New Flame Malware Version Rises From the Veils of Obscurity
2012年にKaspersky Labの研究者がFlameマルウェアキットの手入れの行き届いたマスクを解体したとき、その背後にいる攻撃者は速やかに脅威の組み込みkillモジュールを引き起こし、80個以上の関連するコマンドアンドコントロールサーバーを一掃しました。ツールキットの時期尚早の終焉を効果的にマークします。またはそう思いました。 Alphabetのサイバーセキュリティ部門であるChronicle Securityに勤務するAVスペシャリストのために、2014年から2016年の間にアクティブになると思われる新しいFlameバージョンを発見しました 。
目次
新しいツールで古いマルウェアを検索する
Flame 2.0を見つけるために、Chronicleの研究者Juan-Andres Guerrero-SaadeとSilas Cutlerは、一方ではYARAマルウェア研究ツールを、もう一方ではVirusTotalのマルウェアリポジトリを利用しました。彼らはYARAのルールを考案し、VirusTotalに保存されている大量の悪質なコードをスキャンして、 元のFlameマルウェアのコードと似ている最近送信されたサンプルを検索するようにパラメータを設定しました。遡及的なクエリは、1つの一致、つまり2014年初頭に作成されたファイルのバッチを生み出したため、2016年にVirusTotalに提出されました。不思議なことに、データに潜在的に危険なフラグを立てたAVソリューションはありません。つまり、Flame 2.0は強化されたアンチ検出メカニズムを備えているか、またはそのオリジナルの対応物と同様に、未知のゼロデイ脆弱性、あるいはその両方を悪用しています。
Flame 2.0の機能はどうですか?
Flame 2.0の暗号化は前任者の暗号化に比べて数年前になるように思われるので、世界中のセキュリティコミュニティはコードをバラバラにするためにまだ力を合わせていません。したがって、新しいキットの全機能は誰にでも推測できます。ただし、最初のFlameマルウェアキットのマルチモジュール的な性質が解決できない場合は、次のようなさまざまな機能を見ることができます。
- ローカルネットワーク全体に侵入者に高度な権限を付与する管理者ログイン資格情報を取得するためのネットワークトラフィックスキャナー
- 収集されたデータをC&Cに移動するための輸送手段モジュール(Flame 1.0ではViper / Wiperとして知られていますが、その唯一の目的はデータを消去することです)と混同しないでください。
- 感染マシンのBluetooth機能を悪用して、近くの他のBluetoothデバイスから連絡先番号を盗むBluetoothスニファ。
- 詐欺師がスクリーンショットを撮って、ユーザーのインスタントメッセージや電子メールを収集することを可能にするスクリーンキャプチャモジュール。
- PCユーザーが言うすべての単語を録音するための(PCのマイクを介して)ボイスレコーダー。
Flame 1.0は上記のすべての機能を実行し、そのうちいくつかはマルウェア関係者の気まぐれで追加のプラグインの形でいつでもオンとオフを切り替えることができました。
Flame 2.0の地理的分布も、当面は確実性の範囲を超えています。中東や北アフリカの個人、企業、公共機関、政府機関をターゲットにすることで、元のツールキットのそれを反映するか、その道をたどることができます。.
現存しない脅威を復活させる遡及検索
Flame 2.0の発見に適用された遡及的アプローチは、さらに別のブレークスルーを達成したようです。実際のところ、Chronicleの研究者は古いStuxnetマルウェアを2002年に開発された悪意のある作品であるFlowershopにリンクさせました。将来の調査で、これまで共通点がないと考えられていたマルウェアファミリ間のリンクが見つかったとしても、それほど驚くことではありません。