kybernetische Waffen

Vollständige Analyse von Flame


Command & Control-Server
Von GReAT am 17. September 2012 05.00 Uhr
Zwischenfälle


Tweet
Cyber-Spionage FLAME gezielte Angriffe

GReAT

Kaspersky Labs Global Research & Analysis Team

@ E_kaspersky / große
Unsere bisherige Analyse der Flamme Malware, die fortschrittliche Cyber-Spionage-Tool, das verknüpft ist
die Stuxnet Betrieb Wurde zunächst am Ende Mai 2012 veröffentlicht und offenbart eine Umfangs
Kampagne gegen mehrere Länder im Nahen Osten.
Die Flamme Malware, einschließlich aller Komponenten, war sehr groß und unsere laufenden Untersuchung
offenbart immer mehr Details seit dieser Zeit. Die Nachricht über diese Bedrohung Höhepunkt am 4. Juni
2012, wenn Microsoft eine Out-of-Band-Patch zu drei betrügerische digitale Zertifikate blockieren
von Flamme verwendet. Am selben Tag, die Existenz bestätigt, dass wir in Flame und veröffentlichte unsere
technische Analyse dieser anspruchsvollen Angriff . Diese neue Seite der Flamme war so weit fortgeschritten, dass nur
der weltweit führenden Kryptographen könnte in der Lage, es umzusetzen. Seitdem skeptisch Witze über
Flamme sind verschwunden.
Später, im Juni, wir endgültig bestätigt, dass die Entwickler mit der Flamme Stuxnet mitgeteilt
Entwicklungs Team , Das ist ein weiterer überzeugender Tatsache war, dass Flamme wurde mit bundes entwickelt
staatliche Unterstützung.
Wir haben auch unsere veröffentlichten Analyse der Flamme Command-and-Control (C & C)-Server, basierend auf
externe Beobachtungen und öffentlich zugänglich Informationen . Das half unser Verständnis davon, wo
die C & C-Server befanden und wie sie registriert wurden.
Mit diesem Blog-Post, veröffentlichen wir neue Informationen, die bei der forensischen Analyse gesammelt wurde
der Flamme C & C-Server. Diese Untersuchung wurde in Partnerschaft mit Symantec, ITU getan
IMPACT und CERT-Bund / BSI.
Kurze C & C Server Fakten
Betriebssystem: 64-Bit-Debian 6.0.x


Seite 2
Virtualisierung: In den meisten Fällen läuft unter OpenVZ
Programmiersprachen: PHP (die meisten von Code), Python, Bash
Datenbank: MySQL mit InnoDB-Tabellen
Web-Server: Apache 2.x mit selbst signierten Zertifikaten
Server Analysis
Eine der C & C-Servern von uns analysierten wurde von einem europäischen Unternehmen mit Rechenzentren in Besitz
ein anderes Land der Europäischen Union. Wir haben es geschafft, ein Bild, das ein Server OpenVZ war erhalten datei
System-Container.
Die Arbeit mit den OpenVZ-Container-Dateisystem noch ein paar Einschränkungen, die forensische gemacht
Analyse schwierig. Zum Beispiel mit nur OpenVZ Container lässt Sie nicht in die schlaff aussehen
Speicherplatz auf der Festplatte, einige gelöschte Dateien wiederherzustellen.
Diese Server-Konfiguration war eine typische LAMP (Linux, Apache, MySQL, PHP)-Setup. Es wurde verwendet,
Gastgeber einer web-basiertes Control Panel sowie auf einige geplante voll automatisierte Skripte im Vorfeld
Hintergrund.
Es war über das HTTPS-Protokoll erreichbar, die Ports 443 und 8080 das Dokumentstammverzeichnis war
/ Var / www / htdocs / die Unterverzeichnisse und PHP-Skripte hat. Während die Systeme hatten PHP5
installiert ist, wurde der Code, um auf PHP4 als auch laufen. Beispielsweise,
/var/www/htdocs/newsforyou/Utils.php hat die "str_split"-Funktion definiert, die die Geräte
"Str_split" Funktion Logik von PHP5, die nicht in PHP4 zur Verfügung stand. Die Entwickler der C & C
Code wahrscheinlich umgesetzt Kompatibilität mit PHP4, weil sie nicht sicher waren, welche der
zwei große PHP-Versionen würden auf der C & Cs installiert werden.


