卡巴斯基發現惡意程序miniFlame 近日,卡巴斯基實驗室宣布發現miniFlame,一款小巧但是非常靈活的惡意程序。該惡意程序主要用于發起針對性網絡間諜攻擊,伺機竊取受感染系統上的數據并控制受感染計算機。
MiniFlame,又被稱為SPE,zui早于2012年7月由卡巴斯基實驗室專家發現。zui初,該惡意程序被認為是Flame惡意軟件的一個組件。但是,2012年9月,卡巴斯基實驗室的研究團隊對Flame的命令和控制服務器(C&C)進行了一次深度分析,從而發現miniFlame模塊其實是一個協作工具,可以作為一個獨立的惡意程序使用,或者同時能夠充當Flame和Gauss惡意軟件的插件。
卡巴斯基發現惡意程序miniFlame更多針對miniFlame的分析顯示,該惡意程序有多個版本,創建時間為2010至2011年間,其中有些變種目前仍然處于活躍狀態。分析還揭示出新的證據進一步表明Flame和Gauss編寫者之間曾有合作,因為這兩款惡意程序都可以使用miniFlame做為“插件”,執行攻擊行為。且由于Flame和Stuxnet/Duqu之間的關系早已被揭開,所以可以得出結論,上述這些威脅,應該全部來自同一個“網絡戰爭”工廠。miniFlame(SPE),基于同Flame一樣的架構平臺。它既能夠做為一個網絡間諜程序獨立執行相關功能,也可以被用做Flame和Gauss的組件執行惡意功能。 這款網絡間諜工具以后門的形式運行,竊取受感染系統上的數據,同時也能夠直接訪問受感染系統。
miniFlame的開發可能zui早可以追溯到2007年,并持續到2011年底。根據推測,其變種應該有很多種。截止到目前,卡巴斯基實驗室共發現這款惡意程序的六種變種,隸屬于這款惡意程序的兩代產品,分別為4.x和5.x版本。
與Flame及Gauss制作的大量計算機感染情況不同,, miniFlame造成的感染數量小得多。根據卡巴斯基實驗室的數據,該惡意程序的感染數量為10至20臺計算機,的范圍內的感染數量估計為50—60臺。
考量miniFlame的感染數量,以及其信息竊取功能和靈活的設計,可以判斷這款惡意程序主要用來進行針對性非常強的網絡間諜攻擊。而且,其很可能會被部署到那些已經被Flame或Gauss感染的計算機中。
MiniFlame是安全研究人員在對Flame和Gauss惡意軟件進行深度分析過程中發現的。2012年7月,卡巴斯基實驗室的安全專家發現Gauss惡意軟件的一個附加模塊,開發代號為“John”,并發現該模塊與Flame配置文件中的模塊有所關聯。之后在2012年9月,安全人員又對Flame的命令和控制服務器進行了分析,從而發現發現的模塊其實是一款獨立的惡意程序,盡管其可以被用來充當Gauss和Flame的“插件”。miniFlame的開發代號為SPE,這可以通過Flamezui初的C&C服務器代碼得到驗證。
目前,針對miniFlamezui初的感染手段還不十分清晰。由于已經確認miniFlame、Flame和Gauss之間的,所以miniFlame很可能會被安裝到那些已經被Flame或Gauss感染的計算機上。一旦安裝,miniFlame就會以后門的形式運行,使得攻擊者可以從受感染計算機上獲取任何文件。miniFlame的信息竊取功能包括截取受感染計算機屏幕,可以在計算機運行特定程序或應用(如瀏覽器、微軟Office、Adobe Reader、即時通訊服務或FTP客戶端)時進行。miniFlame還會連接自己的命令和控制服務器(其C&C可能是獨立的,也可能同Flame進行分享),將竊取到的數據上傳。此外,miniFlame的命令和控制服務器操作者可以通過發送請求,將另外一個數據竊取模塊發送到受感染系統。該模塊可以感染USB存儲設備,利用它們存儲那些從未連接互聯網的計算機上盜取到的數據。
卡巴斯基發現惡意程序miniFlame卡巴斯基實驗室的安全專家Alexander Gostev評論說:“miniFlame是一款高度的攻擊工具,其很可能被用做一種針對性的網絡武器,在目前被定義為第二波網絡攻擊行動中使用。首先,Flame或Gauss會被用來感染盡量多的計算機,zui大程度地收集各種數據和信息。數據被收集和整理后,攻擊者會選定特定攻擊目標,將miniFlame安裝到受攻擊計算機上,從而實現深度監控,實施網絡間諜行為。miniFlame的發現,還為我們提供了關于這些網絡戰爭武器編寫者之間進行過合作的額外證據,同時證明Stuxnet、Duqu、Flame和Gauss這些網絡戰爭武器之間是有關聯的。”
