Flame virusu

Silah savaşı gün keçdikcə yerini kiber savaşa buraxır. Ən son 2010-cu ildə Stuxnet virusu ilə İran nüvə stansiyaları hədəf alındı. Aparılan araşdırmalar virusun 2009-ci ildə yazıldığı, 4 ədəd “0 gün” (0 day) təhlükəsizlik boşluğunun saxladığı və virusun fləş disklər üzərindən yayıldığı müəyyən edilmişdir. 1 ildən çox müddətdə aşkarlanmadan işinə davam edən virus, İrana 800 milyon dollarlıq zərər vermişdir.
Daha sonra Duqu virusu ilə Microsoft Word proqramındakı bir təhlükəsizlik boşluğunu istifadə edərək, İrandakı nüvə stansiyalarına məxsus məlumatlar topladı. Duqu e-maillər üzərindən yayılan bir zərərli proqramdır.
Flame virusu rus təhlükəsizlik firması Kaspersky tərəfindən müəyyən edilmişdir. Stuxnet-ə nisbətən 20 qat daha mürəkkəb bir arxitekturaya sahib olduğu müşahidə edilən kiber hücum, təxminən 2010 avqust ayından aktiv olmağa başlayıb.
Aparılan araşdırmalar göstərir ki, virus başda İran, İsrail, Sudan, Suriya, Livan, Səudiyyə Ərəbistanı və Misir olmaq üzrə 600-dən çox qurum, akademik təşkilat və dövlət sistemini hədəf almışdır.
Kaspersky tərəfindən edilən şərhdə bildirilir ki, virusun şifrələrin tapmaq üçün illərlə vaxt lazım olacaq. Ancaq virusun bəzi modulları çözülüb. İranın Kompüter İnsidentlərini Araşdırma Qrupunun (Maher) etdiyi rəsmi şərhdə virusun 43 antivirus proqramı tərəfindən müəyyən edilə bilmədiyi, ancaq virusun dərslik üsulları ilə müəyyən edildiyi bildirilir.
Təhlükəsizlik mütəxəssisləri virusun planlaşdırmasının və proqramlaşmasının 5 il müddətində, yaxşı bir qrup tərəfindən hazırlandığını və arxasında mütləq bir dövlət olduğunu irəli sürürlər.

Flame nələr edir?
Flame cinayətkarlıq fəaliyyətlərini davam etdirə bilmək məqsədiylə, klaviatura, USB bağlantılar, prosessor, mikrofon, cihazlar, Wi-Fi, monitor, Bluetooth kimi bir çox təchizatı istifadə edə biləcək imkana malikdir. Sızdığı kompüterlərdə aşkarlanmamaq üçün 5 müxtəlif şifrləmə alqoritmi ilə özünü şifrləyərək gizləyə bilən Flame, cinayətkarlıq əməliyyatlarını arxa fonda həyata keçirir.


Şəkil 1.

Bir sistemə yoluxduqdan sonra, şəbəkə trafikini dinləyir, ekran görünüşlərini çəkir, klaviaturada yazılanları loqlayır, mikrofon ilə danışmaları yaddaşa yazır. Flame içərisində SQLLite3 verilənlər bazası istifadə edir, topladığı məlumatları bu bazada şifrlənmiş şəkildə saxlayır və sonra müxtəlif zamanlarda gizli SSL kanallarından Flame serverlərinə göndərir. Bu əməliyyatlarda Flame, XMPP (Jabber) protokolundan istifadə edir. XMPP protokolunun ən böyük xüsusiyyəti, eyni vaxtda ötürmələrə imkan təmin etməsidir. XMPP protokolunun istifadə edilməsindəki əsl səbəb isə, bu protokolun eyni vaxtda mətn, səs və görüntünü XMPP serverlərinə göndərməsidir. Flame-in edə bildiyi hücum törəmələri Şəkil 1-dəki kimidir.