Abbildung 1 - Inhalt des Verzeichnisses "newsforyou"


Seite 3
Die C & C-Steuerung-Code wurde in "newsforyou / CP / CP.php" entdeckt. Öffnen Sie es mit einem Web-
Browser angezeigt einen Login-Prompt:


Abbildung 2 - Bedienfeld Login
Der Benutzername und das Passwort-Hash wurden später in der lokalen MySQL-Datenbank in den "Einstellungen" zu finden
Tabelle.
Login: Benutzername
Passwort-Hash (MD5): 27934e96d90d06818674b98bec7230fa
(Ok, geknackt: 900gage @ #!)


Wir setzen Sie den Passwort-Hash und eingeloggt sein, um zu sehen, wie das Panel sah von der Angreiferseite.
Wir waren mehr als überrascht, als wir angemeldet.


Abbildung 3 - Control Panel Interface
Unser erster Eindruck war, dass das Bedienfeld schien durch Script-Kiddies umgesetzt werden. Es
sah aus wie eine sehr frühe Alpha-Version eines Botnetzes C & C Systemsteuerung. Doch diese Neubetrachtung
Bild ein weiteres Mal machte alles klar - die Angreifer haben uns bewusst für diese Schnittstelle.
Im Gegensatz zu traditionellen Cyber-Kriminelle, die implementieren Augenschmaus Web-Schnittstellen , die die durchschnittliche


Seite 4
Benutzer können leicht als Botnet Bedienfeld erkennen, machte es die Entwickler der Flamme C & C
sehr generisch und unprätentiös.
Die C & C-Entwickler nicht mit professionellen Begriffe wie Bot, Botnet, Infektion, Malware-
Befehl oder irgendetwas in ihrem Control Panel stehen. Stattdessen verwendet gemeinsame Wörter wie Daten,
Upload, Download, Client, News, Blogs, Anzeigen, Backup etc. Wir glauben, dass dies absichtlich getan
täuschen Hosting-Unternehmen sys-Admins, die unerwarteten Kontrollen laufen könnten.
Es gibt keine Möglichkeit, Befehle an infizierten Systemen nur mit der C & C-Panel Web-Interface zu senden
und das ist ein weiterer Unterschied von der traditionellen Botnets. Eine infizierte Maschine wurde mit einer kontrollierten
Nachrichtenaustauschmechanismus basierend auf Dateien (die Entwickler die Dateien namens "Datencontainer").
Um einen Befehl oder Befehle, um ein Opfer zu senden, hochgeladen der Angreifer eine speziell gestaltete
tar.gz-Archiv, das auf dem Server verarbeitet wurde. Eine spezielle Server-Skript extrahiert das Archiv
Inhalte und suchte * .news und * .ad-Dateien. Diese Dateien wurden in entsprechende Verzeichnisse setzen
"News" und "Anzeigen". Die C & C ermöglicht es einem Angreifer, ein Update auf ein bestimmtes Opfer zu schieben, oder alle
Opfer zu einer Zeit. Es ist möglich, einen Befehl, der eine Bestellung von organisieren können priorisieren
Befehle (dh alle Daten zu sammeln und erst nach Selbst-Ausbau). Die Priorität und Ziel-Client-ID war
auf unkonventionelle Weise übertragen. Sie wurden in den Dateinamen gespeichert, dass der Angreifer
hochgeladen, um eine C & C. Unten ist eine Vorlage des Nachrichtendateinamen von der C & C erwartet:
<Random_number> _ <user_type> _ <user_id> _ <Priorität>. <Dateierweiterung>
Quelldateien Analyse zeigen, dass die C & C können mehrere Kommunikationsprotokolle zu verstehen, um zu sprechen
für verschiedene Clients:

