邁克菲實驗室：Flame病毒的深度分析(3)

威脅文件可以根據(jù)控制服務(wù)器特定的指令和配置使用情況更改文件名和擴展名。一些情況下，F(xiàn)lame可以檢測到特定的防病毒軟件，于是就會更改可執(zhí)行文件 (DLL) 的擴展名，比如從 OCX 更改為 TMP。實際上，通常在受感染的系統(tǒng)上，尤其是威脅先于安全產(chǎn)品安裝的情況下，就不需要進行這樣的更改。

Flame病毒的主模塊超過6MB，而完全部署后接近20MB。毫無疑問，這是一款包含大量代碼的惡意軟件，它使用了Zlib、LUA Interpreter、SQLite 支持、Custom DB 支持代碼等，整個代碼像一個復(fù)雜的企業(yè)數(shù)據(jù)庫系統(tǒng)。

加密包含簡單的模糊處理，例如帶有字節(jié)值的 XOR。在一些其他攻擊中，都用到了 XOR 密鑰 (0xAE)，這揭示了其與 Duqu 和 Stuxnet 的一些潛在關(guān)系，因為它們也使用這個值。但 Stuxnet 和 Duqu 會在使用此字節(jié)值的同時結(jié)合使用其他值，包括具有可能含義的日期。

除了上述內(nèi)容，F(xiàn)lame在代碼方面并未顯示出與Stuxnet或 Duqu 的直接關(guān)系。它采用了相似但又復(fù)雜得多的結(jié)構(gòu)，這在很多方面都提醒了研究人員，這些攻擊具有高危性。根據(jù)早期日期值來判斷，它從某些方面可以視為一個并行項目。而從文件中遺留的日期值不難發(fā)現(xiàn)，攻擊文件中融入了 2011 年 1 月和 8 月最新開發(fā)的代碼。文件標(biāo)頭中的日期經(jīng)過了蓄意更改（例如，聲稱是 1994 年），但導(dǎo)出表日期值和文件其他位置的日期卻暴露了真實日期：2011年。

Flame病毒與Stuxnet、Duqu病毒的關(guān)聯(lián)

通過分析，可以發(fā)現(xiàn)雖然Flame病毒代碼庫與Stuxnet蠕蟲病毒或Duqu木馬病毒不同，但三者的攻擊目標(biāo)和技術(shù)非常相似。Flame與 Duqu 擁有差不多的變體數(shù)量，但其傳播范圍更廣，代碼結(jié)構(gòu)更為復(fù)雜。顯然，這一威脅經(jīng)過了數(shù)年的開發(fā)，幕后很可能是一支訓(xùn)練有素的大型而專門的團隊。

Stuxnet于2010年7月被發(fā)現(xiàn)，這種蠕蟲病毒專門針對德國西門子公司設(shè)計制造的供水、發(fā)電等基礎(chǔ)設(shè)施的計算機控制系統(tǒng)，伊朗曾承認Stuxnet影響到其核電站的部分離心機。Stuxnet當(dāng)年成名的一個重要原因在于其使用了"零日漏洞"攻擊，即病毒編寫者利用自己發(fā)現(xiàn)的4個系統(tǒng)漏洞，在軟件公司發(fā)布補丁之前發(fā)起攻擊。而Flame病毒利用的已知漏洞中就包括Stuxnet曾攻擊的兩個漏洞。Duqu病毒針對的也是工業(yè)控制系統(tǒng)，目的在于收集信息。業(yè)界普遍認為，Stuxnet和Duqu來源相同，因為它們都需要多人長時間合作完成，極可能是某組織或政府機構(gòu)所為。

通過目前邁克菲網(wǎng)絡(luò)動態(tài)傳感器檢測到的信息，我們在地圖上繪制了Flame病毒的感染情況：

上圖顯示伊朗是Flame病毒的重災(zāi)區(qū)。實際上，在過去至少兩年中，F(xiàn)lame病毒已經(jīng)感染了伊朗、黎巴嫩、敘利亞、蘇丹、其他中東和北非國家的相應(yīng)目標(biāo)計算機系統(tǒng)。此威脅的攻擊目標(biāo)僅限于一些個人、組織和機構(gòu)，是極具針對性的威脅。

作為安全公司，邁克菲將對Flame病毒展開長期分析，以確定其完整的功能和特性。幫助大家更好地了解這一威脅并部署安全防護措施。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]