banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits (HVA News) Hỏi đáp nhanh về siêu mã độc Flame  XML
  [News]   (HVA News) Hỏi đáp nhanh về siêu mã độc Flame 09/06/2012 00:39:19 (+0700) | #1 | 264920
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]
Hỏi đáp nhanh về siêu mã độc Flame


Giới nghiên cứu bảo mật trên thế giới đang dồn sự chý ý và quan tâm tới một “vũ khí tấn công trên không gian mạng” (cyber weapon) cực kỳ tinh vi mới được phát hiện gần đây bởi hãng Kaspersky. Nó được xem là bộ công cụ tấn công có chủ đích được thiết kế phức tạp và công phu hơn cả Stuxnet và Duqu. Đó chính là siêu mã độc Flame. Bài viết này sẽ cung cấp những thông tin cơ bản nhất liên quan tới Flame.

Flame là gì?

Nó là tên mã (code name) được đặt cho một phần mềm gián điệp được thiết kế rất phức tạp, hoạt động tinh vi và có tính mô-đun (modular) cao. Flame còn được biết đến với các tên gọi khác là Flamer và sKyWIper. Nó chỉ mới được phát hiện gần đây và người ta vẫn còn đang tiếp tục phân tích và làm rõ các thành phần chức năng và hoạt động của nó. Các hãng bảo mật ước tính có khoảng gần 1000 máy tính bị lây nhiễm bởi Flame và hầu hết nằm ở vùng Trung Đông.

Flame được tạo ra để làm gì?

Chương trình gián điệp này chuyên trách việc theo dõi và thu thập nhiều loại thông tin khác nhau. Nó không chỉ đánh cắp file và email, quay phim và chụp ảnh màn hình, ghi nhận các phím được gõ và các lưu lượng mạng từ các máy tính bị lây nhiễm mà còn có thể điều khiển được microphone và webcam để nghe lén và giám sát người dùng. Ngoài ra, nếu nhận được lệnh từ chủ nhân thì nó có thể tự sao chép để lây nhiễm sang các máy tính khác thông qua mạng cục bộ và các thiết bị lưu trữ di động. Như vậy, Flame là một công cụ tấn công phức tạp, có các đặc điểm và tính năng của cả backdoor, trojan, và worm.

Tất cả những chức năng trên đều có trong nhiều mã độc khác rồi. Vầy thì điểm mới lạ, độc đáo của Flame là gì?

Một tính năng hiếm thấy là Flame có thể điều khiển chức năng bluetooth của máy tính bị lây nhiễm để kết nối tới với các thiết bị bluetooth khác trong một khu vực giới hạn. Chưa rõ ràng để khẳng định điều gì sẽ xảy ra trong trường hợp này nhưng rất có thể là nhằm do thám âm thanh qua tai nghe và đánh cắp dữ liệu từ các smartphone. Các máy bị nhiễm Flame có thể quảng bá tín hiệu bluetooth nhằm thu hút các thiết bị khác kết nối tới nó. Sẽ cần thêm các phân tích kỹ hơn để bóc trần những chi tiết này.
Một tính năng độc nhất khác là trong thành phần của Flame có bao gồm trình thông dịch ngôn ngữ LUA mà có thể được dùng để dễ dàng mở rộng chức năng của nó bằng các script.

Khái niệm mô-đun cùng các tính năng gián điệp tinh vi thì chúng ta đều đã thấy có trong Zeus và SpyEye rồi. Vậy Flame có gì khác so với các trojan nhắm vào các giao dịch ngân hàng trực tuyến đó?

