• 30154
  • 25
  • 3
Нравится блог?
Подписывайтесь!

The Roof Is on Fire: отключение командных серверов Flame

27 мая 2012 года иранский координационный центр CERT (MAHER) опубликовал сведения об обнаружении новой целевой атаки, получившей название Flamer. 28 мая в 9 часов утра (часовой пояс восточного побережья США — EST) после проведения расследования, организованного по просьбе Международного союза электросвязи, «Лаборатория Касперского» и венгерская лаборатория CrySyS Lab объявили об обнаружении вредоносной программы Flame (она же Skywiper) — сложнейшего набора инструментов для кибершпионажа, мишенями которого стали прежде всего Windows-компьютеры в странах Ближнего Востока.

Несколько часов спустя, около 4 часов пополудни по Гринвичу, была отключена инфраструктура командных серверов Flame, проработавшая несколько лет.

В течение последних недель «Лаборатория Касперского» осуществляла детальный мониторинг инфраструктуры командных серверов (C&C) Flame. В сотрудничестве с GoDaddy и OpenDNS «Лаборатории Касперского» удалось переключить на sinkhole-маршрутизатор большинство вредоносных доменов, используемых инфраструктурой C&C Flame, и получить уникальные сведения о работе этой вредоносной программы.

Результаты нашего анализа инфрастуктуры Flame приведены ниже.

Введение

Поскольку похоже, что и Flame, и Duqu нацелены на одни и те же регионы и создавались с учетом аналогичных целей, «Лаборатория Касперского» приводит сравнительный анализ инфраструктуры C&C-серверов Flame и Duqu.

Ранее «Лаборатория Касперского» проводила анализ инфраструктуры C&C-серверов Duqu и обнаружила несколько важных деталей (например то, что киберпреступники предпочитают CentOS и используют SharpSSH для контроля прокси-серверов), а также большое количество атакованных прокси-серверов, используемых для сокрытия подлинной identity киберпреступников.

В инциденте с Flame «Лаборатория Касперского» провели похожий анализ. Прежде всего, интересным является отличие от Duqu: в то время как все известные C&C Duqu работали под CentOS, все известные C&C Flame функционируют на Ubuntu.

Помимо этого, если Duqu использовал очень незаметный способ сокрытия настоящего IP-адреса основного сервера, используя для передачи SSH-порт, скрипты Flame просто работают на соответствующих серверах. Причина проста — в понедельник 28 мая все контрольные скрипты начали показывать ошибки 403/404. В случае с Duqu реальные вредоносные скрипты находились на удаленном сервере и не были ни разу обнаружены.

С этой точки зрения можно утверждать, что киберпреступники, стоящие за Duqu, стараясь скрыть свою активность проявляли значительно большую аккуратность по сравнению с теми, кто стоит за Flame.

Ниже мы приводим сравнение инфраструктуры C&C-серверов Duqu и Flame:

Duqu Flame
Server OS CentOS Linux Ubuntu Linux
Control scripts Running on remote server, shielded through SSH port forwarding Running on servers
Number of victims per server 2-3 50+
Encryption of connections to server SSL + proprietary AES-based encryption SSL
Compression of connections No Yes, Zlib and modified PPMD
Number of known C&C’s domains n/a 80+
Number of known C&C IPs 5 15+
Number of proxies used to hide identity 10+ Unknown
Time zone of C&C operator GMT+2 / GMT+3 Unknown
Infrastructure programming .NET Unknown
Locations of servers India, Vietnam, Belgium, UK, Netherlands, Switzerland, Korea, etc... Germany, Netherlands, UK, Switzerland, Hong Kong, Turkey, etc...
Number of built-in C&C IPs/domain in malware 1 5, can update list
SSL certificate self-signed self-signed
Servers status Most likely hacked Most likely bought
SSH connections no yes

При заражении компьютера Flame использует конфигурацию по умолчанию, в которую входят 5 доменных имен серверов управления. Перед тем как подключиться к ним, червь проверяет наличие интернет-соединения, пытаясь соединиться с www.microsoft.com, windowsupdate.microsoft.com и www.verisign.com, используя HTTPS. В случае наличия интернет-соединения, Flame начинает процесс общения с собственными серверами управления.

