Flame (멀웨어)

Flame (malware)
Stoned (컴퓨터 바이러스) flame Flame / Stamford 、 Flaming (인터넷)과 혼동하지 마십시오.

Flamer라고도 하는 Flame,[a] sKyWiper [b][2]Skywiper는 2012년에 발견된[3][4] 모듈러형 컴퓨터 멀웨어로 Microsoft Windows [5]운영 체제를 실행하는 컴퓨터를 공격합니다.이 프로그램은 중동 [1][5][6]국가들표적 사이버 스파이 활동을 위해 사용된다.

이 발견은 2012년 5월 28일 부다페스트 공과대학 [1]컴퓨터 긴급대응팀(CERT)[5]의 MAHER 센터, Kaspersky[6] Lab 및 CrySyS Lab에 의해 발표되었습니다.이 중 마지막 보고서에서는 Flame이 "당사가 업무 수행 중에 접한 말웨어 중 가장 정교한 말웨어이며, 지금까지 발견된 [1]말웨어 중 가장 복잡한 말웨어"라고 언급했습니다.화염은 로컬 네트워크(LAN)를 통해 다른 시스템으로 확산될 수 있습니다.오디오, 스크린샷, 키보드 액티비티 및 네트워크 [6]트래픽을 기록할 수 있습니다.이 프로그램은 또한 스카이프 대화를 녹음하여 감염된 컴퓨터를 블루투스 [7]지원 기기에서 연락처 정보를 다운로드하려는 블루투스 비콘으로 바꿀 수 있습니다.이 데이터는 로컬에 저장된 문서와 함께 전 세계에 흩어져 있는 여러 명령제어 서버 중 하나로 전송됩니다.그런 다음 프로그램은 이러한 [6]서버로부터의 추가 지시를 기다립니다.

2012년 5월 Kaspersky의 추정에 따르면 Flame은 처음에는 약 1,000대의 기계를 감염시켰으며, 정부 기관,[7] 교육 기관 [6]및 개인도 포함되었습니다.당시 감염의 65%가 이란, 이스라엘, 팔레스타인, 수단, 시리아,[3][6] 레바논, 사우디아라비아, 이집트에서 발생했으며 이란 [8]내에서는 "대부분의 표적"이 있었다.유럽과 [9]북미에서도 화염이 보고되고 있다.Flame은 컴퓨터에서 악성 프로그램의 모든 흔적을 지우는 "kill" 명령을 지원합니다.Flame의 최초 감염은 공개 노출 후 작동을 중지하고 "kill" 명령이 [10]전송되었습니다.

Flame은 Kaspersky Lab의 방정식 그룹에 연결되어 있습니다.그러나 Kaspersky Lab의 글로벌 리서치 및 분석 팀의 디렉터인 Costin Raiu는 이 그룹이 Flame과 Stuxnet의 크리에이터와 협력하는 것은 우월한 위치일 뿐이라고 믿고 있습니다.「Equation Group은 확실히 마스터이며, 다른 그룹에게는 빵가루를 줍니다.때때로 Stuxnet과 [11]Flame에 통합할 수 있는 장점을 제공합니다."

2019년, 연구원 후안 안드레스 게레로-사데와 사일러스 커틀러가 화염의 [12][13]부활을 발견했다고 발표했다.공격자는 새로운 샘플이 'suicide' 명령 이전에 생성된 것처럼 보이게 하기 위해 'timestomping'을 사용했다.그러나 컴파일 오류에는 실제 컴파일 날짜(2014년경)가 포함되어 있습니다.새로운 버전(연구진에 의해 'Flame 2.0'이 더빙됨)에는 기능을 [14]숨기기 위한 새로운 암호화 및 난독화 메커니즘이 포함되어 있다.

