返回新闻列表

卡巴斯基实验室发现“miniFlame”—一款最新的用于执行针对性网络间谍攻击的恶意程序

        今天,卡巴斯基实验室宣布发现miniFlame,一款小巧但是非常灵活的恶意程序。该恶意程序主要用于发起针对性网络间谍攻击,伺机窃取受感染系统上的数据并控制受感染计算机。

        MiniFlame,又被称为SPE,最早于2012年7月由卡巴斯基实验室专家发现。最初,该恶意程序被认为是Flame恶意软件的一个组件。但是,2012年9月,卡巴斯基实验室的研究团队对Flame的命令和控制服务器(C&C)进行了一次深度分析,从而发现miniFlame模块其实是一个协作工具,可以作为一个独立的恶意程序使用,或者同时能够充当Flame和Gauss恶意软件的插件。

        更多针对miniFlame的分析显示,该恶意程序有多个版本,创建时间为2010至2011年间,其中有些变种目前仍然处于活跃状态。分析还揭示出新的证据,表明Flame和Gauss编写者之间曾有合作,因为这两款恶意程序都可以使用miniFlame做为“插件”,执行攻击行为。

主要发现:

  • miniFlame,或PE,基于同Flame一样的架构平台。它既能够做为一个网络间谍程序独立执行相关功能,也可以被用做Flame和Gauss的组件执行恶意功能。
  • 这款网络间谍工具以后门的形式运行,窃取受感染系统上的数据,同时也能够直接访问受感染系统。

        miniFlame的开发可能最早可以追溯到2007年,并持续到2011年底。根据推测,其变种应该有很多种。截止到目前,卡巴斯基实验室共发现这款恶意程序的六种变种,隶属于这款恶意程序的两代产品,分别为4.x和5.x版本。

  • 与Flame或Gauss不同,它们都造成了大量计算机感染,而miniFlame造成的感染数量则小得多。根据卡巴斯基实验室的数据,该恶意程序的感染数量为10至20台计算机。全球的范围内的感染数量估计为50—60台。

        考虑到miniFlame的感染数量,以及其信息窃取功能和灵活的设计,都表明这款恶意程序主要用来进行针对性非常强的网络间谍攻击。而且,其很可能会被部署到那些已经被Flame或Gauss感染的计算机中。

发现过程

        MiniFlame是安全研究人员在对Flame和Gauss恶意软件进行深度分析过程中发现的。2012年7月,卡巴斯基实验室的安全专家发现Gauss恶意软件的一个附加模块,开发代号为“John”。同时发现该模块与Flame配置文件中的模块有所关联。之后的2012年9月,安全人员又对Flame的命令和控制服务器进行了分析,从而发现最新发现的模块其实是一款独立的恶意程序,尽管其可以被用来充当Gauss和Flame的“插件”。miniFlame的开发代号为SPE,这可以通过Flame最初的C&C服务器代码得到验证。

        卡巴斯基实验室发现miniFlame的六种不同变种,开发时间均从2010至2011年。同时,针对miniFlame的分析还表明针对这款恶意软件的开发开始时间更早,应该不晚于2007年。miniFlame能够用来做为Flame或Gauss的插件使用,清晰地表明Flame和Gauss开发团队之间曾有紧密合作。由于Flame和Stuxnet/Duqu之间的关系早已被揭开,所以可以得出结论,上述这些高级威胁,应该全部来自同一个“网络战争”工厂。

恶意程序功能

         miniFlame最初的感染手段目前还不清楚。由于已经确认miniFlame、Flame和Gauss之间的联系,所以miniFlame很可能会被安装到那些已经被Flame或Gauss感染的计算机上。一旦安装,miniFlame就以后门的形式运行,使得攻击者可以从受感染计算机上获取任何文件。miniFlame的信息窃取功能包括截取受感染计算机屏幕,可以在计算机运行特定程序或应用(如浏览器、微软Office、Adobe Reader、即时通讯服务或FTP客户端)时进行。miniFlame会连接自己的命令和控制服务器(其C&C可能是独立的,也可能同Flame进行分享),将窃取到的数据上传。此外,miniFlame的命令和控制服务器操作者还可以发送请求,将另外一个数据窃取模块发送到受感染系统。该模块可以感染USB存储设备,利用它们存储那些从未连接互联网的计算机上盗取到的数据。

        卡巴斯基实验室的首席安全专家Alexander Gostev评论说:“miniFlame是一款高精确度的攻击工具。其很可能被用做一种针对性的网络武器,在目前被定义为第二波网络攻击行动中使用。首先,Flame或Gauss会被用来感染尽量多的极速啊急,最大程度地收集各种数据和信息。数据被收集和整理后,攻击者会选定特定攻击目标,将miniFlame安装到受攻击计算机上,从而实现深度监控,实施网络间谍行为。miniFlame的发现,还为我们提供了关于这些知名网络战争武器编写者之间进行过合作的额外证据,同时证明Stuxnet、Duqu、Flame和Gauss这些网络战争武器之间是有关联的。

        卡巴斯基实验室在此对CERT-Bund/BSI表示感谢,感谢它们在此次调查中的大力协助。

        更多关于miniFlame的信息,请访问:www.securelist.com