Дополнительно к конфигурации по умолчанию, Flame управляет базой данных дополнительных серверов. «Лаборатория Касперского» исследовала эту дополнительную базу, которая может загружаться с C&C сервера целиком и содержит 5-6 других доменов. В общей сложности запущенный Flame для попыток соединения с активным сервером управления может использовать список, содержащий около 10 доменов.

Интересно, что Flame также ведет лог своей активности в системе, в который записывает сообщения о таких соединениях, включая информацию о времени и дате.

В ходе анализа образцов Flame, полученных с Ближнего Востока, «Лаборатория Касперского» обнаружила, что они пытались подключиться к 5 разным доменам. Дополнительная конфигурация включала еще 6 доменов. Из логов активности Flame они извлекли еще 5 других доменных имен, что в сумме дало 11 уникальных доменов, с которыми работал данный образец червя.

Исследуя IP-адреса, на которых были размещены данные домены, «Лаборатория Касперского»  обнаружила еще 30 доменов, которые располагались на тех же самых серверах. Проведя проверку истории IP-адресов для этих доменов,  нашли еще 40 доменов, которые также были связанны с первыми доменами. В общем,  установили более 80 различных доменных имен, которые так или иначе принадлежат к инфраструктуре серверов управления Flame.

Все C&C домены Flame были зарегистрированы на впечатляющий список поддельных лиц через различные регистрационные компании. Регистрация проводилась как минимум с 2008 года. Как правило, на каждого фальшивого владельца регистрировались только 2-3 домена, но в некоторых редких случаях на такую «персону» было зарегистрировано до 4 доменов.

Наибольшее количество C&C доменов было зарегистрировано через компанию GoDaddy.

Для регистрации использовались такие имена как Adrien Leroy, Arthur Vangen, George Wirtz, Gerard Caraty, Ivan Blix, Jerard Ree, Karel Schmid, Maria Weber, Mark Ploder, Mike Bassett, Paolo Calzaretta, Robert Fabous, Robert Wagmann, Romel Bottem, Ronald Dinter, Soma Mukhopadhyay, Stephane Borrail, Traian Lucescu, Werner Goetz или Will Ripmann и другие.

Во многих случаях при регистрации использовались поддельные адреса в Германии и Австрии, особенно часто — в Вене. Мы не знаем, по каким причинам Вена оказалась для киберпреступников столь привлекательной.

Давайте посмотрим внимательнее на этих поддельных «персон». Для примера, возьмем регистрацию “chchengine.com”, который еще совсем недавно использовался Flame. Домен был зарегистрирован на некого “Karel Schmid” с адресом “rue dizerens 7, Geneva”. Это реальный адрес — отеля “Appart’Hotel Residence Dizerens”:

 

Вот один пример домена, который был зарегистрирован на некого “Ivan Blix”.

В качестве адреса владельца указаны “Koninginneweg 93, Oslo”. Однако если поискать это место, то выяснится, что такого в Осло нет. Зато есть точно такое же — в Амстердаме. И этот адрес тоже принадлежит отелю, который называется “Apple Inn”:

При регистрации всех доменов использовались адреса отелей, магазинов, организаций, врачебных офисов или просто несуществующие в реальности адреса.

Собирая информацию обо всей инфраструктуре серверов управления Flame, «Лаборатория Касперского» обобщила полученные данные в единой схеме этой крайне сложной операции. Количество доменов и серверов, которые использовались в ходе операции Flame, подтверждает мнение о сложности этой угрозы.

Общее число известных в настоящее время доменов, задействованных в качестве C&C и связанных с ними, превышает 80. Они были зарегистрированы в период 2008-2012 годов. За эти 4 года C&C постоянно меняли дислокацию и располагались на серверах в разных странах — в Гонконге, Турции, Германии, Польше, Малайзии, Латвии, Швейцарии и т.д.

Обнаружив столь большое разнообразие доменов, «Лаборатория Касперского» обратились в GoDaddy и попросили перемаршрутизировать все обнаруженные домены на наш синкхол-сервер. Кроме того, команда по безопасности OpenDNS со своей стороны также включила перенаправление трафика всех доменов на  сервер — для защиты пользователей OpenDNS.

C&C-серверы Flame

Если подсчитаем все IP-адреса, использованные в доменах Flame за последние 4 года, исключив адреса известных хостинг-сервисов, временно использованных для первичной регистрации, то получим 22 различных IP-адреса серверов Flame.