OldProtocol

OldProtocolE

SignupProtocol

RedProtocol (erwähnt, aber nicht implementiert)
Ein genauer Blick auf diese Protokoll-Handler ergab vier verschiedene Arten von Kunden mit dem Codenamen SP,
SPE, FL und IP.
Wir können bestätigen, dass die Flamme Malware wurde als Client-Typ FL identifiziert. Offensichtlich bedeutet dies,
gibt es mindestens drei weitere unentdeckte Cyber-Spionage oder Cyber-Sabotage-Tools erstellt von
die gleichen Autoren: SP, SPE und IP.


Seite 5


Abbildung 4 - Clients und Protokolle Beziehungen in diesem C & C gefunden
Eine typische Client-Sitzung von der C & C behandelt startete von Anerkennung der Protokoll-Version, dann
Protokollierung von Verbindungsinformationen, gefolgt von Decodieren Client-Anfrage und speichern Sie es auf dem lokalen
Dateiablage in verschlüsselter Form. Alle Metadaten zu Dateien vom Client empfangen wurde in ein gehalten
MySQL-Datenbank.
Die C & C-Skript verschlüsselt alle vom Client empfangene Dateien. Die C & C verwendet eine PGP-ähnlichen Mechanismus
Dateien verschlüsseln. Zuerst wird der Dateidaten unter Verwendung des Blowfish-Algorithmus im CBC-Modus (mit verschlüsselten
statische IV). Die Blowfish Key wird zufällig für jede Datei generiert. Nach Datei-Verschlüsselung, die Blowfish
Schlüssel mit einem öffentlichen Schlüssel mit asymmetrischen Verschlüsselungsalgorithmus aus den verschlüsselten
openssl_public_encrypt PHP-Funktion.
Die Verschlüsselungsparameter:
IV: 12345678
ОpenSSL öffentlichen Schlüssel:
----- BEGIN PUBLIC KEY -----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtZslxFiR9KJE05Nhh7Xk
+ LVVpD9F6AQnvZeknDiwL3SBjZB / db / LLXtwiet8LUS6JYCXnaIq4NxW1PymwGFZ
ZUC / B3p + + ZAFPt06veOHOfaMAI0KDMb laNPINvn / jJ8TfvCaUMUuMEY4sayh0xwD
MwSAazMYI8rvaaS / BqhI / 6vPN6D02UIpwT1TSBVeRRoPBHuYE7A93b8vJw9sBGIp
KXZ90sgP1CjdAmCbhYelelninKdeTKCGvd5YXt86grWgEVf5WXzxXi3ZK1T4w0Yt
mNhUEAwS7zCdtZ + Ak8b0M83wAirASvPZiBl6qF8hqCT5pKkwgBG // kk8JicboLsM


Seite 6
VQIDAQAB
----- END PUBLIC KEY -----
Dies gewährleistet, dass niemand anderer als der Angreifer kann die vom Server abgerufen Dateien lesen
Dateispeicher, da nur der Angreifer den privaten Schlüssel, die wesentlich für die Dateien zu entschlüsseln ist,
von den Clients.
In Bezug auf Funktionalität, unterstützt infiziert Kunden sehr wenige Befehle:

GET_NEWS: Ruft Datei (en) aus ./news Unterverzeichnis, das der aktuellen Client-ID zugeordnet sind. Die
News-Dateien enthalten Updates und Zusatzmodule der Flamme, sowie spezielle Befehle, wie
wie das Ändern Registrierungsschlüsselwerte.

ADD_ENTRY: Speichert Informationen durch den Kunden gesammelt.

ADD_SUB_ENTRY: Wie ADD_ENTRY.

