论文部分内容阅读
日前,来自赛门铁克安全响应团队公布的《警惕Newsforyou!——恶意威胁Flamer(喷火器)命令与控制服务器技术分析》的白皮书,引起了业界普遍的关注。该白皮书针对今年早些时候发生的W32.Flamer攻击所利用的两个命令与控制(C&C)服务器进行了详细分析。W32.Flamer是一种高级网络间谍工具,其主要攻击目标是中东地区。
作为安全产业界在面对重大威胁时的一次联合行动,此次C&C服务器分析工作是由赛门铁克、CERT-Bund/BSI、IMPACT和卡巴斯基共同完成的,齐心协力,一起对抗恶意威胁。
据分析,W32.Flamer攻击所利用的两个命令与控制(C&C)服务器分别创建于2012年3月25日和2012年5月18日,在它们创建后很短的时间里,第一个与其交互而感染Flamer的计算机就出现了。在接下来的几周内,这两个服务器相继感染了至少几百台计算机。
虽然这两台服务器具有相同的控制框架,但它们的用途却有所不同。通过对创建于2012年3月份的服务器的分析显示,在一周多的时间里,它从被感染的计算机中共收集了近6GB的数据。与之相比,创建于2012年5月的服务器仅收集了75MB的数据,并且该服务器只是用于向被感染的计算机分发一个命令模块。
“命令与控制”通过一个名为Newsforyou的网络应用程序实现。该应用程序负责处理W32.Flamer客户端交互,并提供一个简单的控制面板,该控制面板允许攻击者向被感染的计算机上传代码数据包,也允许向受感染的计算机传输并下载包含被窃取客户端的数据包。据分析,这个应用程序并不只是被Flamer利用,它还能够通过不同协议与被多个其他恶意软件标识符感染的计算机进行交互。下表为不同恶意软件标识符与各种支持协议之间的关系。
如上表所示,由该框架支撑的其他几种威胁目前仍然无法识别,它们很可能是Flamer的未知变体,或者也许是完全不同的恶意软件。
一旦被发现,这两个服务器就会被设置为只记录少量信息,系统会禁止任何不必要的日志记录事件,数据库中的记录也会定期删除。现有的日志文件也会定期地从服务器上安全删除。一旦第三方捕获该服务器,这些设置便可以干扰相关的调查。
但是,这些攻击者并不是无懈可击的,分析人员找到了显示服务器设置的完整历史文件。此外,数据库中一组有限的加密记录显示,被感染的计算机来自中东地区。我们还能确定4个作者的昵称分别为DXX、HXX、OXX和RXX,他们分别负责不同阶段的代码和整个项目的不同方面,记录显示,整个项目最早启动于2006年。
该框架的设置显示了各攻击者之间明确的分工——哪些负责设置服务器(管理员)、哪些是负责通过控制面板上载数据包和下载被窃取的数据(操作者)、哪些拥有私人密钥能够解码被窃取的数据(攻击者)。由于整个过程利用数据安全分割技术,并经过了精心的设计,操作者本身可能实际上并不十分清楚被窃取的数据的内容。这种结构可以反映出,这是一个有大量资金支持,且有组织的攻击行为。
尽管控制者试图在被第三方捕获该服务器时极力阻止相关信息泄露,我们还是能够确定,创建在2012年5月的服务器在2012年5月底发送了一个模块,命令Flamer“自杀”,也就是从计算机上将自己删除。通过被感染的蜜罐系统,我们发现了这一操作。
最后,控制面板需要一个散列(hash)存储的密码。尽管我们努力尝试将该散列变成纯文本,但最终还是不能确定该密码。
网游玩家需警惕后门木马
对于广大的网游玩家来说,账号被盗或者虚拟财产丢失可谓是一大“灭顶之灾”。而一些黑客们总是对玩家的这些宝贵财富虎视眈眈,通过各种手段想要非法获得账号信息或者直接盗取财产和装备。黑客们最常使用的手段就是通过木马来控制用户的计算机。最近,卡巴斯基实验室就截获到这样一种木马。
这是一个远程控制后门木马。木马运行后会在注册表中新建名为“Microsoft Devicger”的服务的相关注册表之后从自身资源中释放一个DLL至%System%Server.dll并将其启动为服务。最后木马会将自身删除。%System%Server.dll是一个后门木马,会连接y***520520.gnway.net:5556使得黑客可以完全控制计算机,窃取用户魔兽世界、梦幻西游、地下城与勇士等网络游戏中的虚拟财产。