Flame, Stuxnet-də olduğu kimi Autorun faylları vasitəsilə də yayıla bilir. Autorun üzərindən hücum iki üsulla baş verir. Bunlar "Autorun Infector" və "Euphoria" üsullarıdır.
Autorun Infector üsulu ilə virus saxlama cihazlarında Autorun.inf faylını yaradır və "shell32.dll" faylına özünü yoluxduraraq yayılmağa çalışır.
Euphoria üsulu ilə də virus, saxlama cihazına bir "kəsmə yol" faylı (.LNK) yükləyir. Daha sonra bu kəsmə yol faylı üzərindən saxlama cihazına bağlanan cihazlara özünü kopyalayır.
Lokal şəbəkələrdə, MS10-061 təhlükəsizlik boşluğundan faydalanaraq, bir MOF faylı istifadə edib WMI (Windows Management Instrumentation - Windows alətləri) vasitələrinə giriş əldə edir.
Əgər Flame domen nəzarətindən səlahiyyətli bir istifadəçi hesabına məxsus bir kompüterə yoluxubsa, şəbəkəyə daxil bütün kompüterlərə özünü kopyalayır. Yoluxduğu bu şəbəkə kompüterlərində bir arxa qapı (backdoor) quraraq işinə davam edir.


Kaspersky firması tərəfindən açıqlanan, Flame virusunun təsirinə məruz qalmış ölkələr Şəkil 2-də göstərilmişdir. Bu hücumda ən çox zərəri İranın gördüyünü müşahidə edə bilərik.

Flame haqqında texniki məlumatlar nələrdir?


Flame-in çözülmüş bəzi kodları şəkil 3-dəki kimidir.

20 fərqli moduldan ibarət olan Flame 20 MB həcmindədir. Bu virusun ana modulu mssecmgr.ocx adlı bir OCX (OLE Control Extension) faylıdır. Böyük və kiçik olmaqla bu faylın iki ayrı versiyası təsbit edilmişdir. Böyük versiya 6 MB, kiçik versiya 900 KB həcmindədir. Virus ilk dəfə yoluxduqdan sonra virus serverlərinə bağlanaraq digər modullarını endirir. Endirilən fayllar zff042.ocx, msdclr64.ocx və wavesup3.drv fayllarıdır.
Mssecmgr dərhal sonra özünü Windows reyestrinə (Regedit), xüsusi bir identifikasiya paketi olaraq yazır.
Regedit-ə əlavə qeyd yolu bu şəkildədir.  HKLM_SYSTEM \ CurrentControlSet\Control\LSA
Authentication Packages = mssecmgr.ocx
Regedit qeydiyyatı tamamlandıqdan sonra virus özünü etibarlı istifadəçi hesabı ilə tanıdır.
MS10-061 boşluğunu istifadə etdikdə mof faylı yaradaraq WMI vasitələrini ələ keçirmək üçün aşağıdakı kodlardan ibarət bat faylını yaradır.
s1 = new ActiveXObject ("WScript.Shell");
s1.Run ("% systemroot% \ \ system32 \ \ rundll32.exe msdclr64.ocx, DDEnumCallback");

mssecmgr.ocx faylı hazırda təsbit edilmiş 146 moduldan ibarətdir. Müəyyən edilən 146 modul şəkil 4.-də göstərilib.


Cədvəl 1.

Beetlejuice Bluetooth üzərindən yayılmaq üçün istifadə edilir. Kodlar base64 ilə şifrlənmişdir.
Microbe Bütün multimedia cihazlarının konfiqurasiya siyahıya alaraq ən uyğun qeydiyyat cihazını istifadə edir.
Infectmedia Media cihazlarına (USB Disklər və s.) təsir etmək üçün istifadə olunan moduldur.
Autorun_infector Autorun.inf faylını istifadə edərək başqa mühitlərə yayılmağa çalışır.
Euphoria LNK faylları vasitəsilə yayılmasını təmin edir.
Limbo Uyğun hüquqlar əldə edilibsə, şəbəkədəki kompüterlərdə "HelpAssistant" hesabı ilə arxa qapı (backdoor) yaradır.
Frog Etibarlı hesablar üzərindən yoluxmağa çalışır. Əgər bacara bilmirsə, Limbo-dan istifadə edir.
Munch Modullar ilə əlaqəli istəklərini http protokolu üzərindən qarşılayır.
Snack Şəbəkə interfeysini siyahıya alır. Bu interfeysdəki verilənlərin əlaqəsini NBNS paketləri olaraq qeyd edir. Toplanan verilənlərdən özünü yaymaq üçün ən uyğun kompüteri tapır.
Boot_dll_loader Bütün əlavə modulların siyahısını özündə saxlayan konfiqurasiya moduludur.
Weasel Yoluxduğu kompüterlərin siyasını hazırlayır.
Boost Öz proqramlaşdırma məntiqinə zidd gələn faylları izləyir.
Telemetry Gün ərzində verilənləri loqlayır.
Gator İnternet əlaqəsini yoxlayır. Əlaqə olması halında, yeni modulları endirir və topladığı məlumatları virus serverlərinə (XMPP) ötürür.
Security Antivirus və şəbəkə ekranı proqramlarından yan keçməyə çalışır.
Bunny
Dbquery
Driller
Headache
Gadget
Bu modulların məqsədi hələ müəyyən edilməmişdir.

