كالبدشكافي اوليه Flamer

اولين نتايج بررسي كالبدشكافي بدافزار W32.Flamer توسط سيمانتك بشرح زير منتشر گرديد:

تعداد اجزاي اين بدافزار بسيار زياد است و به زحمت مي توان همه آنها را كشف كرد. اين بدافزار داراي يك زيرساخت با طراحي خوب مي باشد كه شامل وب سرور، پايگاه داده و امكان استفاده از SSH جزيي از امكانات آن است. مهمترين قسمت اين بدافزار يك مفسر زبان اسكريپت موسوم به LUA مي باشد كه به توليد كننده اجازه مي دهد كه در مرور زمان امكانات جديدي را به سيستم اضافه نمايد. اين اسكريپتها در قالب برنامه هاي كاربردي در زيرساختي كه مشابه يك انبار از برنامه ها است قرار گرفته اند.

براي درك بهتر به عكس زير نگاه كنيد. اين محتواي فايل mssecmgr.ocx است كه فايل اصلي اين بدافزار مي باشد و اولين فايلي است كه روي كامپيوتر آلوده اجرا مي گردد:

اكثر اجزا، حتي اسكريپتها در داخل يك resource رمز شده در فايل mssecmgr.ocx قرار گرفته اند. اين فايل داراي يك جدول نمايه براي دسترسي به فايلها مي باشد - مشابه روشي كه در سيستم عامل به كار گرفته مي شود - علاوه بر اسكريپتها، فايلهاي قابل اجرا مانند advnetcfg.ocx ، nteps32.ocx ، boot32drv.sys ، msglu32.ocx ، soapr32.ocs ، jimmy.dll ، 00006411.dll و ... نيز در آن قرار گرفته اند.

خارج از اين resource كدي قرار گرفته كه امكاناتي مانند HTTP Server ، SOCKS Proxy ، SSH Server ، SQLite Server و صدالبته مفسر زبان LUA را فرآهم مي كند.

استفاده از زبان LUA از آن بابت جالب توجه است كه به توليدكنندگان اين اجازه را مي دهد كه بدون دردسر عمليات جديد را به اين زيرساخت فرآهم شده اضافه نمايند.

بعد از اجراي mssecmgr.ocx از روش پيچيده زير براي تزريق خود در داخل سيستم و مخفي سازي استفاده مي كند:

در ابتدا فايل  advnetcfg.ocx استخراج و اجرا مي گردد، سپس فايل nteps32.ocx استخراج شده و تحويل فايل اولي مي گردد كه در نتيجه اين فايل به داخل پروسس سالم shell32.dll تزريق مي گردد. بعد از حصول اطمينان از اين پروسه، مفسر LUA اجرا گشته و سراغ انبار برنامه هاي كاربردي خود مي رود (اين انبار در كد به نام Flame ناميده مي شود كه نام اين بدافزار نيز از همين نام اقتباس گشته است) سپس بعد از آن پايگاه داده اجرا مي گردد تا فايلهاي مختلف و رمزگزاري شده اي را براي جمع آوري اطلاعات سرقت شده فرآهم آورد.

نماي شماتيك اين انبار در اين عكس مشاهده كنيد:

در انتها توابع كتابخانه اي را مشاهده مي كنيد كه مي توانند امكاناتي مانند دسترسي به پايگاه داده يا شبكه را  در اختيار ساير اسكريپتها قرار دهند. قسمت قابل توجه كتابخانه اي است كه امكان انجام اعمال خرابكاري و انتشار را به سايرين مي دهد.  بعضي از اين توابع عبارتند از :

  • AttackOP : جهت حمله به ساير كامپيوتر و انتشار از طريق تكنيكهاي مختلف و نقاط ضعف امنيتي
  • CASafety : جهت چك كردن نرم افزارهاي ضدويروس
  • CRUISE : براي سرقت نامهاي كاربري و كلمه هاي عبور
  • Euphoria : جهت استفاده از نقطه ضعف امنيتي LNK براي انتشار (همان نقطه ضعفي كه Stuxnet استفاده مي كرد)

بعضي از اين اسكريپتها ممكن است براي اجرا به كدهاي ديگر نياز داشته باشند مثل AttackOP كه به soapr32.ocx نيازمند است. اين فايل مي تواند اطلاعات را از شبكه سرقت كند و در يك فايل رمز شده با الگوريتم RC4 ذخيره نمايد.

اطلاعات منتشر شده بالا تنها يك ايده اوليه از نحوه عمل اين بدافزار بسيار پيچيده مي باشد. براي درك كامل اين بدافزار نياز به بررسي، مهندسي معكوس و در انتها جمع بندي بيش از 60 اسكريپت موجود در انبار آن مي باشد. براي اين كه متوجه پيچيدگي موضوع بشويد مي توان اين موضوع را به درك نحوه ساخت يك ساختمان در برابر نحوه ساخت يك شهر تشبيه نمود!

تاريخ: پنجشنبه 11 خرداد 1391  ساعت: 18:48

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm