復(fù)雜的火焰惡意軟件假裝自己的死亡

一個令人難以置信的復(fù)雜惡意軟件，被研究人員廣泛理解為被其運營商殺死，實際上使它們脫離了它的氣味并且保持活躍了好幾年。當(dāng)安全研究人員在2012年發(fā)現(xiàn)'Flame'時，他們將其描述為非常復(fù)雜，并聲稱盡管自2010年以來一直活躍，但它已經(jīng)避免了安全軟件的檢測。這種“網(wǎng)絡(luò)”工具能夠竊取目標(biāo)系統(tǒng)，本地文件，聯(lián)系人數(shù)據(jù)和音頻對話。

火焰背后的團(tuán)隊在被發(fā)現(xiàn)后不久就發(fā)起了一個“自殺”模塊，更廣泛的研究團(tuán)體認(rèn)為這代表了火焰的終結(jié)。這有效地清理了主動感染并燒毀了安全研究人員沒有抓住的攻擊者的命令和控制(C&C)基礎(chǔ)設(shè)施。

但是，Chronicle Research的專家通過分析樣本的子集，遇到了被稱為Flame 2.0的惡意軟件菌株的第二次迭代的痕跡。這些日期在2014年2月至3月期間，導(dǎo)致他們得出結(jié)論，火焰實際上“假裝自己的死亡”。

研究人員表示，“觀察這些樣本可以讓我們發(fā)現(xiàn)一個新的Flame平臺迭代，可能會在2014 - 2016年的時間框架中使用。”“雖然惡意軟件顯然是基于Flame源代碼構(gòu)建的，但它包含了針對研究人員干預(yù)的新措施。

“我們希望在早期階段宣布這些發(fā)現(xiàn)將鼓勵威脅情報領(lǐng)域的協(xié)作環(huán)境，讓人聯(lián)想起Stuxnet，Duqu，F(xiàn)lame和Gauss的早期發(fā)現(xiàn)。”

研究人員團(tuán)隊通過獲取最近未廣泛使用或可用的工具，成功實現(xiàn)了這一發(fā)現(xiàn)。

YARA方法，例如，用于創(chuàng)建惡意軟件系列描述的工具，已于2007年開發(fā)，但最近才被廣泛采用。同樣，研究人員表示，VirusTotal開發(fā)的追溯功能在2012年尚未推出。

惡意軟件通過從受感染的計算機(jī)竊取數(shù)據(jù)來運行，然后將其傳遞到遍布全球的C&C服務(wù)器網(wǎng)絡(luò)。它包含多個模塊，每個模塊由幾兆字節(jié)的可執(zhí)行代碼組成。

由于難以解碼嵌入式模塊，研究人員無法確定Flame 2.0的大部分功能。但他們認(rèn)為進(jìn)一步分析可能會帶來更積極的結(jié)果。

“雖然研究界認(rèn)為Flame已經(jīng)退休并且不再追蹤這個不祥的威脅演員，但Fire 2.0樣本最早出現(xiàn)在2016年10月的VirusTotal中，并且可能在此前一兩年內(nèi)在私人AV收藏中出現(xiàn)，”他們繼續(xù)道。

“鑒于Flame被證明是有史以來發(fā)現(xiàn)的最大膽的威脅之一(利用創(chuàng)新的MD5哈希沖突攻擊來顛覆Windows Update機(jī)制以在整個企業(yè)中傳播感染)，這不是對手我們在我們的職權(quán)范圍內(nèi)應(yīng)該輕視捍衛(wèi)互聯(lián)網(wǎng)生態(tài)系統(tǒng)。“

火焰的復(fù)活與另一個臭名昭著的毒株Stuxnet的回歸有著驚人的相似之處，Stuxnet去年在一次更為激烈的迭代中再次浮出水面。“紀(jì)事報”的研究人員稱，這構(gòu)成了GOSSIPGIRL超級威脅行動者監(jiān)督的總體惡意軟件生態(tài)圈的一部分。