پاسخ به:شبكه و امنيت
یک شنبه 15 بهمن 1391 11:38 PM
به تازگی بدافزار جدیدی به نام Flame توسط شرکت امنیتی کسپرسکی کشف شده است ( نام های دیگری مانند Flamer و Flamy نیز برای این بدافزار در نظر گرفته شده است ) . طبق اظهارات متخصصان این شرکت ، بدافزار مذکور از سال 2010 تا کنون فعال بوده است .
مانند بیشتر بدافزارها ، شرکت کشف کننده از نامی استفاده میکند که به صورت خاص در کدهای بدافزار یافت میشود . به عنوان مثال اگر به تصویر زیر نگاه کنید ، میبینید که نام Flame در بیشتر قسمت های این بدافزار به چشم میخورد .
زمان ساخت این بدافزار دقیقا مشخص نیست . سازندگان Flame برای منحرف کردن متخصصان امنیتی درباره زمان ساخت این بدافزار ، فایل های اصلی آن را با تاریخ های غیر واقعی مانند سال های 1992 ، 1994 و 1995 ساخته اند و کاملا مشخص است که این تاریخ واقعی نیست . متخصصان معتقدند که این بدافزار نمیتواند تا قبل از سال 2010 ساخته شده باشد و هرچه هست مربوط به سال 2010 و بعد از آن میشود .
اما مسئله نگران کننده این است که Flame تحت توسعه فعال قرار دارد و این بدان معناست که به مرور زمان به قابلیت های بیشتری مجهز خواهد شد . توسعه دهندگان Flame به صورت مداوم در حال تغییر دادن ماژول های این بدافزار هستند . البته هنوز هم از همان معماری و نام فایل ها برای بدافزار خود استفاده میکنند . تعدادی از ماژول های این بدافزار در طی سال های 2011 و 2012 تغییراتی داشته اند .
آنچه که مشخص است ، این است که Flame به دنبال اطلاعات است و سعی در جمع آوری آنها دارد . تا جایی که پروفسور ” آلن وودوارد ” از اساتید کامپیوتر دانشگاه Surrey به طعنه میگوید که Flame مانند جاروبرقی صنعتی برای جمع آوری اطلاعات است .
میتوان گفت که این بدافزار منطقه خاورمیانه را به عنوان هدف خود انتخاب کرده است . کشورهایی نظیر ایران ، فلسطین ، سوریه ، لبنان ، عربستان سعودی و چند کشور دیگر را میتوان به عنوان کشورهای هدف Flame نام برد . همانطور که در تصویر زیر مشاهده میکنید ، این بدافزار تا کنون بیشترین تاثیر را روی کشور ما داشته است .
1. شعله پشرفتهترین سلاح سایبری است که تا به حال شناخته شده است.
2. بعد از نصب، حجم این بدافزار به 20MB میرسد.
3. این بدافزار از پایگاهداده SQLite برای ذخیره دادههای جمعآوری شده استفاده میکند.
4. شعله توسط زبان برنامهنویسی Lua نوشته شده است.
5. ویژگیهای شعله بیانگر این مطلب است که این بدافزار باید توسط گروه بزرگی از مهندسان حرفهای نرمافزار نوشته شده باشد.
6. شرکت کسپر اسکای مدارکی را مبنی بر فعالیت مخفیانه شعله در 2 سال گذشته یافته است.
7. آزمایشگاه CrySyS هم اعلام کرده است که این بدافزار احتمالا 5 تا 8سال است که فعالیت میکند. حتی ممکن است دوره فعالیت آن بیش از 8 سال نیز بوده باشد.
8. این بدافزار دست کم دارای 20 ماژول مختلف است که هر کدام بخشی از کارهای جاسوسی را انجام میدهند. برای مثال یک ماژول، روشن کردن میکروفن رایانه قربانی و جمعآوری اصوات از محیط را به عهده دارد.
9. یکی از ماژولهای این بدافزار قدرت یافتن دستگاههایی که دارای بلوتوث روشن هستند را دارد. پس از یافتن آنها با استفاده از بلوتوث اطلاعات آن رایانهها را هم سرقت میکند.
10. ماژول دیگری از شعله هم هر 15 تا 60 ثانیه یک تصویر از صفحه رایانه گرفته و آنها را ایمیل میکند.
11. این بدافزار امکان شنود ترافیک داخلی شبکه برای یافتن نامهای کاربری و کلمههای عبور را دارد.
12. شعله سیستمعامل ویندوز 7 را (حتی با آخرین به روزرسانی ها ) آلوده میکند. روش کارش هنوز ناشناخته است. البته ویندوزهای 64 بیتی از گزند این بدافزار در امان هستند.
13. ساختار ماژولار این بدافزار نشان دهنده این است که تیم نویسنده آن توسعه شعله را در نظر داشته است. بدین ترتیب با به روز رسانی این بد افزار میتوانند ویژگیهای جدیدی را به آن اضافه کنند.
14. محققین BitDefender اعلام کردهاند که شعله یک شاهکار نرمافزاری است. شاهکاری در حد دستآوردهای مایکروسافت، اورکل و آپاچی. شعله از 6500 خط کد تشکیل شده است.
15. شعله از بیشاز 80 نام دامنه برای سرقت اطلاعات استفاده کرده است.
16. تاریخ ثبت نامهای دامنه استفاده شده به سال 2008 باز میگردد.
17. نامهای دامنه با هویتهای جعلی به ثبت رسیدهاند و عموما هر هویت جعلی 2 تا 3 نام را ثبت کردهاست. البته در موارد نادری تعداد دامنههای ثبت شده توسط یک هویت به 4 عدد هم رسیده است.
18. سرورهای مورد استفاده شعله در طول عملیات تغییر مکان دادهاند. این سرورها در هنگکنگ، ترکیه، لهستان، مالزی، سوییس و لتونی قرار داشتهاند.
19. مرکز کنترل و فرمان این بدافزار در طی 4 سال از 22 آدرس IP مختلف استفاده کرده است.
20. این سرورها از سیستمعامل اوبونتو نسخه سرور استفاده شده است.
21. شعله علاقه خاصی به فایلهای اتوکد دارد.
22. شعله برای جلوگیری از ارسال اطلاعاتی که مورد توجه حمله کنندهها نیست به اندازه 1KB از فایلها را استخراج کرده و سپس همه آنها را برای مرکز کنترل ارسال میکند. سپس مهاجمین بر اساس این اطلاعات فایلهای مورد نظرشان را انتخاب میکنند. در مرحله آخر هم فایلهای انتخاب شده توسط شعله به صورت کامل برای مرکز کنترل ارسال میشود.
24. رایانههای آلوده برای دسترسی به سرورهای مرکز کنترل از کلمه عبور Lifestyle2 استفاده کردهاند.
25. تمام فعالیتهای شعله در فایلهای Log برای بررسی تیم حمله کننده ذخیره میشدهاند.
کریمی که جهان پاینده دارد تواند حجتی را زنده دارد
دانلود پروژه و کارآموزی و کارافرینی
