Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:flame_virus [2021/01/17 12:23]
mperleta [Širenje programa] 		racfor_wiki:flame_virus [2024/12/05 12:24] (trenutno)
Redak 23: Redak 23:
 Računalni stručnjaci smatraju da je Flame uzrok napada u travnju 2012. zbog kojeg su iranski dužnosnici isključili svoje naftne terminale s Interneta[4]. U to je vrijeme iranska studentska novinarska agencija zlonamjerni program koji je izazvao napad nazivala "Wiper" (hrv. brisač), imenom koje mu je dao tvorac zlonamjernog programa. Međutim, Kaspersky Lab vjeruje da je Flame možda "zasebna infekcija" od zlonamjernog programa Wiper[1]. Zbog veličine i složenosti programa - opisanog kao "dvadeset puta" složenijeg od Stuxneta - Laboratorij je izjavio da bi potpuna analiza mogla trajati i deset godina. Računalni stručnjaci smatraju da je Flame uzrok napada u travnju 2012. zbog kojeg su iranski dužnosnici isključili svoje naftne terminale s Interneta[4]. U to je vrijeme iranska studentska novinarska agencija zlonamjerni program koji je izazvao napad nazivala "Wiper" (hrv. brisač), imenom koje mu je dao tvorac zlonamjernog programa. Međutim, Kaspersky Lab vjeruje da je Flame možda "zasebna infekcija" od zlonamjernog programa Wiper[1]. Zbog veličine i složenosti programa - opisanog kao "dvadeset puta" složenijeg od Stuxneta - Laboratorij je izjavio da bi potpuna analiza mogla trajati i deset godina.
  
-Prema procjenama Kasperskyja u svibnju 2012., u početku je Flame zarazio približno 1.000 računala, a među žrtvama su bile vladine organizacije, obrazovne institucije i privatne osobe. Tada su najviše pogođene zemlje Iran, Izrael, Palestina, Sudan, Sirija, Libanon, Saudijska Arabija i Egipat[1]. Geografski prikaz zemalja je vidljiv na Slici 1. kao i inicijalni broj zaraženih računala.+Prema procjenama Kasperskyja u svibnju 2012., u početku je Flame zarazio približno 1.000 računala, a među žrtvama su bile vladine organizacije, obrazovne institucije i privatne osobe. Tada su najviše pogođene zemlje Iran, Izrael, Palestina, Sudan, Sirija, Libanon, Saudijska Arabija i Egipat[1]. Geografski prikaz zemalja je vidljiv na slici ispod kao i inicijalni broj zaraženih računala. 
 + 
 +{{ :racfor_wiki:zemlje.jpg?nolink&700 |Geografski prikaz zaraženih zemalja i broj zaraženih računala }} 
 + 
  
 ===== Otkrivenje Flamea ===== ===== Otkrivenje Flamea =====
Redak 41: Redak 45:
 Flameovi moduli zajedno zauzimaju više od 20MB memorije što je neuobičajeno za zloćudne programe koji su inače dosta manje veličine. No, to je i jedan od razloga zašto nije otkriven odmah. Općenito, današnji je zlonamjerni program mal i usmjeren. Lakše je sakriti malu datoteku nego veći modul. Uz to, na nepouzdanim mrežama preuzimanje 100KB ima puno veću vjerojatnost uspjeha od preuzimanja 20MB[2].  Flameovi moduli zajedno zauzimaju više od 20MB memorije što je neuobičajeno za zloćudne programe koji su inače dosta manje veličine. No, to je i jedan od razloga zašto nije otkriven odmah. Općenito, današnji je zlonamjerni program mal i usmjeren. Lakše je sakriti malu datoteku nego veći modul. Uz to, na nepouzdanim mrežama preuzimanje 100KB ima puno veću vjerojatnost uspjeha od preuzimanja 20MB[2]. 
  
-Napisan je djelomično u Lua skriptnom jeziku s povezanim C++ kodom za kompiliranje što omogućuje ostalim modulima da se učitaju nakon inicijalne zaraženosti računala. Primjer Lua koda na Slici 2.+Napisan je djelomično u Lua skriptnom jeziku s povezanim C++ kodom za kompiliranje što omogućuje ostalim modulima da se učitaju nakon inicijalne zaraženosti računala. Primjer Lua koda na slici. 
 + 
 +{{ :racfor_wiki:primjerkoda.png?nolink&600 |Primjer Flame koda}}
  
 Nadalje, program koristi pet različitih metoda šifriranja i SQLite bazu podataka u koju sprema strukturirane podatke. Memorijske stranice su zaštićene READ, WRITE i EXECUTE dozvolama kako se ne bi mogle pristupiti preko user-mode-a u  aplikacijama[4]. Nadalje, program koristi pet različitih metoda šifriranja i SQLite bazu podataka u koju sprema strukturirane podatke. Memorijske stranice su zaštićene READ, WRITE i EXECUTE dozvolama kako se ne bi mogle pristupiti preko user-mode-a u  aplikacijama[4].
Redak 69: Redak 75:
  
 Čini se da se replicira po naredbi napadača, poput Duqu-a, a također se kontrolira bot konfiguracijskom datotekom. Većina rutina infekcije ima brojače izvršenih napada i ograničena je na određeni broj dopuštenih napada. Na Slici 3. su prikazani načini širenja virusa. Čini se da se replicira po naredbi napadača, poput Duqu-a, a također se kontrolira bot konfiguracijskom datotekom. Većina rutina infekcije ima brojače izvršenih napada i ograničena je na određeni broj dopuštenih napada. Na Slici 3. su prikazani načini širenja virusa.
 +
 +{{ :racfor_wiki:sirenjevirusa.png?nolink&650 | Načini širenja zloćudnog programa}}
  
 Jedna od zanimljivih funkcionalnosti Flame-a je njegova mogućnost snimanja zaslona (engl. screenshots). Štoviše, snimke zaslona se uzimaju kada se pokrenu određene „zanimljive“ aplikacije kao npr. aplikacije brzog slanja poruka (engl. Instant Messaging Apps). Snimke zaslona pohranjuju se u komprimiranom formatu i redovito se šalju C&C poslužitelju, baš kao i audio snimke. Jedna od zanimljivih funkcionalnosti Flame-a je njegova mogućnost snimanja zaslona (engl. screenshots). Štoviše, snimke zaslona se uzimaju kada se pokrenu određene „zanimljive“ aplikacije kao npr. aplikacije brzog slanja poruka (engl. Instant Messaging Apps). Snimke zaslona pohranjuju se u komprimiranom formatu i redovito se šalju C&C poslužitelju, baš kao i audio snimke.
Redak 82: Redak 90:
 ===== Literatura ===== ===== Literatura =====
  
 +[1] [[https://www.webcitation.org/68347vKEs?url=https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers|Gostev, Alexander.  "The Flame: Questions and Answers", 2012.]]
 +
 +[2] [[https://www.wired.com/2012/05/flame/|Zetter, Kim.  "Meet 'Flame,' The Massive Spy Malware Infiltrating Iranian Computers", 2012.]]
 +
 +[3] [[https://www.academia.edu/42674521/Flame_2_0_Risen_from_the_Ashes|Guerrero-Saade, Juan Andres; Cutler, Silas. "Flame 2.0: Risen from the Ashes", 2019.]]
 +
 +[4] [[https://en.wikipedia.org/wiki/Flame_(malware)|https://en.wikipedia.org/wiki/Flame_(malware)]]
  
racfor_wiki/flame_virus.1610886228.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0