С момента обнаружения Flame «Лаборатория Касперского» исследовала 5 подобных серверов. Все они имели открытые 22, 443 и 8080 порты. Если доверять информации из заголовков ответов Apache и SSH, все они работали под управлением Ubutnu Linux,. Один из них имел открытый 80-й порт, но он был выключен сразу же после публичного сообщения об обнаружении Flame.

SSL сертификаты, использованные на серверах Flame, являются «самоподписанными», сертификат последнего активного домена (в Голландии) якобы создан 18 мая 2012 года.

Интересная деталь — в субботу 2 июня 2012, в 20-40 GMT, несколько известных C&C доменов, которые ранее указывали на сервер в Голландии (91.203.214.*) были перенаправлены на новый сервер в Германии (78.46.253.*). Этот новый сервер был отключен в воскресенье 3 июня.

Статистика KSN

Kaspersky Security Network (KSN) — это облачная инфраструктура, используемая продуктами «Лаборатории Касперского» для передачи статистической информации и доставки мгновенных средств защиты, таких как различные виды «черных списков» и эвристических правил для обнаружения новейших угроз.

«Лаборатория Касперского» использовала KSN для обнаружения Flame, исходя из того факта, что имена файлов, использованные во Flame, являются уникальными. Позже они заполучили сам образец кода червя и смогли отследить его распространенность по миру.

Текущая статистика Flame из KSN:

Очевидно, что наибольшее число жертв Flame находится на Ближнем Востоке. Важно отметить, что некоторые из жертв могут использовать различные VPN/proxy сервисы. В таких случаях зараженные системы могут иметь, например, европейские IP-адреса, хотя физически находятся в азиатском регионе. Также некоторые «пострадавшие» на самом деле могут быть машинами других исследователей. Однако в целом статистика выглядит достаточно точной и отражает географическое распределение заражений.

Вот так выглядит география распространения Flame:

Что насчет операционных систем, пораженных Flame? Вот так выглядит статистика, полученная на основе данных об ОС тех систем, где были обнаружены заражения:

Наибольшее число заражений отмечено на системах с Windows 7 32-бит. На втором месте — Windows XP. Важно отметить, что Flame не работает на Windows 7 64-бит, которую «Лаборатория Касперского» ранее рекомендовала как хорошее решение для защиты от других видов угроз.

Статистика с нашего sinkhole и от OpenDNS

Партнер в этом исследовании, компания OpenDNS, собрала воедино информацию о датах регистрации доменов Flame за последние годы. Вы можете увидеть эти анимированные данные здесь: https://www.opendns.com/flame-timeline/

За последнюю неделю сервер «Лаборатория Касперского» зарегистрировал множество обращений от зараженных пользователей — ниже вы можете увидеть статистику по их местоположению. Необходимо учитывать, что подавляющее большинство заразившихся машин уже вылечены при помощи антивирусных программ. Таким образом, видим коннекты тех жертв, которые, видимо, не пользуются антивирусами или давно их не обновляли.

Также «Лаборатория Касперского» заметила подключения из Великобритании, Испании, России и Румынии, которые принадлежат различным экспертам, как независимым, так и из секьюрити-компаний.

Ниже — статистика по 10 наиболее часто используемым доменам, к которым происходило обращение на sinkhole-сервер «Лаборатории Касперского»:

В настоящее время 28 доменов, связанных с Flame, перенаправлены на синкхол-сервер, принадлежащий «Лаборатории Касперского»: flashupdates.info, nvidiadrivers.info, nvidiasoft.info, nvidiastream.info, rendercodec.info, syncstream.info, videosync.info, dnslocation.info, dnsmask.info, dnsportal.info, dnsupdate.info, flushdns.info, localgateway.info, pingserver.info, serveflash.info, serverss.info, autosync.info, bannerspot.in, bannerzone.in, micromedia.in, mysync.info, newsync.info, syncdomain.info, synclock.info, syncprovider.info, syncsource.info, syncupdate.info и ultrasoft.in.

Данные, передаваемые Flame

Когда Flame подключается к синкхолу, он передает POST запрос для идентификации себя. После этого отправляется большой пакет данных, которые содержат много «интересной» информации, например, о версии Flame, его конфигурации, историю активности в зараженной системе, данные, извлеченные из документов, и так далее.