역사

화염(일명.k.Da Flame)은 2012년 5월 부다페스트 기술경제대학교 암호화 및 시스템 보안 연구소(CrySyS Lab)의 MAHER 센터(이란 국가 CERT, Kaspersky Lab)에 의해 국제연합(UN)에 Kaspersky Lab이 요청되었을 때 식별되었습니다.이란 석유부 컴퓨터 [7]사용.Kaspersky Lab이 조사한 결과 MD5 해시 및 파일명이 중동 국가의 고객 머신에만 있는 것을 발견했습니다.더 많은 조각을 발견한 후, 연구원들은 툴킷 안에 있는 주요 모듈 중 하나를 따서 이 프로그램을 "불꽃"이라고 명명했습니다.[FROG. 기본 공격]A-Install Flame]([7]A-Install Flame)

카스퍼스키에 따르면, Flame은 [6]적어도 2010년 2월부터 야생에서 활동해왔다.CrySyS Lab에서는 2007년 12월에 메인 컴포넌트의 [1]파일명이 확인되었다고 보고했습니다.그러나 악성 프로그램 모듈의 생성 날짜가 1994년 [7]이전 날짜로 잘못 설정되었기 때문에 생성 날짜를 직접 확인할 수 없습니다.

컴퓨터 전문가들은 이것이 2012년 4월 이란 정부 관리들이 [15]인터넷으로부터 석유 터미널을 분리한 공격의 원인이라고 보고 있다.당시 이란 학생 통신사는 공격을 일으킨 멀웨어를 '와이퍼'라고 불렀는데, 이는 멀웨어를 [16]만든 사람이 붙인 이름입니다.그러나 Kaspersky Lab은 Flame이 Wiper [7]악성 프로그램과는 "전혀 별개의 감염"일 수 있다고 믿고 있습니다.프로그램의 규모와 복잡성(Stuxnet보다 "20배" 더 복잡하다고 설명됨)으로 인해 Lab은 완전한 분석에 10년이 [7]걸릴 수 있다고 밝혔습니다.

5월 28일 이란의 CERT는 Flame을 위한 탐지 프로그램과 제거 도구를 개발했다고 발표했으며, 몇 [7]주 동안 이를 "선정 조직"에 배포하고 있다.Flame이 뉴스 미디어에 공개된 후 Symantec은 6월 8일 Flame 명령 및 제어(C&C) 컴퓨터 중 일부가 감염된 PC에 "suidelf" 명령을 전송하여 [10]Flame의 흔적을 모두 제거했다고 보고했습니다.

2012년 5월 Kaspersky의 추정에 따르면 Flame은 처음에는 정부기관,[7] 교육기관, 개인 [6]등 약 1,000대의 기계에 감염되었습니다.당시 가장 큰 영향을 받은 나라는 이란, 이스라엘, 팔레스타인 영토, 수단, 시리아, 레바논, 사우디아라비아,[3][6] 이집트였다.Flame 악성 프로그램의 샘플은 GitHub에서 구할 수 있습니다.

작동

Flame의 소스 코드에 포함된 다양한 모듈 패밀리의 코드 이름 목록 및 가능한 용도[1]
이름. 묘사
불꽃 공격 기능을 실행하는 모듈
부스트 정보 수집 모듈
플라스크 공격 모듈의 종류
지미. 공격 모듈의 종류
뭉게뭉게 설치 및 전파 모듈
과자 로컬 전파 모듈
스포터 스캔 모듈
운송 레플리케이션 모듈
행복감 파일 누수 모듈
두통. 공격 파라미터 또는 속성

Flame은 20메가바이트의 악성 프로그램과는 다른 대규모 프로그램입니다.컴파일된 C++ 코드가 링크된 Lua 스크립트 언어로 부분적으로 작성되어 초기 감염 [6][17]후 다른 공격 모듈을 로드할 수 있습니다.멀웨어는 5가지 암호화 방법과 SQLite 데이터베이스를 사용하여 구조화된 [1]정보를 저장합니다.다양한 프로세스에 코드를 주입하는 방법은 프로세스에 로드된 모듈 목록에 멀웨어 모듈이 표시되지 않으며 멀웨어 메모리 페이지는 읽기, 쓰기 및 실행 권한으로 보호되므로 사용자 모드 [1]애플리케이션에서 액세스할 수 없습니다.내부 코드는 다른 악성 프로그램과는 거의 유사하지 않지만 Stuxnet이 이전에 시스템을 [c][1]감염시키기 위해 사용했던 것과 동일한 보안 취약성 중 두 가지를 악용합니다.멀웨어는, 인스톨 되어 있는 안티바이러스 소프트웨어를 특정해, 사용하는 파일명의 확장자를 변경하는 등, 독자적인 동작을 커스터마이즈 해,[1] 그 소프트웨어에 의한 검출 가능성을 낮춥니다.또 다른 손상 징후로는 뮤텍스레지스트리 액티비티가 있습니다.예를 들어 악성코드가 [17]손상된 시스템에서 영속성을 유지하기 위해 사용하는 가짜 오디오 드라이버 설치 등이 있습니다.

