Особенности вируса Flame
Сеть Информационная безопасность

    Червь-«кибероружие» Flame продолжает подкидывать исследователям сюрпризы. Согласно выводам антивирусной компании Symantec, этот червь умеет использовать технологию Bluetooth для слежки и перехвата информации с других устройств.

    Как поясняется в пресс-релизе Symantec, функционал, использующий технологии Bluetooth, реализован в отдельном модуле BeetleJuice, запуск которого производится в соответствии со значениями конфигурационных параметров, заданными атакующими.

    При запуске сначала производится поиск всех доступных Bluetooth-устройств. При обнаружении устройства производится запрос его статуса и записываются параметры устройства, включая идентификатор, предположительно для отправки атакующему. Далее он настраивает себя в качестве Bluetooth-маяка (хотя в Symantec признают, что так и не смогли обнаружить ещё код маяка). Это означает, что заражённый червём Flame (W32.Flamer по номенклатуре Symantec) компьютер всегда будет виден при поиске Bluetooth-устройств.

    В дополнение к «самозасвечиванию» W32.Flamer кодирует сведения о заражённом компьютере и затем сохраняет их в специальном поле «description». И при сканировании окружающего пространства любым другим Bluetooth-устройством он отображает специфическое поле (тем самым выдавая себя с головой).

    Всего Symantec удалось выделить три сценария использования Bluetooth червём Flame/Flamer. Первый — постоянный мониторинг Bluetooth-устройств в зоне досягаемости заражённого компьютера. В результате злоумышленник получает список различных обнаруженных устройств, которые, скорее всего, окажутся в большинстве случаев мобильными телефонами знакомых жертвы. Тем самым можно попытаться выяснить, с кем общается жертва.

    Второй сценарий подразумевает выяснение физического местоположения жертвы и выслеживание его. Описание Symantec выглядит несколько фантастично, но, судя по всему, подобный вариант развития событий вполне реален:

    • … злоумышленник может принять решение, что его владелец ему особенно интересен. Возможно, ему известно здание, в котором располагается жертва, но не её офис. Однако, используя технологии Bluetooth, злоумышленник может определить местоположение заражённых устройств.

    • Bluetooth – это радиоволны. Измеряя уровень радиосигнала, злоумышленник может определить приближается или удаляется жертва от конкретного заражённого устройства. Использование режима Bluetooth-маяка и информации о заражённом устройстве позволяет злоумышленнику определить физическое расположение заражённого компьютера или устройства жертвы.

    Как вариант, передвижения жертвы отслеживаются с помощью мобильного телефона жертвы, благо он уже, скорее всего, известен «атакующим», и с его помощью можно вести пассивный мониторинг жертвы:

    • Оборудование Bluetooth-мониторинга может быть установлено в аэропортах, на вокзалах и любых транспортных узлах; и это оборудование будет выискивать идентификаторы устройств, принадлежащих жертве. Ряд атак позволяет идентифицировать Bluetooth-устройство на расстоянии более мили (1609 км). Наиболее зловещим аспектом такой слежки является возможность точной локализации жертвы и более лёгкого отслеживания её в будущем.

    Третий сценарий Symantec определяет как «расширенный сбор информации». Значительная часть функционала W32.Flamer реализована в виде Lua-скриптов, или «приложений» (apps), загружаемых из хранилища приложений (apprepository) FLAME. С помощью таких вот приложений злоумышленник может — в теории — выкрасть контакты из адресной книги, находящейся в чужом телефоне, SMS-сообщения, картинки и многое другое, использовать Bluetooth-устройство для подслушивания (подключив к нему заражённый компьютер в качестве аудио-гарнитуры), передавать похищенные данные через каналы связи другого устройства, что позволяет обойти межсетевые экраны и средства мониторинга сети. Для этого злоумышленник может использовать собственное Bluetooth-устройство, находящееся в пределах мили от источника.

    Следует отметить, что в минувшие выходные поднялся серьёзный шум по поводу того, что отдельные модули Flame были подписаны легальными сертификатами Microsoft. В воскресенье корпорация срочно выпустила бюллетень безопасности по этому поводу и соответствующий патч, отзывающий три сертификата:

    «Проанализировав ситуацию, мы обнаружили, что некоторые компоненты зловреда были подписаны сертификатами, позволяющими программному обеспечению выдавать себя за продукцию Microsoft», — пишет Майк Риви, старший директор Центра безопасности Microsoft (Microsoft Security Response Center). — «Как выяснилось, существует возможность использовать один старый криптографический алгоритм для того, чтобы подписывать код так, как будто он имеет своим происхождением Microsoft. В частности, наш сервис Terminal Server Licensing Service, через который корпоративными клиентами осуществлялась авторизация сервисов Remote Desktop, использовали этот старый алгоритм и произвели сертификаты, с помощью которых можно подписывать программный код, тем самым выдавая его за нечто, исходящее от Microsoft».
    Источник: blogs.computerra.ru

    Дочитали статью до конца? Пожалуйста, примите участие в обсуждении, выскажите свою точку зрения, либо просто проставьте оценку статье.

    Вы также можете:

    • Перейти на главную и ознакомиться с самыми интересными постами дня
    • Добавить статью в заметки на: Добавить эту статью в TwitterДобавить эту статью ВконтактеДобавить эту статью в FacebookПоделиться В Моем Мире
    • Добавить на Яндекс

    • 0
    • 09 июня 2012, 08:50
    • patron

    Специальные предложения


    Резиновая плитка для пола «Модуль»

    Вулканизированная резина для пола в тренажерном зале обладает исключительной прочностью и укладывается как полы для занятий штангой и спортивные мобильные тяжелоатлетические площадки на улице. Покрытие не крошится и не впитывает влагу, это литая вулканизированная резина, не крошка! Покрытие послужит незаменимым полом в ангары для хранения мотоциклов, снегоходов, лодок, гидроциклов, катеров и яхт…

    Резиновое покрытие Трансформер «ЗЕРНО»

    Уникальное напольное покрытие из резины для быстрой и самостоятельной сборки пола в гараже. Полы в личном гараже Вы можете собрать своими руками, без привлечения строителей. Удобный предустановленный замок, позволит произвести монтаж резиновых плит без применения клея. Покрытие устойчиво к шипам, износу и проливу технических масел и бензина…

    Модульная плитка ПВХ для пола

    Модульная плитка ПВХ для пола в гараж, автосервис, цех, торгово-развлекательный центр, офис, фитнес и тренажерный зал, зрительный зал кинотеатра, склад. Модульные плитки ПВХ настолько просты в монтаже, что не требуют специальных навыков для своей установки. Неподготовленный человек может собрать более 100 кв.м. напольного покрытия за один рабочий день. Для сборки не требуется клей, цемент и другие крепежные материалы...


    +7 (495) 969-75-83

    +7 (495) 969-75-83

    +7 (495) 969-75-83

    Смотреть все предложения...

    Новостная сеть блогов MyWebS - это всё самое актуальное: основные мировые новости, лучшие фотографии из последних новостей. А также просто полезная и занимательная информация: о событиях в России, о достижениях в мире технологий, о загадочном и непостижимом, об исторических фактах и просто о знаменательных событиях.

    © Copyright 2010–2017