GET_AD: Ruft Dateien aus ./ad_path Verzeichnis. Diese Funktionalität scheint in der aufgebrochen werden
C & C, weil es keine ./ad_path aber ./ads Verzeichnis. Doch der Angreifer hochladen
Dateien in das Verzeichnis über das Bedienfeld ./ads.
Wir haben festgestellt, dass die Namenskonvention von Dateien und Klassen in den Skripten ist nicht üblich für
Unix-Entwickler, weil jedes Wort in der Variablen, Funktionen und Dateinamen begann mit einem Kapital
Brief. Auch gibt es spezielle Klassen definiert sind, aber nicht angeführt, wie IProtocol
(Protocol.php) und IRequestHandler (RequestHandler.php). Klassen, die nie instanziert werden, sind
für Vererbungsmechanismus in objektorientierten Programmierung verwendet. Diese Klassen genannt werden
Schnittstellen in Programmiersprachen wie C ++, C # und Java. Putting Kapital "I" vorangestellt, wie
Klassen ist eine häufige Gewohnheit für viele Windows-C ++ / C # Entwickler.
Eine der wertvollsten Spuren von den Entwicklern in den Skripten links waren und ihre Spitznamen
interne Zeitstempel:

author [O] in 2006.12.03 zensiert

author [D] auf 2006.12.04 zensiert

author [D] auf 2007.01.23 zensiert

author [H] am 09.02.2007 zensiert

author [O] zensiert, [D] zensiert

author [D] zensiert (Änderungen)

author erheblich veränderte durch [D] zensiert

author [R]Copyright 2011 zensiert
Hier ist, was bekannt ist, in Bezug auf die Aktivität der Entwickler:

[D] zensiert: arbeitete an mindestens 31 Dateien

[H] zensiert: arbeitete an mindestens 10 Dateien

[O] zensiert: arbeitete an mindestens 4 Dateien

[R] zensiert: arbeitete an mindestens 1 Datei (doppelte Dateien Entferner)


Seite 7


Abbildung 5 - Zeitleiste der Aktivität Flamme C2 Programmierer
Daraus können wir schließen, dass die ersten C & C-Dateien erstellt wurden am 03. Dezember 2006 die
bedeutet, dass die Flamme Plattform ist viel älter, als wir ursprünglich geschätzt.
Es gab für diese C & C Entwicklung zuständig vier Personen. Es ist uns offensichtlich, dass eine der
sie, [H] zensiert, war mehr Erfahrung als die anderen. Er codiert einige sehr intelligente Patches
und umgesetzt komplexe Logiken; Außerdem scheint er ein Meister der Verschlüsselungsalgorithmen sein.
Wir denken, dass [H] zensiert war wahrscheinlich ein Team zu führen.
Die Betreiber der C & C verwendet Automatisierung, um die Server-Umgebung vorzubereiten. Wir glauben, dies ist
denn sie hatten so viele Server, die es unvernünftig, alles manuell machen. Unten ist
ein Teil eines interessanten Skript (LogWiper.sh) aus dem Dateisystem Root-Verzeichnis, die auf blieb
der aktuelle Server:
#! / Bin / bash
apt-get install-y chkconfig
#stop Geschichte
echo "entschärft HISTFILE" >> / etc / profile
Geschichte -c
finden /.bash_history -exec Fetzen -fvzu n 3 {} \;
Service rsyslog Anschlag
chkconfig rsyslog aus
Service Sysklogd stoppen
chkconfig sysklogd aus
Service msyslog stoppen
chkconfigm syslog aus
Service syslog-ng stoppen
chkconfig syslog-ng aus
Fetzen -fvzu n 3 / var / log / wtmp
Fetzen -fvzu n 3 / var / log / lastlog
Fetzen -fvzu n 3 / var / run / utmp