后门木马的隐蔽性都很高,所以提醒广大用户,特别是喜爱玩网游的用户,安装专业的安全软件尤为重要,不仅不会影响网游的体验,还能让您获得可靠的保护。
作为安全产业界在面对重大威胁时的一次联合行动,此次C&C服务器分析工作是由赛门铁克、CERT-Bund/BSI、IMPACT和卡巴斯基共同完成的,齐心协力,一起对抗恶意威胁。
据分析,W32.Flamer攻击所利用的两个命令与控制(C&C)服务器分别创建于2012年3月25日和2012年5月18日,在它们创建后很短的时间里,第一个与其交互而感染Flamer的计算机就出现了。在接下来的几周内,这两个服务器相继感染了至少几百台计算机。
虽然这两台服务器具有相同的控制框架,但它们的用途却有所不同。通过对创建于2012年3月份的服务器的分析显示,在一周多的时间里,它从被感染的计算机中共收集了近6GB的数据。与之相比,创建于2012年5月的服务器仅收集了75MB的数据,并且该服务器只是用于向被感染的计算机分发一个命令模块。
“命令与控制”通过一个名为Newsforyou的网络应用程序实现。该应用程序负责处理W32.Flamer客户端交互,并提供一个简单的控制面板,该控制面板允许攻击者向被感染的计算机上传代码数据包,也允许向受感染的计算机传输并下载包含被窃取客户端的数据包。据分析,这个应用程序并不只是被Flamer利用,它还能够通过不同协议与被多个其他恶意软件标识符感染的计算机进行交互。下表为不同恶意软件标识符与各种支持协议之间的关系。
如上表所示,由该框架支撑的其他几种威胁目前仍然无法识别,它们很可能是Flamer的未知变体,或者也许是完全不同的恶意软件。
一旦被发现,这两个服务器就会被设置为只记录少量信息,系统会禁止任何不必要的日志记录事件,数据库中的记录也会定期删除。现有的日志文件也会定期地从服务器上安全删除。一旦第三方捕获该服务器,这些设置便可以干扰相关的调查。
但是,这些攻击者并不是无懈可击的,分析人员找到了显示服务器设置的完整历史文件。此外,数据库中一组有限的加密记录显示,被感染的计算机来自中东地区。我们还能确定4个作者的昵称分别为DXX、HXX、OXX和RXX,他们分别负责不同阶段的代码和整个项目的不同方面,记录显示,整个项目最早启动于2006年。
该框架的设置显示了各攻击者之间明确的分工——哪些负责设置服务器(管理员)、哪些是负责通过控制面板上载数据包和下载被窃取的数据(操作者)、哪些拥有私人密钥能够解码被窃取的数据(攻击者)。由于整个过程利用数据安全分割技术,并经过了精心的设计,操作者本身可能实际上并不十分清楚被窃取的数据的内容。这种结构可以反映出,这是一个有大量资金支持,且有组织的攻击行为。
尽管控制者试图在被第三方捕获该服务器时极力阻止相关信息泄露,我们还是能够确定,创建在2012年5月的服务器在2012年5月底发送了一个模块,命令Flamer“自杀”,也就是从计算机上将自己删除。通过被感染的蜜罐系统,我们发现了这一操作。
最后,控制面板需要一个散列(hash)存储的密码。尽管我们努力尝试将该散列变成纯文本,但最终还是不能确定该密码。
网游玩家需警惕后门木马
对于广大的网游玩家来说,账号被盗或者虚拟财产丢失可谓是一大“灭顶之灾”。而一些黑客们总是对玩家的这些宝贵财富虎视眈眈,通过各种手段想要非法获得账号信息或者直接盗取财产和装备。黑客们最常使用的手段就是通过木马来控制用户的计算机。最近,卡巴斯基实验室就截获到这样一种木马。
这是一个远程控制后门木马。木马运行后会在注册表中新建名为“Microsoft Devicger”的服务的相关注册表之后从自身资源中释放一个DLL至%System%Server.dll并将其启动为服务。最后木马会将自身删除。%System%Server.dll是一个后门木马,会连接y***520520.gnway.net:5556使得黑客可以完全控制计算机,窃取用户魔兽世界、梦幻西游、地下城与勇士等网络游戏中的虚拟财产。
后门木马的隐蔽性都很高,所以提醒广大用户,特别是喜爱玩网游的用户,安装专业的安全软件尤为重要,不仅不会影响网游的体验,还能让您获得可靠的保护。