建帶有“desktop.ini”和“target.lnk”的隱藏文件夾。該路徑用於啟動Flame的快捷方式。
Limbo 如果計算機處於網絡域中並擁有足夠權限則創建“HelpAssistant”後門賬戶。
Frog 使用預設定用戶賬戶感染計算機。配置資源中僅指定了由“Limbo”攻擊創建的“HelpAssistant”賬戶。
Munch 響應“/view.php”和“/wpad.dat”請求的HTTP服務。
Snack 監聽網絡接口情況,接收NBNS數據包並將其保存在日誌文件中。可以設定為只有在“Munch”啟用的情況下才能使用。收集到的數據之後會用於其在網絡中的傳播。
Boot_dll_loader 包含所有需要加載和啟動的模塊列表的配置節。
Weasel 創建被感染計算機的列表。
Boost 創建其“感興趣”的文件列表,使用多個文件名掩碼。
Telemetry 日誌功能。
Gator 若有網絡連接可用則與C&C服務器建立連繫,下載新的模塊,上傳收集到的數據。
Security 識別對Flame有害的程序,如反病毒程序和防火牆。
Bunny
Dbquery
Driller
Headache
Gadget 這些模塊的目的尚不明確。



        這些模塊被安裝在%windir%system32路徑中:


mssecmgr.ocx
advnetcfg.ocx
msglu32.ocx
nteps32.ocx
soapr32.ocx
ccalc32.sys
boot32drv.sys


        從C&C服務器上下載的額外模塊會被安裝到同一個目錄下。Flame惡意程序的各種模塊會生成許多的數據文件,包括大量的執行日誌以及收集到的信息——屏幕截圖、進程列表、硬件列表等。


        這些文件會以下列文件名保存在%windir% emp目錄下:


~DEB93D.tmp
~8C5FF6C.tmp
~DF05AC8.tmp
~DFD85D3.tmp
~DFL*.tmp
~dra*.tmp
~fghz.tmp
~HLV*.tmp
~KWI988.tmp
~KWI989.tmp
~rei524.tmp
~rei525. tmp
~rf288.tmp
~rft374.tmp
~TFL848.tmp
~TFL849.tmp
~mso2a0.tmp
~mso2a1.tmp
~mso2a2.tmp
sstab*.dat


在%windir%system32目錄中可能還會有以下文件:


Advpck.dat
ntaps.dat
Rpcnc.dat


Also, in %windir%:


Ef_trace.log


        Flame使用不同的格式儲存文件中的恆定數據。所有的數據使用多種運算法則和密鑰進行加密。一些文件則是使用內嵌的SQLite3庫創建的數據庫。這些數據庫包含的數據一方面來自數據竊取的過程,另一方面則來自其複制的過程。我們之後會發表更進一步的信息。不同類型的Flame組件所使用的目錄名會有些許不同,這取決於資源146中的安裝和配置選項:


C:Program FilesCommon FilesMicrosoft SharedMSSecurityMgr
C:Program FilesCommon FilesMicrosoft SharedMSAudio
C:Program FilesCommon FilesMicrosoft SharedMSAuthCtrl
C:Program FilesCommon FilesMicrosoft Shared MSAPackages
C:Program FilesCommon FilesMicrosoft SharedMSSndMix


這些路徑可能包含以下文件:


dstrlog.dat
lmcache.dat
mscrypt.dat (or wpgfilter.dat)
ntcache.dat
rccache.dat (or audfilter.dat)
ssitable (or audache)
secindex.dat
wavesup3.drv (a copy of the main module, mssecmgr.ocx, in the MSAudio directory)


        Flame還可以產生或下載有下列名稱的文件:


svchost1ex.mof
Svchostevt.mof
frog.bat
netcfgi.ocx
authpack.ocx
~a29.tmp
rdcvlt32.exe
to961.tmp
authcfg.dat
Wpab32.bat
ctrllist.dat
winrt32.ocx
winrt32.dll
scsec32.exe
grb9m2.bat
winconf32.ocx
watchxb .sys
sdclt32.exe
scaud32.exe
pcldrvx.ocx
mssvc32.ocx
mssui.drv
modevga.com
indsvc32.ocx
comspol32.ocx
comspol32.dll
browse32.ocx


        因此,我們可以得出一個可以快速檢測自己的系統是否已被Flame感染的方法。


        1.查找文件~DEB93D.tmp。如果系統中存在這樣的文件,那就意味著已被Flame感染。


        2. 檢測註冊表鍵HKLM_SYSTEMCurrentControlSetControlLsaAuthentication Packages。如果你找到了mssecmgr.ocx或者authpack.ocx,那麼你的設備已經被Flame感染。


        3.檢查以下日誌是否存在,如果存在則說明被感染:


C:Program FilesCommon FilesMicrosoft SharedMSSecurityMgr
C:Program FilesCommon FilesMicrosoft SharedMSAudio
C:Program FilesCommon FilesMicrosoft SharedMSAuthCtrl
C:Program FilesCommon FilesMicrosoft Shared MSAPackages
C:Program FilesCommon FilesMicrosoft SharedMSSndMix


        4.查找其它前面提到的文件名。這些文件名都十分特殊,並且是獨一無二的,如果發現它們存在,則極有可能已經感染了Flame。


關於卡巴斯基實驗室

卡巴斯基實驗室是歐洲最大的防毒公司,提供業內首屈一指的快速安全防護,對抗各種IT安全威脅,包括病毒、間諜軟件、犯罪軟件、駭客攻擊、釣魚攻擊以及垃圾郵件。卡巴斯基實驗室是全球四大頂級端點使用者安全解決方案廠商之一,為個人用戶、中小企業、大型企業和流動電腦環境提供具有超高檢測率以及超快反應速度的產品。卡巴斯基的技術被業界內領先的IT安全解決方案提供商廣泛應用於其產品和服務中。欲瞭解更多資訊請流覽: http://www.kaspersky.com.hk/ .欲瞭解更多反病毒、反間諜軟件、反垃圾郵件及其他IT安全威脅的事件和動向,請流覽: http://www.securelist.com/.



關於Flame的問題與回答 (中文)
http://www.kaspersky.com.hk/KL-AboutUs/news2012/05n/120530.html  (中)

更多關於Flame (英文)
http://www.securelist.com/en/






Sole Distributor of Kaspersky

Lapcom Ltd. | Room 508, 5/F, Internatinal Plaza, 20 Sheung Yuet Rd, Kowloon Bay, HK |
General Hotline : 3694 0437 Support Hotline : 3693 4668 Fax : 36934788
Emai : [email protected]

您收到這郵件是由於我們相信其中的訊息與您相關。如欲取消接收所有關於本機構的產品或服務的訊息請按 取消接收
You are receiving this message because we believed that it is relevant to you. If you do not wish to receive any materials regarding our products or services from us, please click unsubscribe