Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Novija izmjena 		Starija izmjena
racfor_wiki:flame_virus [2021/01/17 12:20]
mperleta stvoreno 		racfor_wiki:flame_virus [2024/12/05 12:24] (trenutno)
Redak 23: Redak 23:
 Računalni stručnjaci smatraju da je Flame uzrok napada u travnju 2012. zbog kojeg su iranski dužnosnici isključili svoje naftne terminale s Interneta[4]. U to je vrijeme iranska studentska novinarska agencija zlonamjerni program koji je izazvao napad nazivala "Wiper" (hrv. brisač), imenom koje mu je dao tvorac zlonamjernog programa. Međutim, Kaspersky Lab vjeruje da je Flame možda "zasebna infekcija" od zlonamjernog programa Wiper[1]. Zbog veličine i složenosti programa - opisanog kao "dvadeset puta" složenijeg od Stuxneta - Laboratorij je izjavio da bi potpuna analiza mogla trajati i deset godina. Računalni stručnjaci smatraju da je Flame uzrok napada u travnju 2012. zbog kojeg su iranski dužnosnici isključili svoje naftne terminale s Interneta[4]. U to je vrijeme iranska studentska novinarska agencija zlonamjerni program koji je izazvao napad nazivala "Wiper" (hrv. brisač), imenom koje mu je dao tvorac zlonamjernog programa. Međutim, Kaspersky Lab vjeruje da je Flame možda "zasebna infekcija" od zlonamjernog programa Wiper[1]. Zbog veličine i složenosti programa - opisanog kao "dvadeset puta" složenijeg od Stuxneta - Laboratorij je izjavio da bi potpuna analiza mogla trajati i deset godina.
  
-Prema procjenama Kasperskyja u svibnju 2012., u početku je Flame zarazio približno 1.000 računala, a među žrtvama su bile vladine organizacije, obrazovne institucije i privatne osobe. Tada su najviše pogođene zemlje Iran, Izrael, Palestina, Sudan, Sirija, Libanon, Saudijska Arabija i Egipat[1]. Geografski prikaz zemalja je vidljiv na Slici 1. kao i inicijalni broj zaraženih računala.+Prema procjenama Kasperskyja u svibnju 2012., u početku je Flame zarazio približno 1.000 računala, a među žrtvama su bile vladine organizacije, obrazovne institucije i privatne osobe. Tada su najviše pogođene zemlje Iran, Izrael, Palestina, Sudan, Sirija, Libanon, Saudijska Arabija i Egipat[1]. Geografski prikaz zemalja je vidljiv na slici ispod kao i inicijalni broj zaraženih računala. 
 + 
 +{{ :racfor_wiki:zemlje.jpg?nolink&700 |Geografski prikaz zaraženih zemalja i broj zaraženih računala }} 
 + 
  
 ===== Otkrivenje Flamea ===== ===== Otkrivenje Flamea =====
Redak 41: Redak 45:
 Flameovi moduli zajedno zauzimaju više od 20MB memorije što je neuobičajeno za zloćudne programe koji su inače dosta manje veličine. No, to je i jedan od razloga zašto nije otkriven odmah. Općenito, današnji je zlonamjerni program mal i usmjeren. Lakše je sakriti malu datoteku nego veći modul. Uz to, na nepouzdanim mrežama preuzimanje 100KB ima puno veću vjerojatnost uspjeha od preuzimanja 20MB[2].  Flameovi moduli zajedno zauzimaju više od 20MB memorije što je neuobičajeno za zloćudne programe koji su inače dosta manje veličine. No, to je i jedan od razloga zašto nije otkriven odmah. Općenito, današnji je zlonamjerni program mal i usmjeren. Lakše je sakriti malu datoteku nego veći modul. Uz to, na nepouzdanim mrežama preuzimanje 100KB ima puno veću vjerojatnost uspjeha od preuzimanja 20MB[2]. 
  
-Napisan je djelomično u Lua skriptnom jeziku s povezanim C++ kodom za kompiliranje što omogućuje ostalim modulima da se učitaju nakon inicijalne zaraženosti računala. Primjer Lua koda na Slici 2.+Napisan je djelomično u Lua skriptnom jeziku s povezanim C++ kodom za kompiliranje što omogućuje ostalim modulima da se učitaju nakon inicijalne zaraženosti računala. Primjer Lua koda na slici. 
 + 
 +{{ :racfor_wiki:primjerkoda.png?nolink&600 |Primjer Flame koda}}
  
 Nadalje, program koristi pet različitih metoda šifriranja i SQLite bazu podataka u koju sprema strukturirane podatke. Memorijske stranice su zaštićene READ, WRITE i EXECUTE dozvolama kako se ne bi mogle pristupiti preko user-mode-a u  aplikacijama[4]. Nadalje, program koristi pet različitih metoda šifriranja i SQLite bazu podataka u koju sprema strukturirane podatke. Memorijske stranice su zaštićene READ, WRITE i EXECUTE dozvolama kako se ne bi mogle pristupiti preko user-mode-a u  aplikacijama[4].
Redak 58: Redak 64:
  