Không giống với Zeus và SpyEye, là các trojan nhằm nghe lén và đánh cắp các thông tin, giao dịch với ngân hàng qua mạng, những người đứng đằng sau Flame không có ý định lan truyền xa nó đi càng xa và nhanh nhất có thể mà trái lại việc cố gắng lan truyền bản thân nó không phải là trọng tâm đầu tiên. Vì sau quá trình phân tích bước đầu, nếu Flame nhận thấy không có bất kỳ thông tin gì hữu ích trên hệ thống nạn nhân thì Flame sẽ tự xóa bỏ nó. Còn nếu thông tin mà nó tìm thấy được cho là có giá trị thì chỉ khi nhận được mệnh lệnh để tự lan truyền thì nó mới cố gắng lây nhiễm sang các hệ thống khác bằng đường mạng nội bộ, thiết bị lưu trữ USB, hoặc các phương thức khác. Việc lan truyền có tính toán và chọn lọc này làm cho số lượng máy tính bị lây nhiễm ít đi rất nhiều. Qua vài năm thì tổng số hệ thống bị nhiễm bởi Flame là 1000, quá nhỏ nếu đem so với Zeus và SpyEye là những mã độc xuất hiện trên hàng triệu máy tính.

Flame đã có mặt trên các máy tính nạn nhân đầu tiên bằng cách nào?

Chúng ta không biết chắc điều này nhưng thường là bằng các con đường truyền thống mà các cuộc tấn công có chủ đích (targeted attack) đã sử dụng. Ví dụ, thủ phạm nhận diện một nhóm những người có quyền truy cập tới các thông tin có giá trị. Sau đó máy tính của những mục tiêu này bị nhiễm spyware thông qua các email giả mạo hoặc các thiết bị USB mà ai đó cố ý đánh mất (để nạn nhân nhặt được và đem về sử dụng), hoặc thậm chí là đột nhập vào nơi ở của nạn nhân và cài đặt các phần mềm độc hại lên máy tính của họ.

Ai đã chế tạo và chịu trách nhiệm về Flame? Có phải tình báo của Israeli không?

Hiện chúng ta không biết được nhưng cũng sẽ đặt nghi ngờ về khả năng này. Có một điều chắc chắn rằng Flame được phát triển bởi các chuyên gia siêu hạng, một nhóm làm việc chuyên tâm. Ngoài ra, có vẻ như Flame lập lại tình huống của Stuxnet khi nó xuất hiện chủ yếu ở vùng Trung Đông với trọng tâm là Iran.

Flame thường được nhắc tới là có cùng đặc điểm với Stuxnet. Vậy thực sự có một mối liên kết nào giữa chúng không?

Cả 2 chương trình này đều có xu hướng sử dụng là nhằm mục đích theo dõi và tình báo nhưng khi phân tích sâu về mặt kỹ thuật thì giữa chúng có rất ít điểm tương đồng. Mặc dù có nhiều chức năng nhưng Stuxnet nổi lên là một chương trình phá hoại có chủ đích nhắm vào các máy ly tâm hạt nhân của Iran. Còn Flame lại là một chương trình gián điệp rất mạnh, bao quát và hơi cồng kềnh khi kích thước của nó lên tới 20MB. Các chuyên gia về vi-rút máy tính mà đã phân tích Flame không tìm thấy bất cứ đoạn mã giống nhau nào giữa chúng và có nhiều lý giải cho việc tại sao hai chương trình này lan truyền thành công một phần là nhờ khai thác các lỗ hổng tương tự nhau.

Flame là điển hình của một “cyber weapon” tân tiến?

Công việc của Flame phải làm là gián điệp thay vì đi phá hoại. Vì vậy mà nên gán cho nó mác “cyber wiretap” hơn là một thứ vũ khí.

Đâu thực sự là điểm đặc biệt về Flame?

Chương trình gián điệp này dường như đã được sử dụng nhiều năm rồi mà không hề bị phát hiện. Tình huống này một lần nữa cho thấy các phần mềm diệt vi-rút thông thường là không thích hợp để bảo vệ các hệ thống quan trọng trước các mối đe dọa từ các cuộc tấn công có chủ đích. Các phần mềm diệt vi-rút thường chỉ tập trung vào việc bảo vệ máy tính chống lại các mã độc có tính lan tràn cao và hầu hết là bất lực trước các phần mềm chuyên sâu, cao cấp như Flame.