Seite 8
Fetzen -fvzu n 3 /var/log/mail.*
Fetzen -fvzu n 3 / var / log / syslog *
Fetzen -fvzu n 3 / var / log / messages *
#stop Protokollierung ssh
cp / etc / ssh / aa
sed-i 's / LogLevel. * / LogLevel ruhig /' / etc / ssh / sshd_config
Fetzen -fvzu n 3 /var/log/auth.log*
Dienstleistungen sh Neustart
#DELETE versteckten Dateien
find /-name type f | grep -v ".bash_profile" | grep -v ".bashrc" | grep "nach Hause" | "*." xargs zerreißen -
fvzu n 3
finden / type f-name "*." | grep -v ".bash_profile" | grep -v ".bashrc" | grep "root" | xargs zerkleinern -fvzu
n 3 #stop apache2 Protokollierung
sed-i 's | ErrorLog [$ / a-zA-Z0-9 {} _.] * | ErrorLog / dev / null | g' / etc / apache2 / sites-available / default
sed-i 's | CustomLog [$ / a-zA-Z0-9 {} _.] * | CustomLog / dev / null | g' / etc / apache2 / sites-available / default
sed-i 's | LogLevel [$ / a-zA-Z0-9 {} _.] * | LogLevel emerg | g' / etc / apache2 / sites-available / default
sed-i 's | ErrorLog [$ / a-zA-Z0-9 {} _.] * | ErrorLog / dev / null | g' / etc / apache2 / sites-available / default-ssl
sed-i 's | CustomLog [. $ / a-zA-Z0-9 {} _] * | CustomLog / dev / null | g'
/ Etc / apache2 / sites-available / default-ssl
sed-i 's | LogLevel [$ / a-zA-Z0-9 {} _.] * | LogLevel emerg | g' / etc / apache2 / sites-available / default-ssl
...
Fetzen -fvzu n 3 / var / log / apache2 / *
apache2 restart Service
#self löschen
finden ./ type f | grep logging.sh | xargs -I {} Fetzen -fvzu n 3 {} \;
Das Skript oben wird verwendet, um Server-Umgebungen vorbereiten, als C & C-Server zu arbeiten. Sie wischen
vorhandenen Protokolldateien, und deaktivieren Sie weiter Protokollierung. Diese Datei gibt einen Überblick über den C & C-Betreiber
Fähigkeiten und Vorlieben. Zunächst sehen wir, dass die Betreiber installiert und verwendet chkconfig. Hier ist
eine offizielle Beschreibung der chkconfig-Paket auf Debian-Systemen:
Chkconfig ist ein System-Tool, um die Systemdienste aktivieren oder deaktivieren. Chkconfig ist ein Dienstprogramm zur Aktualisierung
und Abfrage Runlevel Informationen für Systemdienstleistungen. Chkconfig manipuliert die zahlreichen
symbolische Links in /etc/init.d/, um Systemadministratoren von einigen der Plackerei der Hand zu entlasten
Bearbeitung der symbolischen Links. In Debian gibt es mehrere Werkzeuge mit ähnlicher Funktionalität, aber die Benutzer
aus anderen Linux-Distributionen werden die Tools in diesem Paket besser vertraut zu finden.
Das ist ziemlich interessant, da Debian hat eine Menge von anderen beliebten Werkzeuge, um die Start-Skripten umgehen
Manipulation: rcconf, update-rc.d, sysv-rc-conf, etc. Das Werkzeug chkconfig auf Debian ist eine
Umsetzung eines beliebten RedHat-Tool mit dem gleichen Namen. Es scheint, dass die Menschen, die
gelang es den C & Cs sind besser vertraut mit RedHat-Systemen. Dies erinnert uns an die Duqu C & Cs
die alle auf wurden RedHat CentOS.
Das Skript generisch alle bekannten System-Logging-Daemons wie rsyslog, sysklogd stoppt,
syslog-ng, msyslog. Während die ersten drei sind häufig auf Debian-Systemen nicht vorhanden ist msyslog
in offiziellen öffentlichen Repositories. Es scheint, dass, dass msyslog wird unterstützt von Core Security Unternehmen
und ist in der Lage, auf Linux, BSD, Irix, Solaris und AIX laufen. Die neueste Version von Daemon war msyslog
veröffentlicht am 15 Apr, 2003 hatte keiner der analysierten Systeme msyslog Daemon installiert. Es ist nicht
klar, warum die Betreiber hatten spezielle Linien für msyslog Daemon.
Die C & C-Operatoren verwendet die Fetzen Werkzeug, um Informationen zu wischen. Dies wurde auch in der letzten verwendeten
Server wischt durch die Duqu-Team.


