شرکت McAfee با انتشار گزارش اولیهای درباره ویروس Wiper یا Flame جزئیات کامل و دقیقی را از این ویروس مخرب ارائه کرد.
سوم
اردیبهشت ماه سال جاری شاهد حمله سایبری به شبکه اینترنت و مخابرات وزارت
نفت بودیم که خیلی زود، مشابهت این حملات جدید با حملات Stuxnet و Duqu
مطرح گردید.
هفتم اردیبهشت نیز مرکز ماهر اطلاعات بیشتری درباره این حملات سایبری و بدافزاری که Flame نامیده شد، منتشر کرد.
به گزارش سافت گذر به نقل ازایتنا؛ در مشاهدات و گزارشات اولیه درباره این بدافزار از نام Viper یا Wiper استفاده شده است.
بر
اساس گزارش مرکز تحقیقات McAfee Labs، عملیات متنوع و پیچیده این بدافزار -
که شرکت McAfee آن را SkyWiper مینامد - از طریق چندین مرکز کنترل و
فرماندهی (Command and Control – C&C) مدیریت و هدایت میشود.
احتمال داده میشود که تعداد این مراکز فرماندهی بیش از ۱۰ مرکز باشد.
برای
بررسی دقیق عملکرد ویروسهای Stuxnet و Duqu ماهها وقت صرف شد ولی در
نگاه اول، پیشبینی میشود که بررسی و کسب اطلاعات دقیق درباره ویروس
SkyWiper بسیار دشوارتر بوده و زمان بیشتری نیاز داشته باشد.
برای
نمونه، یکی از بخشهای کوچک و رمزگذاری شده بدافزار SkyWiper حاوی بیش از
۷۰ هزار سطر برنامهنویسی به زبان C است که شامل بیش از ۱۷۰ عبارت(string)
رمزگذاری شده میباشد.
به نظر میرسد که این بدافزار طی چندین
” عملیات متنوع و پیچیده این
بدافزار - که شرکت McAfee آن را SkyWiper مینامد - از طریق چندین مرکز
کنترل و فرماندهی (Command and Control – C&C) مدیریت و هدایت میشود.
احتمال داده میشود که تعداد این مراکز فرماندهی بیش از ۱۰ مرکز باشد. “
سال توسط یک گروه برنامهنویسی حرفهای طراحی و تهیه شده است.
اکنون
با بررسی گزارشهای برخی شرکتهای امنیتی و فایلهای Log منتشر شده در
تالارهای گفتوگو (Forums)، علائمی از فعالیت این بدافزار در سالهای
گذشته(حدود سال ۲۰۱۰ میلادی) در ایران و چند کشور اروپایی مشاهده شده است.
بر
خلاف ویروسهای رایج امروزی، این بدافزار به کندی از طریق حافظههای USB
Flash انتشار مییابد تا جلب توجه نکرده و به عنوان یک رفتار مخرب توسط
ابزارهای امنیتی شناسایی نشود.
برخی از فایلهای مرتبط با ویروس
SkyWiper در ظاهر متعلق به شرکت مایکروسافت میباشد. بعنوان مثال، یک فایل
در ظاهر Windows Authentication Client نسخه ۵.۱ و شماره ساخت (Build) ۲۶۰۰
و متعلق به Microsoft Corporation است. ولی بررسی دقیقتر نشان میدهد که
مانند ویروسهای Stuxnet و Duqu هیچیک از فایلهای بدافزار SkyWiper دارای
Authentication Key معتبر نیستند.
مرکز کنترل و فرماندهی SkyWiper
قادر است، نام و پسوند فایلهای مخرب و مرتبط با این بدافزار را تغییر دهد.
حتی تنظیمات مورد استفاده این فایل ها هم قابل تغییر هستند. بدین نحو،
بدافزار SkyWiper میتواند خود را از دید ابزارهای امنیتی و از جمله
ضدویروسها مخفی نگهدارد.
در حال حاضر به غیر از برخی شباهتها در
نحوه رمزگذاری فایلها، نقطه مشترکی بین SkyWiper و ویروسهای Stuxnet و
Duqu مشاهده نشده است. تنها پیچیدگی این بدافزارها و محل فعالیت عمده آنها
که کشور ایران است، باعث به وجود آمدن این فرضیه و احتمال شده که حداقل این
سه ویروس، پروژههای مشابهی بودهاند که در سالهای گذشته به طور موازی
اجرا شدهاند.
اندازه برنامه اصلی SkyWiper بیش از ۶ مگابایت است و مجموعه کامل برنامههای این بدافزار حدود ۲۰ مگابایت فضا اشغال میکنند.
این حجم زیاد برای این بدافزار کمی
” به نظر میرسد که این بدافزار طی چندین سال توسط یک گروه برنامهنویسی حرفهای طراحی و تهیه شده است. “
تعجب آور است. کاربران با تجربه میدانند که ویروس نویسان برای انتشار
راحتتر فایلهای مخرب، اندازه فایلها را کم نگه می دارند. اما ساختار
پیچیده این بـدافـزار نیـاز به کتابخانههای پیچیدهای همچون Zlib، مفسر
LUA و ... دارد که باعث ایجاد این حجم زیاد میشود.
آخرین تغییرات
در فایلهای بدافزار SkyWiper مربوط به بیش از یکسال گذشته (حدود زمستان ۸۹
و تابستان ۹۰) میشود. گر چه در برخی فایلها به طور دستی، تاریخ ها از
۲۰۱۱ به ۱۹۹۴ تغییر داده شده اند.
