深度揭秘Flamer（噴火器）

日前，來自賽門鐵克安全響應(yīng)團隊公布的《警惕Newsforyou！——惡意威脅Flamer（噴火器）命令與控制服務(wù)器技術(shù)分析》的白皮書，引起了業(yè)界普遍的關(guān)注。該白皮書針對今年早些時候發(fā)生的W32.Flamer攻擊所利用的兩個命令與控制（CC）服務(wù)器進行了詳細(xì)分析。W32.Flamer是一種高級網(wǎng)絡(luò)間諜工具，其主要攻擊目標(biāo)是中東地區(qū)。

作為安全產(chǎn)業(yè)界在面對重大威脅時的一次聯(lián)合行動，此次CC服務(wù)器分析工作是由賽門鐵克、CERT-Bund/BSI、IMPACT和卡巴斯基共同完成的，齊心協(xié)力，一起對抗惡意威脅。

據(jù)分析，W32.Flamer攻擊所利用的兩個命令與控制（CC）服務(wù)器分別創(chuàng)建于2012年3月25日和2012年5月18日，在它們創(chuàng)建后很短的時間里，第一個與其交互而感染Flamer的計算機就出現(xiàn)了。在接下來的幾周內(nèi)，這兩個服務(wù)器相繼感染了至少幾百臺計算機。

雖然這兩臺服務(wù)器具有相同的控制框架，但它們的用途卻有所不同。通過對創(chuàng)建于2012年3月份的服務(wù)器的分析顯示，在一周多的時間里，它從被感染的計算機中共收集了近6GB的數(shù)據(jù)。與之相比，創(chuàng)建于2012年5月的服務(wù)器僅收集了75MB的數(shù)據(jù)，并且該服務(wù)器只是用于向被感染的計算機分發(fā)一個命令模塊。

“命令與控制”通過一個名為Newsforyou的網(wǎng)絡(luò)應(yīng)用程序?qū)崿F(xiàn)。該應(yīng)用程序負(fù)責(zé)處理W32.Flamer客戶端交互，并提供一個簡單的控制面板，該控制面板允許攻擊者向被感染的計算機上傳代碼數(shù)據(jù)包，也允許向受感染的計算機傳輸并下載包含被竊取客戶端的數(shù)據(jù)包。據(jù)分析，這個應(yīng)用程序并不只是被Flamer利用，它還能夠通過不同協(xié)議與被多個其他惡意軟件標(biāo)識符感染的計算機進行交互。下表為不同惡意軟件標(biāo)識符與各種支持協(xié)議之間的關(guān)系。

如上表所示，由該框架支撐的其他幾種威脅目前仍然無法識別，它們很可能是Flamer的未知變體，或者也許是完全不同的惡意軟件。

一旦被發(fā)現(xiàn)，這兩個服務(wù)器就會被設(shè)置為只記錄少量信息，系統(tǒng)會禁止任何不必要的日志記錄事件，數(shù)據(jù)庫中的記錄也會定期刪除。現(xiàn)有的日志文件也會定期地從服務(wù)器上安全刪除。一旦第三方捕獲該服務(wù)器，這些設(shè)置便可以干擾相關(guān)的調(diào)查。

但是，這些攻擊者并不是無懈可擊的，分析人員找到了顯示服務(wù)器設(shè)置的完整歷史文件。此外，數(shù)據(jù)庫中一組有限的加密記錄顯示，被感染的計算機來自中東地區(qū)。我們還能確定4個作者的昵稱分別為DXX、HXX、OXX和RXX，他們分別負(fù)責(zé)不同階段的代碼和整個項目的不同方面，記錄顯示，整個項目最早啟動于2006年。

該框架的設(shè)置顯示了各攻擊者之間明確的分工——哪些負(fù)責(zé)設(shè)置服務(wù)器（管理員）、哪些是負(fù)責(zé)通過控制面板上載數(shù)據(jù)包和下載被竊取的數(shù)據(jù)（操作者）、哪些擁有私人密鑰能夠解碼被竊取的數(shù)據(jù)（攻擊者）。由于整個過程利用數(shù)據(jù)安全分割技術(shù)，并經(jīng)過了精心的設(shè)計，操作者本身可能實際上并不十分清楚被竊取的數(shù)據(jù)的內(nèi)容。這種結(jié)構(gòu)可以反映出，這是一個有大量資金支持，且有組織的攻擊行為。

盡管控制者試圖在被第三方捕獲該服務(wù)器時極力阻止相關(guān)信息泄露，我們還是能夠確定，創(chuàng)建在2012年5月的服務(wù)器在2012年5月底發(fā)送了一個模塊，命令Flamer“自殺”，也就是從計算機上將自己刪除。通過被感染的蜜罐系統(tǒng)，我們發(fā)現(xiàn)了這一操作。

最后，控制面板需要一個散列（hash）存儲的密碼。盡管我們努力嘗試將該散列變成純文本，但最終還是不能確定該密碼。

網(wǎng)游玩家需警惕后門木馬

對于廣大的網(wǎng)游玩家來說，賬號被盜或者虛擬財產(chǎn)丟失可謂是一大“滅頂之災(zāi)”。而一些黑客們總是對玩家的這些寶貴財富虎視眈眈，通過各種手段想要非法獲得賬號信息或者直接盜取財產(chǎn)和裝備。黑客們最常使用的手段就是通過木馬來控制用戶的計算機。最近，卡巴斯基實驗室就截獲到這樣一種木馬。

這是一個遠(yuǎn)程控制后門木馬。木馬運行后會在注冊表中新建名為“Microsoft Devicger”的服務(wù)的相關(guān)注冊表之后從自身資源中釋放一個DLL至%System%\\Server.dll并將其啟動為服務(wù)。最后木馬會將自身刪除。%System%\\Server.dll是一個后門木馬，會連接y***520520.gnway.net:5556使得黑客可以完全控制計算機，竊取用戶魔獸世界、夢幻西游、地下城與勇士等網(wǎng)絡(luò)游戲中的虛擬財產(chǎn)。

后門木馬的隱蔽性都很高，所以提醒廣大用戶，特別是喜愛玩網(wǎng)游的用戶，安裝專業(yè)的安全軟件尤為重要，不僅不會影響網(wǎng)游的體驗，還能讓您獲得可靠的保護。