Seite 9
Am Ende des Skripts gibt es eine Linie, um die Originalschrift entfernen. Das ist mit dem Fetzen getan
Befehl als gut, aber das ist ein Fehler, weil der Name der Datei ist geschreddert "logging.sh"
während das aktuelle Skript wurde LogWiper.sh genannt, weshalb es nicht aus dem System gelöscht.
Das System Cron-Daemon wurde so konfiguriert, dass mehrere periodische Aufgaben ausführen:

Alle 30 Minuten: php /var/www/htdocs/newsforyou/UnloadChecker.php

Alle 6 Stunden: python /home/.../pycleaner/Eraser.py

Um Mitternacht: php /home/.../delete.php
Zusätzlich zu dem Webserver Stammverzeichnis, gab es eine Home-Verzeichnis für einen Benutzer mit einer drei
Charakternamen. Nach der Analyse der anderen Server, waren diese Namen immer drei
Zeichen lang sein und zufällig ausgewählt. Dabei zeigte sich, einige andere Dateien und Verzeichnisse in die verwendete
Projekt:


Abbildung 6 - Nicht-Root-Benutzer-Home-Verzeichnis
LogWiper_fixed.txt ist die gleiche Datei wie LogWiper.sh oben beschrieben.
delete.php ist ein PHP-Skript, das auf Zeitplan ausgeführt wurde, um Nachrichten, die älter als 30 sind zu löschen
Tage. Entfernen von Dateien in einer sicheren Art und Weise mit einem externen Anruf, um die System Fetzen Tool. Es
auch behandelt Löschen von Dateien Meta-Informationen aus der Datenbank.
Das Verzeichnis pycleanscrhad vier Dateien in das für die automatisierte Bereinigung Verfahren eingesetzt:


Abbildung 7 - pycleanscr Verzeichnis
Dieses Skript wurde entwickelt, um temporäre Dateien vom Webserver tmp-Verzeichnis zu entfernen und war
soll als geplanten Job ausführen. Jedoch ein Fehler, die von den Autoren gemacht nicht laufen lassen, überhaupt.
Der Cronjob wurde eingestellt, um Python /home/.../pycleaner/Eraser.py ausführen, während der rechte Weg war
python /home/.../ pycleanscr /Eraser.py.
Offenbar haben die Betreiber hatten mehrere Varianten von Skripten, um Festplattenauslastung kontrollieren und zu verhindern,
Übernutzung der Festplattenspeicher.
Wir sehen auch eine RequestHandler.php Datei im Home-Ordner und zeigt sie auf, dass die Arbeit
einreichen. Es wurde dort am 14. Mai 2012 legte Dies ist die gleiche Datei wie in "newsforyou" Webserver
Verzeichnis. Später, als wir analysiert anderen Server-Images, erkannten wir, dass die Datei anders war
von anderen Servern. Der Unterschied in dieser Datei war in Schubverbindungs ​​Kunden ein Modul
intern als "Shreder" (oben auf der Timeline genannt), wenn keine anderen Module wurden in
die Warteschlange der "news". Die "Shreder" war ein gut beschrieben ( Symantec Blogpost) Flamm verwandten
Malware Selbstentfernung Windows-Binärdatei.