Ngoài ra, các nhà nghiên cứu bảo mật hôm 6/6 đã khám phá rằng một số thành phần của Flame được ký số bởi một chứng chỉ giả mạo được chính CA của Microsoft cấp phát. Có được chứng chỉ này, Flame có thể lây nhiễm một cách êm xuôi sang các máy tính khác thông qua tính năng Windows Update. Phương thức lan truyền qua các bản cập nhật cho hệ thống lẫn kỹ thuật giả mạo chứng chỉ này đều không mới nhưng nó thể hiện một điều rằng Flame được thiết kế bởi các chuyên gia giàu kiến thức và được hỗ trợ từ những nguồn lực mạnh.

manthang - HVA News
(Theo H-Online.com)


Tham khảo:
http://www.h-online.com/security/features/FAQ-Flame-the-super-spy-1587063.html

Xem thêm phân tích và nhận định từ chuyên gia tại Kaspersky Lab:
http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
keep -security- in -mind-
[Up] [Print Copy]
  [News]   (HVA News) Hỏi đáp nhanh về siêu mã độc Flame 09/06/2012 00:46:44 (+0700) | #2 | 264923
sangteamtham
Member

[Minus]    0    [Plus]
Joined: 13/11/2008 18:34:26
Messages: 27
Location: Việt Nam
Offline
[Profile] [PM]
Nó kết luận 1 cái rất hay là nếu bạn dùng windows 7 bản 64bit thì bạn an toàn smilie
Một sự việc và hàng tỉ cái đầu
[Up] [Print Copy]
  [News]   (HVA News) Hỏi đáp nhanh về siêu mã độc Flame 09/06/2012 12:07:07 (+0700) | #3 | 264943
nkp
Member

[Minus]    0    [Plus]
Joined: 09/03/2008 13:36:56
Messages: 29
Offline
[Profile] [PM]

sangteamtham wrote:
Nó kết luận 1 cái rất hay là nếu bạn dùng windows 7 bản 64bit thì bạn an toàn smilie 


Ở chỗ nào có kết luận này vậy?. Hay là bạn tự sướng nhỉ.
[Up] [Print Copy]
  [News]   (HVA News) Hỏi đáp nhanh về siêu mã độc Flame 09/06/2012 13:28:09 (+0700) | #4 | 264945
sangteamtham
Member

[Minus]    0    [Plus]
Joined: 13/11/2008 18:34:26
Messages: 27
Location: Việt Nam
Offline
[Profile] [PM]

nkp wrote:

sangteamtham wrote:
Nó kết luận 1 cái rất hay là nếu bạn dùng windows 7 bản 64bit thì bạn an toàn smilie 


Ở chỗ nào có kết luận này vậy?. Hay là bạn tự sướng nhỉ. 


http://www.securelist.com/en/blog/208193540/The_Roof_Is_on_Fire_Tackling_Flames_C_C_Servers

"The vast majority of Flame infections are machines running Windows 7 32 bit. Windows XP is following next. It’s important to say that Flame does not run on Windows 7 64 bit, which we previously recommended as a good solution against infections with other malware."

"Summary and conclusions:
The Flame command-and-control infrastructure, which had been operating for years, went offline immediately after our disclosure of the malware’s existence last week.
We identified about 80 total domains which appear to belong to the Flame C&C infrastructure.
The Flame C&C domains were registered with an impressive list of fake identities and with a variety of registrars, going back as far as 2008.
The attackers seem to have a high interest in PDF documents, Office and AutoCad drawings.
The data uploaded to the C&C is encrypted using relatively simple algorithms. Stolen documents are compressed using open source Zlib and modified PPDM compression.
Flame is using SSH connections (in addition to SSL) to exfiltrate data. The SSH connection is established by a fully integrated Putty-based library.
Windows 7 64 bit, which we previously recommended as a good solution against infections with other malware, seems to be effective against Flame"
Một sự việc và hàng tỉ cái đầu
[Up] [Print Copy]
  [News]   (HVA News) Hỏi đáp nhanh về siêu mã độc Flame 09/06/2012 14:16:57 (+0700) | #5 | 264947
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]

The attackers seem to have a high interest in PDF documents, Office and AutoCad drawings
 