%windir%\System32 qovluğunda aşağıdakı faylları kopyalayır.
mssecmgr.ocx
advnetcfg.ocx
msglu32.ocx
nteps32.ocx
soapr32.ocx
ccalc32.sys
boot32drv.sys
Advpck.dat
ntaps.dat
Rpcnc.dat

Toplanan verilənləri müvəqqəti olaraq %windir%\temp qovluğunda saxlayır.
~ DEB93D.tmp
~ 8C5FF6C.tmp
~ DF05AC8.tmp
~ DFD85D3.tmp
~ DFL *. Tmp
~ Dra *. Tmp
~ Fghz.tmp
~ HLV *. Tmp
~ KWI988.tmp
~ KWI989.tmp
~ Rei524.tmp
~ Rei525.tmp
~ Rf288.tmp
~ Rft374.tmp
~ TFL848.tmp
~ TFL849.tmp
~ Mso2a0.tmp
~ Mso2a1.tmp
~ Mso2a2.tmp
SSTab *. dat

Ayrıca %windir% qovluğunda Ef_trace.log faylını yaradır.

Flame ilk yoluxmadakı konfigürasiyaya uyğun olaraq fərqliliklər göstərə bilir. Konfiqurasiya fərqindən dolayı yoluxa bildiyi fərqli fayllar aşağıdakı kimidir.
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix

Bu  qovluqlarda aşağıdaki fayllar saxlanmaqdadır.
dstrlog.dat
lmcache.dat
mscrypt.dat (və ya wpgfilter.dat)
ntcache.dat
rccache.dat (və ya audfilter.dat)
ssitable (və ya audache)
secindex.dat
wavesup3.drv

Flame-in yüklədiyi faylları isə aşağıdakı kimidir.
svchost1ex.mof
Svchostevt.mof
frog.bat
netcfgi.ocx
authpack.ocx
~ A29.tmp
rdcvlt32.exe
to961.tmp
authcfg.dat
Wpab32.bat
ctrllist.dat
winrt32.ocx
winrt32.dll
scsec32.exe
grb9m2.bat
winconf32.ocx
watchxb.sys
sdclt32.exe
scaud32.exe
pcldrvx.ocx
mssvc32.ocx
mssui.drv
modevga.com
indsvc32.ocx
comspol32.ocx
comspol32.dll
browse32.ocx

Əgər kompüterinizin Flame virusuna yoluxduğuna şübhə edirsinizsə, yuxarıdakı fayl adlarını sisteminizdə axtarın. Əməliyyat sisteminin reyestrinə nəzarət edin. Reyestrdə eyni yazılara rast gəlməniz kompüterinizin Flame virusuna yoluxması deməkdir.

Mənbələr
http://www.mshowto.org/flame-virusunun-detaylari-tespiti-ve-temizlenmesi.html

 Əlaqə:
 Telefon: (994 12) 5104253
 E-poçt: info at sciencecert dot az
2013 © AMEA İnformasiya Texnologiyaları İnstitutu
Saytdakı məlumatlardan istifadə edərkən www.sciencecert.az saytına istinad zəruridir.