Во всех конфигурациях, которые они наблюдали, использовался один и тот же пароль “LifeStyle2”. Этот пароль хранится в конфигурационном файле Flame и может быть изменен.

Пакет данных, загружаемый на сервер, содержит зашифрованные лог-файлы и другую сжатую информацию. Если расшифровать эти данные, то можно найти информацию о версии Flame, которая передается на сервер.

Распределение Flame по версиям, подключавшимся к серверу «Лаборатории Касперского», выглядит следующим образом:

Большинство подключений осуществлялось версией 2.242, которая является той самой, которую «Лаборатория Касперского» изначально обнаружила и анализировала. Это подтверждает то, что она является самым распространенным вариантом Flame. Но она не самая актуальная: найдено одно подключение от пользователя, зараженного версией 2.243!

Версия 2.080 также очень интересна — это маленький вариант “mssecmgr.ocx” (~890кб), который не содержит в себе всех модулей, имеющихся в большом 6-ти мегабайтном варианте. Также имеется образец данного варианта, и «Лаборатория Касперского» анализировала его одновременно с большим образцом.

Среди компьютеров, подключавшихся к синкхолу, есть несколько очень интересных случаев: три PC — в Ливане, Ираке и Иране. В ходе синкхол-операции версии Flame на этих машинах изменились — вероятно, червь обновил себя за это время. Например, вариант 2.212 изменился на 2.242 в двух из этих случаев. Это свидетельствует о существовании пока неизвестного C&C, который также функционировал во время синкхола. Или о неизвестном механизме обновления Flame.

Среди всех данных, извлекаемых из систем, атакующие явно испытывают повышенный интерес к чертежам в AutoCAD. Это интересная деталь, поскольку известно, что AutoCAD проекты также были целями троянца Duqu.

В дополнении к DWG-файлам, которые являются проектами AutoCAD, Flame целенаправленно ищет PDF и текстовые файлы, а также другие документы и создает краткие справочники о найденных файлах. Он также охотится за электронной почтой и многими другими видами различных «интересных» (высокоценных) файлов, которые указаны в конфигурации червя.

Данные, отправляемые на сервер управления, зашифрованы с использованием простого XOR-шифрования в сочетании с шифром замены. В дополнение к этому многие блоки внутри сжаты при помощи Zlib и PPDM библиотек.

Интересно, что данные, передаваемые на сервер, разбиты на пакеты по 8192 байт. Это возможно сделано для восстановления после ошибок — известно, что интернет на Ближнем Востоке очень медленный и не очень стабильный.

Другой интересной особенностью Flame является использование SSH соединений при передаче данных. Судя по всему (несмотря на то, что «Лаборатория Касперского» не смогла воспроизвести такое поведение), когда интернет работает, но серверы Flame недоступны через SSL, он пытается использовать SSH.

SSH соединение устанавливается при помощи встроенной в червя Putty-based библиотеки. На данный момент IP-адрес сервера и username/password неизвестны. Возможно, что они обновляются через C&C и поступают только тогда, когда имеются временные проблемы с SSL. Одной из причин использования SSH может быть распространенная ситуация с баном SSL/HTTPS трафика в некоторых странах, таких как, например, Иран.

В прошедшую неделю «Лаборатория Касперского» установила контакты с CERT-ами нескольких стран для информирования их о доменах Flame и IP-адресах вредоносных серверов.

 

Выводы:

  • Инфраструктура серверов управления Flame, которая функционировала годами, была отключена на прошлой неделе сразу же после публичного сообщения об обнаружении Flame.
  • «Лаборатория Касперского» установили более 80 различных доменных имен, которые принадлежат к этой инфраструктуре.
  • Домены для серверов управления были зарегистрированы на впечатляющий список поддельных лиц через несколько различных регистраторов. Регистрация проводилась с 2008 года.
  • Атакующие испытывают повышенный интерес к документам MS Office, PDF и к AutoCAD файлам.
  • Данные, передаваемые на сервер, зашифрованы с использованием относительно простых алгоритмов. Украденные документы сжаты с использованием публичных и открытых библиотек Zlib и PPDM.
  • Flame использует SSH-соединения (в дополнение к SSL) для передачи данных. SSH функционирует на полностью интегрированной Putty-based библиотеке.
  • Windows 7 64 bit, которую ранее рекомендовали как хорошее решения для защиты от других видов угроз, выглядит эффективным решением и для защиты от Flame.
Нурбек daemons
5 июня 2012, 23:24
1012

Загрузка...
Loading...

