返回新闻列表

卡巴斯基实验室专家揭示Flame(火焰)指令与控制中心架构的分析情况

        2012年5月28日,卡巴斯基实验室宣布发现一种高度复杂的恶意程序——Flame(火焰),该恶意程序被用作网络武器,并在几个国家中发起攻击。卡巴斯基实验室的专家们是在参与由国际电联(ITU)发起的一项研究调查中发现的Flame的,经过分析,该恶意程序是目前为止最大和最复杂的网络攻击工具。

        经过卡巴斯基实验室对Flame的分析,表明该程序目前被用来从事网络间谍活动,除了感染计算机,还能盗取数据和敏感信息。被盗的数据随后发送至Flame的指令与控制(C&C)服务器。

        卡巴斯基实验室目前正在密切监测Flame的指令与控制中心架构,目前发现的情况已经公布。

        在与GoDaddy与OpenDNS的合作中,卡巴斯基实验室成功的找出了大部分Flame指令与控制中心利用的恶意域名。此次分析的结果如下:

  • Flame的指令与控制中心一直运行了很多年,直到上周卡巴斯基实验室宣布发现了此恶意程序,该中心立刻停止了运行。
  • 目前,Flame的指令与控制服务器使用的相关已知域名已经超过80个,这些域名都是在2008 年和2012年之间注册的。
  • 在过去的四年间,Flame的指令与控制服务器主机先后更换了多次位置,包括香港、土耳其、德国、波兰、马来西亚、拉脱维亚、英国和瑞士。
  • Flame的指令与控制中心域名是由一大批虚假的身份信息来注册的,从2008年以来的注册人员可谓五花八门。
  • 从卡巴斯基实验室的分析来看,受到感染的计算机用户信息被多次在不同区域注册,包括中东、欧洲、北美和亚太地区。
  • 除了PDF和文本文件,Flame幕后的攻击者看上去还对AutoCad绘图软件有极大的兴趣。
  • 上传到Flame指令与控制中心的数据使用相对简单的运算规则进行加密。被盗的文档使用开源的Zlib和修改的PPDM压缩程序进行压缩。
  • 我们之前推荐使用Windows 7(64位)来防护其它恶意软件,现在看来也是防护Flame的有效方案。

        卡巴斯基实验室特别感谢William MacArthur和“GoDaddy Network Abuse Department”的快速响应以及对此次调查时间给予的大力支持。此外,卡巴斯基实验室还要感谢OpenDNS安全研究团队,在此次研究过程中给予了我们无私的支持。

        在过去的一周内,卡巴斯基实验室已经联系了多个国家的计算机病毒应急处理机构,并通知有关Flame指令与控制中心的域名信息和恶意服务器的IP地址。卡巴斯基实验室感谢所有在此次调查中给予支持的个人和单位。

        如果您是政府计算机病毒应急处理机构,或者您本人想收到更多相关的信息,请联系我们:stopduqu@kaspersky.com

        要了解Flame指令与控制中心的全面分析以及相关的技术细节,请访问Securelist