Flame은 자동으로 비활성화되도록 설계되지 않았지만 [7]컨트롤러에서 모듈을 수신하면 시스템에서 파일 및 동작의 흔적을 모두 제거할 수 있는 "kill" 기능을 지원합니다.

Flame은 Microsoft Enforced Licensing Intermediate PCA 인증국에서 [18]보낸 것으로 알려진 사기 증명서로 서명되었습니다.그 악성 코드 작가들과 아직도 그, 그 때 그들은 마이크로 소프트로부터 시작된 것으로 보이게 하는 그 악성 코드의 어떤 요소들에 서명하는 데 사용한 증명서 위조 사본을 배출해 낸 약한 MD5해시 알고리즘을 사용했다는 불시에 코드 서명에서 사용하도록 설정되었는지 마이크로 소프트의 터미널 서버 라이센스 서비스 인증서를 확인했다.[18]증명서에 대한 충돌 공격은 2008년에 이미 [19]시연되었지만 Flame은 선택된 프리픽스 충돌 [20]공격의 새로운 변형을 구현했습니다.

도입

기존에 알려진 사이버 무기인 스턱스넷과 듀크와 마찬가지로 타깃 방식으로 채용되며 루트킷 기능을 통해 기존 보안 소프트웨어를 회피할 수 있다.시스템이 감염되면 Flame은 로컬 네트워크 또는 USB 스틱을 통해 다른 시스템으로 확산될 수 있습니다.오디오, 스크린샷, 키보드 액티비티 및 네트워크 [6]트래픽을 기록할 수 있습니다.또한 이 프로그램은 스카이프 대화를 녹음하여 감염된 컴퓨터를 블루투스 비콘으로 전환하여 근처의 블루투스 지원 [7]장치에서 연락처 정보를 다운로드하려고 시도합니다.이 데이터는 로컬에 저장된 문서와 함께 전 세계에 흩어져 있는 여러 명령 및 제어 서버 중 하나로 전송됩니다.그런 다음 프로그램은 이러한 [6]서버로부터의 추가 지시를 기다립니다.

산업 공정을 방해하기 위해 설계된 Stuxnet과 달리 Flame은 순전히 [21]스파이 활동을 위해 작성된 것으로 보인다.특정 업종을 대상으로 하는 것이 아니라 "일반적인 사이버 간첩 목적으로 설계된 완전한 공격 도구"[22]입니다.

Kaspersky는 싱크홀링이라는 기술을 사용하여 특히 AutoCAD 도면, PDF텍스트 [8]파일을 노리는 등 "대부분의 목표물"이 이란 내에 있음을 입증했습니다.컴퓨터 전문가들은 이 프로그램이 정보 수집을 [8]위한 기술적 도표를 수집하는 것으로 보인다고 말했다.

감염된 머신에 원격으로 액세스하기 위해 아시아, 유럽 및 북미에 걸쳐 80대의 서버를 사용하는 네트워크를 사용하고 있습니다.[23]

기원.

2012년 6월 19일 워싱턴포스트는 Flame이 최소 5년 전 미국 국가안보국(NSA)과 CIA, 이스라엘 군이 공동 개발했다는 기사를 실었다.이 프로젝트는 이란의 핵개발 [24]노력을 늦추기 위한 사이버 사보타주 캠페인에 대비해 정보를 수집하기 위한 것으로 알려졌습니다.

카스퍼스키의 악성 코드 전문가에 따르면의 타겟들은 지리학과 또한이 위협의 복잡성 이것 저것에 가는 연구를 후원했다 그것이 민족 국가에 대해 의심을 남기지 않았다."[3]카스퍼스키 처음에는 비록 추측하는 프로젝트는 s에 의뢰해는 악성 코드 스턱스넷과 유사한 점이 없다고 말했다공격자[25]코드를 추가로 분석한 후 Kaspersky는 Flame과 Stuxnet 사이에는 강력한 관계가 있다고 말했습니다. Stuxnet의 초기 버전은 동일한 제로 데이 [26]취약성을 이용하는 Flame 모듈과 거의 동일한 USB 드라이브를 통해 전파되는 코드를 포함하고 있었습니다.