 Po istraženome,  ima dva modula dizajnirana za zarazu USB uređaja, nazvana "Autorun Infector" i "Euphoria"[1]: Po istraženome,  ima dva modula dizajnirana za zarazu USB uređaja, nazvana "Autorun Infector" i "Euphoria"[1]:
-1. „Autorun Infector“: metoda „Autorun.inf“ iz ranog Stuxneta, koristeći „trik“ „shell32.dll“. Ono što je ovdje ključno jest da se ova  metoda, osim kod Flamea, koristila samo u Stuxnetu i od tada nije pronađena ni u jednom drugom zlonamjernom programu. + 
-2. Euforija: širenje medijima pomoću direktorija “junction point” koji sadrži module malware-a i LNK datoteku koja pokreće zarazu kada se otvori ovaj direktorij. Uzorci virusa koji su dobavljeni sadržavali su imena datoteka, ali nisu sadržavali sam LNK.+  - „Autorun Infector“: metoda „Autorun.inf“ iz ranog Stuxneta, koristeći „trik“ „shell32.dll“. Ono što je ovdje ključno jest da se ova  metoda, osim kod Flamea, koristila samo u Stuxnetu i od tada nije pronađena ni u jednom drugom zlonamjernom programu. 
 +  - Euforija: širenje medijima pomoću direktorija “junction point” koji sadrži module malware-a i LNK datoteku koja pokreće zarazu kada se otvori ovaj direktorij. Uzorci virusa koji su dobavljeni sadržavali su imena datoteka, ali nisu sadržavali sam LNK. 
 Uz ove, Flame ima sposobnost širenja putem lokalnih mreža. To čini koristeći sljedeće: Uz ove, Flame ima sposobnost širenja putem lokalnih mreža. To čini koristeći sljedeće:
-1. Ranjivost pisača MS10-061 koju je Stuxnet iskoristio - koristeći posebnu MOF (engl., Managed Object Format)datoteku izvršenu na napadnutom sustavu pomoću WMI-a (engl. Windows Management Instrumentation). + 
-2. Udaljeni poslovi. +  - Ranjivost pisača MS10-061 koju je Stuxnet iskoristio - koristeći posebnu MOF (engl., Managed Object Format)datoteku izvršenu na napadnutom sustavu pomoću WMI-a (engl. Windows Management Instrumentation). 
-3. Kada Flame izvrši korisnik koji ima administrativna prava na kontrolnoj domeni, on je također u mogućnosti napadati druge uređaje u mreži: on stvara backdoor korisničke račune s unaprijed definiranom lozinkom koja se zatim koristi za kopiranje tih istih računa na te uređaje.+  - Udaljeni poslovi. 
 +  - Kada Flame izvrši korisnik koji ima administrativna prava na kontrolnoj domeni, on je također u mogućnosti napadati druge uređaje u mreži: on stvara backdoor korisničke račune s unaprijed definiranom lozinkom koja se zatim koristi za kopiranje tih istih računa na te uređaje.
  
 Čini se da se replicira po naredbi napadača, poput Duqu-a, a također se kontrolira bot konfiguracijskom datotekom. Većina rutina infekcije ima brojače izvršenih napada i ograničena je na određeni broj dopuštenih napada. Na Slici 3. su prikazani načini širenja virusa. Čini se da se replicira po naredbi napadača, poput Duqu-a, a također se kontrolira bot konfiguracijskom datotekom. Većina rutina infekcije ima brojače izvršenih napada i ograničena je na određeni broj dopuštenih napada. Na Slici 3. su prikazani načini širenja virusa.
 +
 +{{ :racfor_wiki:sirenjevirusa.png?nolink&650 | Načini širenja zloćudnog programa}}
  
 Jedna od zanimljivih funkcionalnosti Flame-a je njegova mogućnost snimanja zaslona (engl. screenshots). Štoviše, snimke zaslona se uzimaju kada se pokrenu određene „zanimljive“ aplikacije kao npr. aplikacije brzog slanja poruka (engl. Instant Messaging Apps). Snimke zaslona pohranjuju se u komprimiranom formatu i redovito se šalju C&C poslužitelju, baš kao i audio snimke. Jedna od zanimljivih funkcionalnosti Flame-a je njegova mogućnost snimanja zaslona (engl. screenshots). Štoviše, snimke zaslona se uzimaju kada se pokrenu određene „zanimljive“ aplikacije kao npr. aplikacije brzog slanja poruka (engl. Instant Messaging Apps). Snimke zaslona pohranjuju se u komprimiranom formatu i redovito se šalju C&C poslužitelju, baš kao i audio snimke.
Redak 79: Redak 90:
 ===== Literatura ===== ===== Literatura =====
  
 +[1] [[https://www.webcitation.org/68347vKEs?url=https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers|Gostev, Alexander.  "The Flame: Questions and Answers", 2012.]]
 +
 +[2] [[https://www.wired.com/2012/05/flame/|Zetter, Kim.  "Meet 'Flame,' The Massive Spy Malware Infiltrating Iranian Computers", 2012.]]
 +
 +[3] [[https://www.academia.edu/42674521/Flame_2_0_Risen_from_the_Ashes|Guerrero-Saade, Juan Andres; Cutler, Silas. "Flame 2.0: Risen from the Ashes", 2019.]]
 +
 +[4] [[https://en.wikipedia.org/wiki/Flame_(malware)|https://en.wikipedia.org/wiki/Flame_(malware)]]
  
racfor_wiki/flame_virus.1610886052.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0