بر اساس اطلاعات جمع آوری شده
توسط McAfee Labs که در نقشه زیر نمایش داده شده است، بخش عمده آلودگی به
بدافزار SkyWiper مربوط به ایران بوده و چند مورد پراکنده نیز در آمریکا
مشاهده شده است.
به گزارش سافت گذر؛در
حملات SkyWiper مشاهده شده که برای مخفی ساختن حملات اصلی و جلوگیری از
جلب توجه، در ابتدا برخی آلودگیها در نقاط دیگر به غیر از اهداف اصلی
ایجاد میگردد. در مراحل بعدی، SkyWiper از این نقاط آلوده به عنوان مرکز
کنترل و فرماندهی استفاده میکنند.
یقیناً در بررسی و تحقیقات بعدی، توجه به این نکته بسیار ضروری است.
ضد
ویروس McAfee با آخرین فایلهای به روز رسانی DAT، قادر به شناسایی
بدافزار SkyWiper میباشد. اطلاعات و مشاهدات فعلی نشان می دهد که چندین
گونه مختلف در این بدافزار وجود دارد.
اطلاعات فنی
این بدافزار که توسط ضدویروس McAfee با نام SkyWiper شناسایی میشود، قـادر به انجـام عملیات مخرب زیر می باشد:
- بررسی منابع شبکه
- سرقت اطلاعات
- تماس با مراکز فرماندهی خود از طریق پودمانهای SSH و
” در حال حاضر به غیر از برخی
شباهتها در نحوه رمزگذاری فایلها، نقطه مشترکی بین SkyWiper و ویروسهای
Stuxnet و Duqu مشاهده نشده است. تنها پیچیدگی این بدافزارها و محل فعالیت
عمده آنها که کشور ایران است، باعث به وجود آمدن این فرضیه و احتمال شده که
حداقل این سه ویروس، پروژههای مشابهی بودهاند که در سالهای گذشته به
طور موازی اجرا شدهاند. “
HTTPS
- قابلیت تشخیص بیش از ۱۰۰ محصول امنیتی (ضدویروس، برنامههای ضدجاسوسی، دیواره آتش و غیره)
- اجرا شدن در سطح هسته و در سطح برنامه
- اجرا به همراه پروسه Winlogon.exe و تزریق خود به پروسه explorer.exe و ثبت خود بعنوان یک سرویس
- اضافه کردن علامت ~ در ابتدای نام فایلهای خود برای مخفی ساختن حضور خود
- توانایی حمله به سیستمها از طریق حافظههای USB و شبکههای محلی
- تصویربرداری از فعالیتهای کاربر
- شنود و ضبط تماسهای صوتی برقرار شده از طریق سیستم آلوده
- قابلیتهای اجرا بر روی سیستمهای عامل XP، Vista و Win ۷
- سوءاستفاده از ضعفهای امنیتی سیستم عامل همچون Print Spooler و فایلهای lnk
- استفاده از بانک داده SQLite برای ذخیره اطلاعات جمعآوری شده
- قابلیت توسعه و به روز شدن امکانات جدید
- استفاده از منابع PE رمز شده
فایلهای اصلی بدافزار SkyWiper عبارتند از:
Windows\System۳۲\mssecmgr.ocx
Windows\System۳۲\msglu۳۲.ocx
Windows\System۳۲\nteps۳۲.ocx
Windows\System۳۲\advnetcfg.ocx
Windows\System۳۲\soapr۳۲.ocx
برنامه اصلی بدافزار از طریق مسیر زیر در محضرخانه(Registry) اجرا میگردد:
HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages
این بدافزار فایلهای زیر را نیز ایجاد میکند:
~dra۵۲.tmp
target.lnk
zff۰۴۲
urpd.ocx
ccalc۳۲.sys
boot۳۲drv.sys
Pcldrvx.ocx
~KWI
guninst۳۲
~HLV
~DEB۹۳D.tmp
~DEB۸۳C.tmp
~dra۵۳.tmp
cmutlcfg.ocx
~DFL۹۸۳.tmp
~DF۰۵AC۸.tmp
~DFD۸۵D۳.tmp
~a۲۹.tmp
dsmgr.ocx
~f۲۸.tmp
~dra۵۱k.tmp
~d۴۳a۳۷b.tmp
~dfc۸۵۵.tmp
Ef_trace.log
contents.btr
wrm۳f۰
scrcons.exe
wmiprvse.exe
wlndh۳۲
mprhlp
kbdinai
~ZLM۰D۱.ocx
~ZLM۰D۲.ocx
sstab
~rcf۰
~rcj۰
با
توجه به اینکه احتمالاً این بدافزار دارای گونههای متعددی میباشد، توصیه
میشود که فایلهای ذکر شده فوق، در بخش Access Protection ضدویروس McAfee
VirusScan مسدود شوند.
در صورت مشاهده نمونهای ناشناس، لطفا آن را در اسرع وقت از طریق http://help.shabakeh.net به شبکه گستر ارسال نمایید.
همچنین
با توجه به اهمیت موضوع ممکن است نیاز به استفاده از فایلهای موقت
شناسایی (Extra DAT) باشد که در این صورت هشدارهای لازم به مشترکین ارسال
خواهد گردید.
توصیه میشود مدیران شبکه، موارد پیشگیری کننده، نظیر
نصب آخرین اصلاحیههای سیستم عامل و مسدود ساختن حافظه USB از طریق
ابزارهایی همچون McAfee Device Control را نیز در نظر داشته باشند.