Seite 10
Der Simulator Verzeichnis enthält spezielle Skripte, um den Stresstest von der C & C zu tun, indem
Abfragen identisch mit Original Malware HTTP-Anfragen. Der Bediener kann die Anzahl angeben,
Arbeitsfäden und die Häufigkeit der eingehenden Anfragen. Dies zeigt, daß die verwendeten Entwickler
echte "Produktion" Server für Testzwecke als auch.
Nach unserer bisherigen Veröffentlichungen, könnten wir viele Fragen bezüglich der Menge der empfangenen Daten
das wurde von Flamme exfiltrated. Das ist sehr schwer zu schätzen, wenn Sie nur den Zugriff auf die
Malware ausführbare. Es wäre sogar möglich, dass die Daten, die Zugang zu der Schätzung
Flamme C & C, wie die Betreiber heruntergeladen und entfernt die gestohlenen Daten aus der C & C alle 30
Minuten. Wenn die Download-Skripten nicht in Betrieb waren aus irgendeinem Grund war, dass kein Problem, da
es andere Scripts auf der Server-Seite die Menge der Daten auf der erhaltenen
Server. Wenn der Schwellenwert erreicht war, wurde der ältere Daten, um Speicherplatz frei gelöscht.
Also, auch wenn Sie sich zu nehmen und zu analysieren, die Server-Inhalte finden Sie nur einen kleinen Bruchteil zu sehen
realen Daten, die gestohlen wurde. Doch durch einen Fehler der Angreifer Sie stiegen aus und es gesperrt
hinter einer Sammlung von Dateien, die nicht gelöscht wurden hinterlassen. Das half, die wirkliche Menge zu messen
gestohlen Dateien hochgeladen werden, um dieses C & Cs wöchentlich: 5.5 GB (komprimiert).
Auf einem der Server, vergaß die Angreifer, um die HTTP-Protokolle zu löschen; Dies erlaubt es uns, eine Vorstellung zu bekommen
wie viele Opfer auf den Server von POST-Requests, um die Flamme C2-Code verbunden:


Abbildung 8 - Web-Server Log-Statistik
In einem Zeitraum von nur einer Woche (25. März - 2. APRIL), wurden 5377 einzigartige IPs gesehen Anschluss an
der Server, die überwiegende Mehrheit in Iran: 3702 Was auch überrascht, ist die große Anzahl von IPs aus
Sudan: 1280 Unsere bisherigen Statistiken nicht zeigen, eine große Zahl von Infektionen in Sudan, so dass diese
muss eine spezielle Kampagne Zielsysteme im Iran und Sudan haben.
Wenn nur ein Server verarbeitet 5000+ Opfer während eines Zeitraum von einer Woche und da mehrere Server
zur Verfügung standen, können wir die Gesamtzahl der Opfer Schätzung für Flame ist wahrscheinlich höher
als zuvor geschätzt, mehr als 10.000.


Seite 11
SP, SPE, FL, IP, Gauß und Stuxnet
Das zurückgewonnene C & C Code behandelt vier Hauptkunden: SP, SPE, FL und IP. Aus dieser Liste der am meisten
Malware interessant ist die IP, die auch die jüngste auf der Grundlage der zugeordneten Client-Codes ist:
/// Arten von Kunden
define ('CLIENT_TYPE_UNKNOWN', 0);
define ('CLIENT_TYPE_SP', 1);
define ('CLIENT_TYPE_SPE', 2);
define ('CLIENT_TYPE_FL', 3);
define ('CLIENT_TYPE_IP', 6);
Die IP-Client verwendet den "Anmelden Protocol" und es ist der einzige Client in der Liste, die es verwendet. Zu erkennen,
der "Anmelden Protocol", sieht der Code für eine bestimmte "uid = Anzahl & action = Anzahl" Zeile in der
HTTP-Anfrage:
if (preg_match ('/ ^ uid = d + & action = d + /', $ data) === 1)
{
zurück array (RC_SUCCESS, PROTOCOL_SIGNUP);
}
Wenn Sie sich fragen werden, keiner der von uns untersuchten Malware nutzt dieses Schema. Beispielsweise,
Gauss verwendet "POST /userhome.php?sid=string==&uid=string=". Ebenso nutzt Stuxnet
"Index.php? Daten = ...". So sind wir ziemlich sicher, dass diese Malware mit dem Codenamen "IP" ist weder Gauss noch
Stuxnet.
Zusätzlich wird die aktuelle C & C-Code scheint nicht in der Lage, Gauss oder Stuxnet behandeln
Verbindungen.
Sinkhole-Hits aus "SPE"
Mit Hilfe unserer Partner, Kaspersky Lab Einrichtung einer Doline für Flamme. Wir haben vorher veröffentlicht
Statistiken aus der Doline Daten in unserer bisherigen Beiträge.
Vielleicht die interessanteste Sache ist, dass auf der C & C-Code der Flamme beruht, waren wir in der Lage,
Katalog der Doline Verbindungen in zwei Hauptkategorien:

OldProtocol Verbindungen, die aus Flammen

OldProtocolE Verbindungen, durch SPE verwendet
Deshalb können wir die Malware bekannt bestätigen als "SPE" existiert und gerade in freier Wildbahn.
Darüber hinaus gibt es keine Hits aus entweder der geheimnisvollen SP oder die IP-Malware.
Schlussfolgerungen und Zusammenfassung Ergebnisse:
Während unserer gemeinsamen Untersuchung mit Industriepartnern - Symantec, ITU-IMPACT und cert
Bund / BSI - wir entdeckt eine Reihe von Dingen, die vorher nicht zu Flame und bekannt für seine
zugeordnete Plattform:

Die Entwicklung der Plattform C & C-Code begann bereits Dezember 2006.


Seite 12

Die Source-Code Kommentare zeigen mindestens vier Programmierer: [D] zensiert, [O]
zensiert, [H] zensiert und [R] zensiert.

Die jüngste Quellcode Änderung wurde am 18. Mai 2012 (LogWiper_fixed.txt gemacht,
Constants.py).

Die C & C Code behandelt vier verschiedene Malware - benannt SP, SPE, FL und IP von den Autoren.
Es behandelt auch drei Kommunikationsprotokolle (OldProtocol, OldProtocolE, SignupProtocol).

Von den vier Malware wird nur Flamme bekannt; die anderen drei sind derzeit nicht bekannt.

Für die Kommunikation nutzt Flame "OldProtocol".

Ein unbekannter, Flamme bezogenen Malware namens SPE existiert und ist in freier Wildbahn.

Flamme ist nicht die "moderne" der Malware durch die C & C-Code bekannt.

Die jüngste Malware wird als "IP", und es ist noch nicht bekannt.

Der Code ist / war immer noch in der Entwicklung, ein neues Protokoll namens "Red Protocol" noch nicht vollständig
umgesetzt.
Die in diesem Blog-Post offenbart Details zeigen einige wichtige Fakten. Erstens, die Arbeit an
Diese Cyber-Spionage-Projekten begann früher als bisher angenommen - bereits im Jahr 2006.
Zweitens ist der Code, der die Anforderungen verarbeitet komplexe und verwendet Verschlüsselung schwer. Die
Programmierer, die daran gearbeitet versuchte es scheinen, wie ein Rechts CMS Plattform. Last but not
zuletzt wird der gestohlenen Daten auf dem Server, so dass nur die Angreifer es lesen kann verschlüsselt,
durch starke Verschlüsselung mit öffentlichen Schlüsseln. Diese Funktionen sind normalerweise nicht in Malware gefunden
erstellt von Alltags Cyber-Kriminellen, bekräftigen unsere Schlussfolgerungen, die erste Flamme ist ein bundes
Staat gesponserte Angriff.
Basierend auf dem Code vom Server, wir wissen, Flamme war ein Projekt aus einer Liste von mindestens vier. Die
Zweck und Art der anderen drei unbekannt.

https://securelist.com/blog/incidents/34216/full-Analyse-of-Flammen-Befehl-control-Server-27/