شناسایی ویروس جدیدی از خانواده استاکس نت/ حمله رایانه ای "شعله آتش"

 

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از شناسایی نرم افزار مخربی خبرداد که به احتمال زیاد و با در نظر گرفتن پیچیدگی و کیفیت بالای عملکرد و همچنین اهداف مشابه، می توان آن را محصولی از خانواده استاکس نت و دیوکیو دانست.

 

 در پی بررسی های تخصصی انجام شده طی چند ماه گذشته از سوی کارشناسان مرکز ماهر و در ادامه تحقیقات صورت گرفته از سال 2010 پیرامون حملات هدفمند سازمان دهی شده استاکس نت و دیوکیو، این مرکز برای نخستین بار به انتشار اطلاعات آخرین نمونه از حملات این خانواده اقدام کرده است.این حمله توسط بدافزاری که از این پس با نام Flame (شعله آتش) معرفی خواهد شد، صورت می گیرد که این نام برگرفته از محتویات رمزگشایی شده فایل های اصلی بدافزار است. این بدافزار در واقع پلتفرمی است که قابلیت دریافت و نصب ابزارهای گوناگون برای فعالیتهای مختلف را داراست. در حال حاضر هیچ کدام از اجزای پرشمار تشکیل دهنده این بدافزار توسط بیش از 43 نرم افزار آنتی ویروس در دسترس مورد شناسایی قرار نمی گیرند. با این وجود ابزار شناسایی و پاکسازی این بدافزار در مرکز ماهر تهیه شده و از امروز در اختیار سازمان ها و شرکتهای متقاضی قرار خواهد گرفت.شماری از قابلیتهای مهم این بدافزار شامل انتشار از طریق حافظه های فلش، انتشار در سطح شبکه، پویش شبکه و جمع آوری و ثبت اطلاعات منابع شبکه و رمزعبور سیستمهای مختلف، پویش دیسک کامپیوتر آلوده و جستجو برای فایلهایی با پسوندها و محتوای مشخص، تهیه تصویر از فعالیتهای خاص کاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور کاربر و ذخیره سازی صوت دریافتی از طریق میکروفن سیستم در صورت وجود است.همچنین ارسال اطلاعات ذخیره شده به سرورهای کنترل خارج از کشور، دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C، برقراری ارتباط امن با سرورهای C&C از طریق پروتکل های SSH و HTTPS ، شناسایی و ازکار انداختن بیش از 100 نرم افزار آنتی ویروس، ضد بدافزار، فایروال و قابلیت آلوده سازی سیستمهای ویندوز XP، ویستا و ویندوز 7 و قابلیت آلوده سازی سیستمهای یک شبکه در مقیاس بالا از دیگر قابلیتهای این نرم افزار به شمار می رود.به احتمال قریب به یقین و با درنظر گرفتن پیچیدگی و کیفیت بالای عملکرد و همچنین اهداف مشابه این بدافزار، می توان آن را محصولی از خانواده استاکس نت و دیوکیو دانست.نشانه های یافت شده حاکی از آن است که رویدادهای رخ داده اخیر درباره از بین رفتن همزمان اطلاعات سیستمهای کامپیوتری نتیجه فعالیت یکی از اجزای این بدافزار است.با تحلیل انجام شده فهرستی از اجزای تشکیل دهنده این بدافزار شناسایی شده و در جدول زیر ارائه شده که این اطلاعات قابل ارائه به تولیدکنندگان عمده آنتی ویروس است و از این پس اجزای این بدافزار می تواند مورد شناسایی آنتی ویروسها قرار گیرد.

 
علائم آلودگی و جزئیات اجزای تشکیل دهنده بدافزار

وجود هریک از این نشانه ها بیانگر آلودگی سیستم به بدافزار flame است:
 
ردیف نوع علائم آدرس
1 وجود کلید رجیستری

HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication

Packages -> mssecmgr.ocx

2 فایلهای اجرایی و تنظیمات آلودگی 
windows\system32\mssecmgr.ocx
Windows\System32\ccalc32.sys
Windows\System32\msglu32.ocx
Windows\System32\boot32drv.sys
Windows\System32\nteps32.ocx
Windows\System32\advnetcfg.ocx
Windows\System32\soapr32.ocx
Windows\System32\to961.tmp
Windows\ EF_trace.log




تاريخ : یک شنبه 7 خرداد 1391برچسب:, | | نویسنده : مقدم |