이란의 CERT는 악성코드의 암호화가 "이스라엘에서만 볼 수 있는 특별한 패턴"[27]이라고 설명했다.데일리 텔레그래프는 플래임이 이란, 시리아, 요르단강 서안을 포함한 명백한 목표물 때문에 이스라엘이 "많은 논객들의 주요 용의자"가 되었다고 보도했다.다른 논객들은 중국과 미국을 가능한 [25]가해자로 지목했다.이스라엘 정책에 비판적인 논객인 리처드 실버스타인은 "이스라엘 고위 소식통"[25]에게 악성코드가 이스라엘 컴퓨터 전문가들에 의해 만들어졌다는 것을 확인했다고 주장했다.예루살렘포스트는 모셰 야알론 이스라엘 부총리가 자국 정부의 [25]소행임을 암시한 것으로 보인다고 전했으나 이스라엘 대변인은 이를 [28]암시한 것은 아니라고 밝혔다.익명의 이스라엘 보안 관계자들은 이스라엘에서 발견된 감염된 기계는 바이러스가 미국이나 다른 서방 [29]국가들로 추적될 수 있다는 것을 암시할 수 있다고 제안했다.미국은 공식적으로 [30]책임을 부인하고 있다.

유출된 NSA 문서에는 이란의 FLAME 발견에 대처하는 것은 NSA와 GCHQ가 공동으로 작업한 [31]행사라고 언급되어 있다.

「 」를 참조해 주세요.

메모들

  1. ^ "Flame"은 코드에서 발견되는 문자열 중 하나이며 공격의 일반적인 이름으로 대부분 악용에 의해[1] 사용됩니다.
  2. ^ sky라는 이름WiPer'는 악성코드에[1] 의해 부분 파일명으로 사용되는 문자 "KWI"에서 파생되었습니다.
  3. ^ MS10-061 및 MS10-046

