您的位置: 首頁 >互聯(lián)網(wǎng) >

復雜的火焰惡意軟件假裝自己的死亡

2022-07-24 07:51:20 編輯:聞韋民 來源:
導讀 一個令人難以置信的復雜惡意軟件,被研究人員廣泛理解為被其運營商殺死,實際上使它們脫離了它的氣味并且保持活躍了好幾年。當安全研究人員...

一個令人難以置信的復雜惡意軟件,被研究人員廣泛理解為被其運營商殺死,實際上使它們脫離了它的氣味并且保持活躍了好幾年。當安全研究人員在2012年發(fā)現(xiàn)'Flame'時,他們將其描述為非常復雜,并聲稱盡管自2010年以來一直活躍,但它已經(jīng)避免了安全軟件的檢測。這種“網(wǎng)絡”工具能夠竊取目標系統(tǒng),本地文件,聯(lián)系人數(shù)據(jù)和音頻對話。

火焰背后的團隊在被發(fā)現(xiàn)后不久就發(fā)起了一個“自殺”模塊,更廣泛的研究團體認為這代表了火焰的終結。這有效地清理了主動感染并燒毀了安全研究人員沒有抓住的攻擊者的命令和控制(C&C)基礎設施。

但是,Chronicle Research的專家通過分析樣本的子集,遇到了被稱為Flame 2.0的惡意軟件菌株的第二次迭代的痕跡。這些日期在2014年2月至3月期間,導致他們得出結論,火焰實際上“假裝自己的死亡”。

研究人員表示,“觀察這些樣本可以讓我們發(fā)現(xiàn)一個新的Flame平臺迭代,可能會在2014 - 2016年的時間框架中使用。”“雖然惡意軟件顯然是基于Flame源代碼構建的,但它包含了針對研究人員干預的新措施。

“我們希望在早期階段宣布這些發(fā)現(xiàn)將鼓勵威脅情報領域的協(xié)作環(huán)境,讓人聯(lián)想起Stuxnet,Duqu,F(xiàn)lame和Gauss的早期發(fā)現(xiàn)。”

研究人員團隊通過獲取最近未廣泛使用或可用的工具,成功實現(xiàn)了這一發(fā)現(xiàn)。

YARA方法,例如,用于創(chuàng)建惡意軟件系列描述的工具,已于2007年開發(fā),但最近才被廣泛采用。同樣,研究人員表示,VirusTotal開發(fā)的追溯功能在2012年尚未推出。

惡意軟件通過從受感染的計算機竊取數(shù)據(jù)來運行,然后將其傳遞到遍布全球的C&C服務器網(wǎng)絡。它包含多個模塊,每個模塊由幾兆字節(jié)的可執(zhí)行代碼組成。

由于難以解碼嵌入式模塊,研究人員無法確定Flame 2.0的大部分功能。但他們認為進一步分析可能會帶來更積極的結果。

“雖然研究界認為Flame已經(jīng)退休并且不再追蹤這個不祥的威脅演員,但Fire 2.0樣本最早出現(xiàn)在2016年10月的VirusTotal中,并且可能在此前一兩年內(nèi)在私人AV收藏中出現(xiàn),”他們繼續(xù)道。

“鑒于Flame被證明是有史以來發(fā)現(xiàn)的最大膽的威脅之一(利用創(chuàng)新的MD5哈希沖突攻擊來顛覆Windows Update機制以在整個企業(yè)中傳播感染),這不是對手我們在我們的職權范圍內(nèi)應該輕視捍衛(wèi)互聯(lián)網(wǎng)生態(tài)系統(tǒng)。“

火焰的復活與另一個臭名昭著的毒株Stuxnet的回歸有著驚人的相似之處,Stuxnet去年在一次更為激烈的迭代中再次浮出水面。“紀事報”的研究人員稱,這構成了GOSSIPGIRL超級威脅行動者監(jiān)督的總體惡意軟件生態(tài)圈的一部分。


免責聲明:本文由用戶上傳,如有侵權請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網(wǎng) 版權歸原作者所有。