Комментарии

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Казком берет комиссии за оплаты по карте. Почему на это закрывают глаза Visa и MasterCard?!

Казком берет комиссии за оплаты по карте. Почему на это закрывают глаза Visa и MasterCard?!

Покупаешь в супермаркете продукты на 5000 тенге и банк забирает себе еще 30-50 тенге. То есть, продукты обошлись уже не в 5000, а в 5050 тенге.
ValentinaVladimirska
25 мая 2017 / 22:56
  • 12962
  • 24
Узаконенное варварство в стране, принимающей «EPXO». Еще далеко нам до «топ-30 развитых стран»

Узаконенное варварство в стране, принимающей «EPXO». Еще далеко нам до «топ-30 развитых стран»

В продвинутых государствах едва ли поймут, почему в столь развитом, успешном и преуспевающем Казахстане от имени и по заданию властей творятся такие зверства над животными.
openqazaqstan
24 мая 2017 / 12:12
  • 10681
  • 102
Вырубка деревьев в Алматы под БРТ. Проект уже нанес городу экологический ущерб

Вырубка деревьев в Алматы под БРТ. Проект уже нанес городу экологический ущерб

Как ранее уже сообщалось из-за строительства БРТ в Алматы пострадают значительное количество деревьев. На прошлой неделе вырублены первые вязы и клён, - под расширение проезжей части на улице...
SKYFALL
24 мая 2017 / 17:20
  • 9734
  • 14
Поддержим пенсией жиреющие банки! На что казахстанцам разрешат досрочно тратить свои накопления в ЕНПФ

Поддержим пенсией жиреющие банки! На что казахстанцам разрешат досрочно тратить свои накопления в ЕНПФ

Со стороны ЕНПФ в очередной раз прозвучало крайне неоднозначное заявление, от которого, на наш взгляд, лучше было бы воздержаться.
openqazaqstan
23 мая 2017 / 11:08
  • 9787
  • 32
Системная коррупция стала главной угрозой для Казахстана. У нас воруют миллиардами

Системная коррупция стала главной угрозой для Казахстана. У нас воруют миллиардами

Коррупционные отношения вышли на такой уровень, что они уже начинают дискредитировать всю систему управления.
openqazaqstan
26 мая 2017 / 13:45
  • 8186
  • 34
Что бы ни сделал пешеход – все равно водитель сядет

Что бы ни сделал пешеход – все равно водитель сядет

Вопрос о равной ответственности водителя и пешехода при наезде на последних, только-только начинают обдумывать в высоких кабинетах. Но, пока государственные головы думают, водители продолжают...
Mirogloff
22 мая 2017 / 23:29
  • 5076
  • 32
Пока полицейские будут прощать, им будут бить и по чести, и по лицу

Пока полицейские будут прощать, им будут бить и по чести, и по лицу

Судья Алмалинского районного суда Куаныш Арипов ломает стереотипы отношения граждан к представителям Фемиды. Напавшему на полицейского экс-сотруднику алматинского акимата он назначил наказание выше...
Mirogloff
24 мая 2017 / 16:41
  • 3909
  • 9
Да-да, я знаю, пора выходить замуж. Есть ли у меня еще время и, пожалуйста, уточните сколько?

Да-да, я знаю, пора выходить замуж. Есть ли у меня еще время и, пожалуйста, уточните сколько?

Итак давайте сразу начистоту. Мне 29. Не замужем, никогда не была, детей нет. В душе я совсем не чувствую этот возраст. Каждый раз когда задумываюсь об этом больше чем на 3 минуты, меня накрывает...
user2017
23 мая 2017 / 10:57
Аблязов загробным голосом декларирует «ДВК-2». Монолог обиженного человека

Аблязов загробным голосом декларирует «ДВК-2». Монолог обиженного человека

Последний монолог Аблязова о «продолжении борьбы с режимом» и «ДВК-2», при всём желании, не выглядел как какой-то политический манифест.
openqazaqstan
25 мая 2017 / 13:53
  • 3169
  • 62