레퍼런스

  1. ^ a b c d e f g h i j k "sKyWIper: A Complex Malware for Targeted Attacks" (PDF). Budapest University of Technology and Economics. 28 May 2012. Archived from the original (PDF) on 28 May 2012. Retrieved 29 May 2012.
  2. ^ "Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East". Symantec. Archived from the original on 31 May 2012. Retrieved 30 May 2012.
  3. ^ a b c d Lee, Dave (28 May 2012). "Flame: Massive Cyber-Attack Discovered, Researchers Say". BBC News. Archived from the original on 30 May 2012. Retrieved 29 May 2012.
  4. ^ McElroy, Damien; Williams, Christopher (28 May 2012). "Flame: World's Most Complex Computer Virus Exposed". The Daily Telegraph. Archived from the original on 30 May 2012. Retrieved 29 May 2012.
  5. ^ a b c "Identification of a New Targeted Cyber-Attack". Iran Computer Emergency Response Team. 28 May 2012. Archived from the original on 29 May 2012. Retrieved 29 May 2012.
  6. ^ a b c d e f g h i j k l Gostev, Alexander (28 May 2012). "The Flame: Questions and Answers". Securelist. Archived from the original on 30 May 2012. Retrieved 16 March 2021.
  7. ^ a b c d e f g h i j k Zetter, Kim (28 May 2012). "Meet 'Flame,' The Massive Spy Malware Infiltrating Iranian Computers". Wired. Archived from the original on 30 May 2012. Retrieved 29 May 2012.
  8. ^ a b c Lee, Dave (4 June 2012). "Flame: Attackers 'sought confidential Iran data'". BBC News. Retrieved 4 June 2012.
  9. ^ Murphy, Samantha (5 June 2012). "Meet Flame, the Nastiest Computer Malware Yet". Mashable.com. Retrieved 8 June 2012.
  10. ^ a b "Flame malware makers send 'suicide' code". BBC News. 8 June 2012. Retrieved 8 June 2012.
  11. ^ 식: 2015년 2월 17일, Kaspersky Lab의 글로벌 조사 및 분석 팀장, Costin Raiu의 Wayback Machine, SecureList에 보관된 악성 프로그램 Galaxy데스 스타:"제가 보기에 이 방정식 그룹은 가장 멋진 장난감을 가지고 있는 그룹인 것 같습니다.때때로 Stuxnet 그룹 및 Flame 그룹과 공유하지만, 원래는 방정식 그룹 직원만 사용할 수 있습니다.방정식 그룹은 확실히 달인이고, 다른 사람들에게 빵 부스러기를 주고 있습니다.때때로 Stuxnet과 Flame에 통합할 수 있는 장점을 제공합니다."
  12. ^ Zetter, Kim. "Researchers Uncover New Version of the Infamous Flame Malware". www.vice.com. Retrieved 6 August 2020.
  13. ^ Chronicle (12 April 2019). "Who is GOSSIPGIRL?". Medium. Retrieved 15 July 2020.
  14. ^ Guerrero-Saade, Juan Andres; Cutler, Silas (January 2019). "Flame 2.0: Risen from the Ashes". {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  15. ^ Hopkins, Nick (28 May 2012). "Computer Worm That Hit Iran Oil Terminals 'Is Most Complex Yet'". The Guardian. Archived from the original on 31 May 2012. Retrieved 29 May 2012.
  16. ^ Erdbrink, Thomas (23 April 2012). "Facing Cyberattack, Iranian Officials Disconnect Some Oil Terminals From Internet". The New York Times. Archived from the original on 31 May 2012. Retrieved 29 May 2012.
  17. ^ a b Kindlund, Darien (30 May 2012). "Flamer/sKyWIper Malware: Analysis". FireEye. Archived from the original on 2 June 2012. Retrieved 31 May 2012.
  18. ^ a b "Microsoft releases Security Advisory 2718704". Microsoft. 3 June 2012. Retrieved 4 June 2012.
  19. ^ Sotirov, Alexander; Stevens, Marc; Appelbaum, Jacob; Lenstra, Arjen; Molnar, David; Osvik, Dag Arne; de Weger, Benne (30 December 2008). "MD5 Considered Harmful Today". Retrieved 4 June 2011.
  20. ^ Stevens, Marc (7 June 2012). "CWI Cryptanalist Discovers New Cryptographic Attack Variant in Flame Spy Malware". Centrum Wiskunde & Informatica. Archived from the original on 28 February 2017. Retrieved 9 June 2012.
  21. ^ Cohen, Reuven (28 May 2012). "New Massive Cyber-Attack an 'Industrial Vacuum Cleaner for Sensitive Information'". Forbes. Archived from the original on 31 May 2012. Retrieved 29 May 2012.
  22. ^ Albanesius, Chloe (28 May 2012). "Massive 'Flame' Malware Stealing Data Across Middle East". PC Magazine. Archived from the original on 30 May 2012. Retrieved 29 May 2012.
  23. ^ "Flame virus: Five facts to know". The Times of India. Reuters. 29 May 2012. Archived from the original on 30 May 2012. Retrieved 30 May 2012.
  24. ^ Nakashima, Ellen (19 June 2012). "U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say". The Washington Post. Retrieved 20 June 2012.
  25. ^ a b c d "Flame Virus: Who is Behind the World's Most Complicated Espionage Software?". The Daily Telegraph. 29 May 2012. Archived from the original on 31 May 2012. Retrieved 29 May 2012.
  26. ^ "Resource 207: Kaspersky Lab Research Proves that Stuxnet and Flame Developers are Connected". Kaspersky Lab. 11 June 2012.
  27. ^ Erdbrink, Thomas (29 May 2012). "Iran Confirms Attack by Virus That Collects Information". The New York Times. Archived from the original on 6 June 2012. Retrieved 30 May 2012.
  28. ^ Tsukayama, Hayley (31 May 2012). "Flame cyberweapon written using gamer code, report says". The Washington Post. Retrieved 31 May 2012.
  29. ^ "Iran: 'Flame' Virus Fight Began with Oil Attack". Time. Associated Press. 31 May 2012. Archived from the original on 3 June 2012. Retrieved 31 May 2012.
  30. ^ "Flame: Israel rejects link to malware cyber-attack". BBC News. 31 May 2012. Retrieved 3 June 2012.
  31. ^ "Visit Précis: Sir Iain Lobban, KCMG, CB; Director, Government Communications Headquarters (GCHQ) 30 April 2013 – 1 May 2013" (PDF).