佳工机电网 在线工博会 注册 登录 手机版 English | 关于我们 联系我们
关键字  
  选择展区 >>
您的位置: 首页 > ERP/制造业信息化展区 > 网络/安全/存储产品展厅 > 产品库 > 网络监控软件 > 新闻 > 正文 产品 会展 人才 帮助 | 注册 登录  
网络/安全/存储产品
 按行业筛选
 按产品筛选
本产品全部新闻


e展厅 产品库 视频 新闻 技术文章 企业库 下载/样本 求购/论坛
  市场动态 | 技术动态 | 企业新闻 | 图片新闻 | 新闻评论 佳工网行业新闻--给您更宽的视角 发表企业新闻 投稿 
赛门铁克发布白皮书深度剖析恶意威胁Flamer
http://cn.newmaker.com 9/18/2012 12:06:00 PM  佳工机电网
欢迎访问e展厅
展厅
5
网络/安全/存储产品展厅
无线上网卡, 光纤设备, 网络布线产品, 计算机干扰器, 网关, ...
赛门铁克安全响应团队于今日发布了名为《警惕Newsforyou!——恶意威胁Flamer(喷火器)命令与控制服务器技术分析》的白皮书,白皮书针对今年早些时候发生的W32.Flamer攻击所利用的两个命令与控制(C&C)服务器进行了详细分析。W32.Flamer是一种高级网络间谍工具,其主要攻击目标是中东地区。

据分析,W32.Flamer攻击所利用的两个命令与控制(C&C)服务器分别创建于2012年3月25日和2012年5月18日,在它们创建后很短的时间里,第一个与其交互而感染Flamer的计算机就出现了。在接下来的几周内,这两个服务器相继感染了至少几百台计算机。

虽然这两台服务器具有相同的控制框架,但它们的用途却有所不同。通过对创建于2012年3月份的服务器的分析显示,在一周多的时间里,它从被感染的计算机中共收集了近6GB的数据。与之相比,创建于2012年5月的服务器仅收集了75MB的数据,并且该服务器只是用于向被感染的计算机分发一个命令模块。

“命令与控制”通过一个名为Newsforyou的网络应用程序实现。该应用程序负责处理W32.Flamer客户端交互,并提供一个简单的控制面板,该控制面板允许攻击者向被感染的计算机上传代码数据包,也允许向受感染的计算机传输并下载包含被窃取客户端的数据包。据分析,这个应用程序并不只是被Flamer利用,它还能够通过不同协议与被多个其他恶意软件标识符感染的计算机进行交互。下表为不同恶意软件标识符与各种支持协议之间的关系。

如上表所示,由该框架支撑的其他几种威胁目前仍然无法识别,它们很可能是Flamer的未知变体,或者也许是完全不同的恶意软件。

一旦被发现,这两个服务器就会被设置为只记录少量信息,系统会禁止任何不必要的日志记录事件,数据库中的记录也会定期删除。现有的日志文件也会定期地从服务器上安全删除。一旦第三方捕获该服务器,这些设置便可以干扰相关的调查。

但是,这些攻击者并不是无懈可击的,分析人员找到了显示服务器设置的完整历史文件。此外,数据库中一组有限的加密记录显示,被感染的计算机来自中东地区。我们还能确定4个作者的昵称分别为DXX、HXX、OXX和RXX,他们分别负责不同阶段的代码和整个项目的不同方面,记录显示,整个项目最早启动于2006年。

该框架的设置显示了各攻击者之间明确的分工——哪些负责设置服务器(管理员)、哪些是负责通过控制面板上载数据包和下载被窃取的数据(操作者)、哪些拥有私人密钥能够解码被窃取的数据(攻击者)。由于整个过程利用数据安全分割技术,并经过了精心的设计,操作者本身可能实际上并不十分清楚被窃取的数据的内容。这种结构可以反映出,这是一个有大量资金支持,且有组织的攻击行为。


图:各攻击者之间有明确的职责分工

尽管控制者试图在被第三方捕获该服务器时极力阻止相关信息泄露,我们还是能够确定,创建在2012年5月的服务器在2012年5月底发送了一个模块,命令Flamer“自杀”,也就是从计算机上将自己删除。通过被感染的蜜罐系统,我们发现了这一操作。

最后,控制面板需要一个散列(hash)存储的密码。尽管我们努力尝试将该散列变成纯文本,但最终还是不能确定该密码。如果谁能从以下散列中解压密码,请与赛门铁克公司联系:密码散列:27934e96d90d06818674b98bec7230fa

此次C&C服务器分析工作是由赛门铁克、CERT-Bund/BSI、IMPACT和卡巴斯基共同完成的。点击此处 了解赛门铁克对C&C服务器的完整分析报告,其中详细分析了:C&C服务器的设置情况、2006年起至少由4个作者开发的网络应用程序、操作者使用的控制面板,以及驱动该应用的数据库。

发表评论】【新闻评论】【论坛】【收藏此页
更多有关网络监控软件的新闻: more
·赛门铁克诺顿:新型网络犯罪日益猖狂,安全意识至关重要 9/14/2012
·趋势科技Deep Security 9.0蓄势待发 携手VMware布局公有云平台 9/7/2012
·BYOD安全要求制定移动数据保护策略 8/29/2012
·Iomega、Intel、McAfee共同合作,安全时时更新 7/2/2012
·法国兴业银行借助Platform Symphony提高风险管理水平 6/1/2012
·IP-guard助力大众汽车建立整体信息防泄密体系 5/4/2012
·三一重工借助IP-guard构建信息防泄露体系 3/29/2012
·Exalerator软件套件扩大在云计算和Web加速领域的应用 3/7/2012
·Exalerator™软件套件扩大安全解决方案在云计算和Web加速领域的应用 3/5/2012
·防泄密新锐器 虹安推国内首款敏感信息智能识别系统 2/16/2012
更多有关网络/安全/存储产品的新闻:
·赛门铁克诺顿:新型网络犯罪日益猖狂,安全意识至关重要 9/14/2012
·BYOD安全要求制定移动数据保护策略 8/29/2012
·IBM整合云计算、存储产品将带来革命性变革 8/28/2012
·Cleversafe:改良“大数据”存储计划,云存储容量有望达10 EB 8/17/2012
·Navis部署Oracle Pillar Axiom存储系统以支持虚拟化集成和开发环境 8/16/2012
·全新的Websense网络安全智能(CSI)服务提供沙盒、蜜罐与取证以及主动防御培训等威胁对抗策略 8/15/2012
·金雅拓Ezio解决方案为奥地利VKB银行网上银行服务安全保驾护航 7/24/2012
·GlobalPlatform在北京举办移动安全研讨会 7/6/2012
·Iomega、Intel、McAfee共同合作,安全时时更新 7/2/2012
·曙光高调公布存储战略 向海量存储和云存储市场发力 6/26/2012
查看与本新闻相关目录:
·ERP/制造业信息化展区 > 网络/安全/存储产品展厅 > 网络监控软件 > 网络/安全/存储产品新闻

对 网络/安全/存储产品 有何见解?请到
网络/安全/存储产品论坛 畅所欲言吧!





网站简介 | 高级会员服务 | 广告服务 | 服务条款 | English | Showsbee | 会员登录  
© 1999-2018 newmaker.com. 佳工机电网·嘉工科技