Cái màn này thấy quen quá !
[Up] [Print Copy]
  [News]   (HVA News) Hỏi đáp nhanh về siêu mã độc Flame 10/06/2012 09:52:57 (+0700) | #6 | 264963
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]

TQN wrote:

The attackers seem to have a high interest in PDF documents, Office and AutoCad drawings
 

Cái màn này thấy quen quá !
 


qua phân tích hạ tầng C&C của Flame, Kaspersky kết luận rằng tác giả của Flame có sự quan tâm đặc biệt tới các định dạng file mà có thể chứa những thông tin giá trị như AutoCAD (con Duqu cũng chú ý tới format này), PDF, Office, email. hắn đang cố đánh cắp những file như vậy trên máy của nạn nhân rồi nén, mã hoá và gửi về cho C&C server.
keep -security- in -mind-
[Up] [Print Copy]
  [News]   (HVA News) Hỏi đáp nhanh về siêu mã độc Flame 10/06/2012 10:42:13 (+0700) | #7 | 264964
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Không phải chỉ mình con Duqu thôi đâu, đám mèo què của stl hồi xưa cũng đã có cái trò scan harddisk với mấy cái file .doc, .xls, .ppt, .wav, .jpeg.... 1 loạt, rồi cũng compress = zlib/gzip rồi up đi.
[Up] [Print Copy]
  [News]   (HVA News) Hỏi đáp nhanh về siêu mã độc Flame 10/06/2012 15:55:48 (+0700) | #8 | 264971
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]

TQN wrote:
Không phải chỉ mình con Duqu thôi đâu, đám mèo què của stl hồi xưa cũng đã có cái trò scan harddisk với mấy cái file .doc, .xls, .ppt, .wav, .jpeg.... 1 loạt, rồi cũng compress = zlib/gzip rồi up đi. 


Vậy là em đoán trúng ý của anh rồi smilie.

Những người tạo ra Flame cũng rất thông minh khi Flame chỉ trích xuất một phần nhỏ nội dung của các loại file trên và gửi cho C&C server xem xét. Nếu kẻ tấn công nhận thấy đó là những nội dung hữu ích, có giá trị thì mới chỉ lệnh cho Flame gửi lên C&C server toàn bộ nội dung của file đó.
keep -security- in -mind-
[Up] [Print Copy]
  [News]   (HVA News) Hỏi đáp nhanh về siêu mã độc Flame 12/06/2012 08:02:43 (+0700) | #9 | 265066
nkp
Member

[Minus]    0    [Plus]
Joined: 09/03/2008 13:36:56
Messages: 29
Offline
[Profile] [PM]

sangteamtham wrote:

nkp wrote:

sangteamtham wrote:
Nó kết luận 1 cái rất hay là nếu bạn dùng windows 7 bản 64bit thì bạn an toàn smilie 


Ở chỗ nào có kết luận này vậy?. Hay là bạn tự sướng nhỉ. 


http://www.securelist.com/en/blog/208193540/The_Roof_Is_on_Fire_Tackling_Flames_C_C_Servers

"The vast majority of Flame infections are machines running Windows 7 32 bit. Windows XP is following next. It’s important to say that Flame does not run on Windows 7 64 bit, which we previously recommended as a good solution against infections with other malware."

"Summary and conclusions:
The Flame command-and-control infrastructure, which had been operating for years, went offline immediately after our disclosure of the malware’s existence last week.
We identified about 80 total domains which appear to belong to the Flame C&C infrastructure.
The Flame C&C domains were registered with an impressive list of fake identities and with a variety of registrars, going back as far as 2008.
The attackers seem to have a high interest in PDF documents, Office and AutoCad drawings.
The data uploaded to the C&C is encrypted using relatively simple algorithms. Stolen documents are compressed using open source Zlib and modified PPDM compression.
Flame is using SSH connections (in addition to SSL) to exfiltrate data. The SSH connection is established by a fully integrated Putty-based library.
Windows 7 64 bit, which we previously recommended as a good solution against infections with other malware, seems to be effective against Flame


Thanks.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|