2012年7月29日 星期日

與病毒專家對話 : 初探 Flame 運作原理


與病毒專家對話 : 初探 Flame 運作原理


上文提到一些有關 Flame 背後的秘密,今次我們將會聯同 Kaspersky 專家一同探討 Flame 背後的原理。不過由於 Flame 實在太過複雜了,所以只節錄了部份重點作報導,千萬別錯過啦!

網絡戰爭愈來愈頻密

有收看我們上一篇文章的話,相信都應該知道 Flame 可能是某個國家的網絡武器,雖然到現時為止仍未知道 Flame 背後的始作俑者,但專家們都相信網絡戰爭會愈來愈頻密,而且類似 Flame、Duqu 等等的病毒將會愈來愈多,這表示了我們已經進入網絡戰爭的時代。專家們認為針對各家企業、個人電腦系統的網絡威脅將愈來愈強勁及頻密,而類似 Duqu、Stuxnet 及 Flame 等等的病毒亦會更有目標地針對某些基建或國家而製造,藉以增加破壞的威力;同時專家亦指犯罪份子將採用更為簡單的工具進行不同的攻擊,例如是 Kill Switches 或 Logic Bombs 等,透過利用最簡單的工具以達致於指定時間內成功發動攻擊及入侵行為,我們預計有關的攻擊亦將會愈來愈頻密。

Flame 屬於彊屍網絡一類?

既然 Flame 的主要目的是用於偷取資料,那它是否屬於彊屍網絡一類呢?Kaspersky 專家認為 Flame 似乎是一款後門程式、木馬或類似蠕蟲的病毒,不法份子可利用有關病毒在本地網絡又或者存儲裝置例如是 USB 手指之內進行自我複製,利用這些方法傳播開去,令更多系統「中招」。

那一種方案較有效預防 Flame?軟件方案還是實體防火牆/UTM?

其實現時無論使用那一種方案都不能夠保證 100% 預防到所有攻擊,不過一些防毒軟件又或者傳統的實體防火牆等都能夠有效地降低/預防病毒所帶來的影響。而企業亦應該制定一套有效的政策,這樣反而更有效保障企業網絡的安全性。舉個最簡單例子,企業可透過一些方案或設定去限制用戶於公司的電腦之中使用 USB 手指又或者針對不同部門分配網絡存取的權限等,這些都是非常有效的措施;同時作為網絡管理員亦應時刻留意 Windows 及防毒軟件是否有更新檔可以使用,一旦發現官方已釋出相關更新檔便應立即完成更新工作,這樣才可保障企業網絡減少受到病毒的威脅。

至於要有效預防 Flame,企業應了解 Flame 與早前針對基建設施的 Stuxnet 及 Duqu 有著明顯的不同之處,前者主要以偷取資料為主,而後者則會破壞及癱瘓整個系統,所以針對 Flame 的預防措施,Kaspersky 專家作出以下五項建議供大家參考。

1. 使用最新的系統,例如是 Windows 7 以及是 Mac OS X。
2. 如情況許可,請使用 64-bit 的系統,事關 64 bit 的系統較能預防惡意軟件的攻擊。
3. 時刻對所有軟件/方案進行更新工作。
4. 安裝及運行防毒軟件。
5. 加強對員工的培訓,讓員工漸漸養成良好的使用習慣,例如不要開啟不明來歷的郵件附件檔案、不要將私人資料/公司內部資料於社交網絡之中分享/公開、使用更強的密碼組合等都是員工必須要知道的。

Flame 有幾勁?其操使用過程如何?

早前我們都有提過 Flame 並不簡單,它簡直是一隻非常強而複雜的病毒,其檔案體積亦比起以往針對基建設施的 Stuxnet 等大至少 20 倍。這令 Flame 擁有更多不同的功能,例如可以攔截網絡流量、Cap Screen、偷錄語音對話等,而這一系列的功能只是預設功能而已,不法份子還可透過模組形式額外加入多個功能,令病毒更具靈活性的針對不同目標發動不同的入侵行為或攻擊活動。而病毒所收集的資料亦將會自動經互聯網傳送到始作俑者,因此稱 Flame 為未來網絡戰爭的武器亦並非無道理。

根據 Kaspersky 專家的研究發現,Flame 現已能夠收集到以下資料。

1. 收集系統及本地網絡的基本資訊。
2. 紀錄網絡連接資訊。
3. 支援檔案搜尋功能,讓不法份子可在遠端搜尋目標系統中指定的檔案,同時亦可於搜尋到指定檔案後直接偷取。
4. 錄取語音對話內容。
5. 取得 textual windows 的內容。
6. 掃描目標電腦附近的藍牙設備,以便日後逐一入侵。

當 Flame 啟動後,Flame 會嘗試連接預設好的 Command-and-Control Servers,當成功連接時便會將目標電腦內的系統基本資訊上傳到 C&C Servers 之上,而此時 Flame 便會進入備用狀態,並等待不法份子下達新指令。

不過 Flame 亦非完全隱藏的,這是因為 Flame 啟動後會自動在系統內的 %windir%\temp 資料夾製造大量暫存檔案,因此作為 IT 管理員可透過查看 %windir%\temp 位置是否擁有下列檔案便大約得知系統有否「中招」了。(如果大家發現了這些檔案的話,你的系統很大機會已經中了 Flame。)

~DEB93D.tmp
~8C5FF6C.tmp
~DF05AC8.tmp
~DFD85D3.tmp
~DFL*.tmp
~dra*.tmp
~fghz.tmp
~HLV*.tmp
~KWI988.tmp
~KWI989.tmp
~rei524.tmp
~rei525.tmp
~rf288.tmp
~rft374.tmp
~TFL848.tmp
~TFL849.tmp
~mso2a0.tmp
~mso2a1.tmp
~mso2a2.tmp
sstab*.dat

好了,用了兩大篇幅初步講述了 Flame 的背後原理及運作方式後,相信大家都應該會較為清楚知道 Flame 的主要作用。往後有機會的話,我們將會聯同病毒專家再次與大家探討一下其他病毒的運作原理及背後的秘密,請大家密切留意啦!

想更深入了解 Flame?立即按此進入 [與病毒專家對話 : 揭火焰「Flame」病毒始作俑者]

轉載自《HKITBlog》