复杂的火焰恶意软件假装自己的死亡
一个令人难以置信的复杂恶意软件,被研究人员广泛理解为被其运营商杀死,实际上使它们脱离了它的气味并且保持活跃了好几年。当安全研究人员在2012年发现'Flame'时,他们将其描述为非常复杂,并声称尽管自2010年以来一直活跃,但它已经避免了安全软件的检测。这种“网络间谍”工具能够窃取目标系统,本地文件,联系人数据和音频对话。
火焰背后的团队在被发现后不久就发起了一个“自杀”模块,更广泛的研究团体认为这代表了火焰的终结。这有效地清理了主动感染并烧毁了安全研究人员没有抓住的攻击者的命令和控制(C&C)基础设施。
但是,Chronicle Research的专家通过分析样本的子集,遇到了被称为Flame 2.0的恶意软件菌株的第二次迭代的痕迹。这些日期在2014年2月至3月期间,导致他们得出结论,火焰实际上“假装自己的死亡”。
研究人员表示,“观察这些样本可以让我们发现一个新的Flame平台迭代,可能会在2014 - 2016年的时间框架中使用。”“虽然恶意软件显然是基于Flame源代码构建的,但它包含了针对研究人员干预的新措施。
“我们希望在早期阶段宣布这些发现将鼓励威胁情报领域的协作环境,让人联想起Stuxnet,Duqu,Flame和Gauss的早期发现。”
研究人员团队通过获取最近未广泛使用或可用的工具,成功实现了这一发现。
YARA方法,例如,用于创建恶意软件系列描述的工具,已于2007年开发,但最近才被广泛采用。同样,研究人员表示,VirusTotal开发的追溯功能在2012年尚未推出。
恶意软件通过从受感染的计算机窃取数据来运行,然后将其传递到遍布全球的C&C服务器网络。它包含多个模块,每个模块由几兆字节的可执行代码组成。
由于难以解码嵌入式模块,研究人员无法确定Flame 2.0的大部分功能。但他们认为进一步分析可能会带来更积极的结果。
“虽然研究界认为Flame已经退休并且不再追踪这个不祥的威胁演员,但Fire 2.0样本最早出现在2016年10月的VirusTotal中,并且可能在此前一两年内在私人AV收藏中出现,”他们继续道。
“鉴于Flame被证明是有史以来发现的最大胆的威胁之一(利用创新的MD5哈希冲突攻击来颠覆Windows Update机制以在整个企业中传播感染),这不是对手我们在我们的职权范围内应该轻视捍卫互联网生态系统。“
火焰的复活与另一个臭名昭着的毒株Stuxnet的回归有着惊人的相似之处,Stuxnet去年在一次更为激烈的迭代中再次浮出水面。“纪事报”的研究人员称,这构成了GOSSIPGIRL超级威胁行动者监督的总体恶意软件生态圈的一部分。