今年五月份發(fā)現(xiàn)的Flame病毒（又名Flamer、Skywiper或火焰病毒）對(duì)伊朗能源部門進(jìn)行了猛烈的網(wǎng)絡(luò)攻擊，F(xiàn)lame病毒的出現(xiàn)引起了人們對(duì)于網(wǎng)絡(luò)間諜活動(dòng)和網(wǎng)絡(luò)戰(zhàn)爭的高度關(guān)注。伊朗方面認(rèn)為，F(xiàn)lame病毒與之前針對(duì)工業(yè)系統(tǒng)的臭名昭著的Stuxnet（震網(wǎng)）病毒和Duqu病毒有密切的關(guān)聯(lián)。

面對(duì)這一高危病毒，邁克菲實(shí)驗(yàn)室第一時(shí)間對(duì)該病毒的相關(guān)功能和主要特性進(jìn)行了深度分析和持續(xù)研究，以助力業(yè)界更好地了解這一威脅并找出應(yīng)對(duì)措施。

根據(jù)邁克菲實(shí)驗(yàn)室的分析，F(xiàn)lame病毒是一種模塊化的、可擴(kuò)展和可更新的，具有廣泛隱蔽性和很強(qiáng)攻擊性的威脅。目前，邁克菲防病毒產(chǎn)品已經(jīng)可以從感染的系統(tǒng)中檢測到這一威脅并進(jìn)行清除。通過邁克菲的初期數(shù)據(jù)顯示，目前這一威脅還存在多種變體。

Flame病毒強(qiáng)大的攻擊能力

以下是邁克菲發(fā)現(xiàn)的Flame病毒的部分攻擊能力（實(shí)際上，F(xiàn)lame病毒的攻擊能力還遠(yuǎn)不止于此）：

◆掃描網(wǎng)絡(luò)資源

◆竊取指定信息

◆能夠偵測到100多種安全防護(hù)產(chǎn)品（包括反病毒軟件、反間諜軟件和防火墻等）

◆進(jìn)行屏幕截圖

◆記錄語音通話

◆利用 PE 加密資源

◆像 Stuxnet 和 Duqu 一樣把自己隱藏為名為 ~ 的臨時(shí)文件

◆使用已知漏洞，如被Stuxnet利用的Print Spooler 和 lnk漏洞

◆通過 USB 閃存和局域網(wǎng)攻擊新系統(tǒng)（緩慢傳播）

◆使用 SQLite 數(shù)據(jù)庫存儲(chǔ)收集到的信息

◆使用自定義數(shù)據(jù)庫來構(gòu)建攻擊模塊（這很罕見，但顯示了這一惡意軟件的模塊化構(gòu)造和可擴(kuò)展性）

◆運(yùn)行于Windows XP、Windows Vista 和 Windows 7 系統(tǒng)

◆隨 Winlogon.exe 一起加載并注入IE和服務(wù)項(xiàng)中

◆復(fù)雜的內(nèi)部功能能夠調(diào)用Windows APC、操控線程啟動(dòng)并對(duì)關(guān)鍵進(jìn)程進(jìn)行代碼注入

◆往往位于臨近的系統(tǒng)上并通過局域網(wǎng)進(jìn)行總控和發(fā)起目標(biāo)注入攻擊

◆通過 SSH 和 HTTPS 協(xié)議與總控服務(wù)器通信

◆同時(shí)使用內(nèi)核模式和用戶模式邏輯

總體而言，F(xiàn)lame病毒在一些工作原理上與 Stuxnet 和 Duqu 十分類似，但代碼庫和具體實(shí)施上則差別很大，因?yàn)镕lame病毒更加復(fù)雜，攻擊能力更強(qiáng)。#p#

Flame病毒極其復(fù)雜的結(jié)構(gòu)

邁克菲通過反編譯操作發(fā)現(xiàn)，其主模塊包含 65 萬行 C 語言編寫的代碼。所有跡象都表明，這并非這一惡意軟件的所有代碼，預(yù)計(jì)最高可能達(dá)到 75 萬行以上。鑒于此，邁克菲已著手展開長期分析，以確定其完整的功能和特性。

根據(jù)截至目前所獲得的數(shù)據(jù)及分析結(jié)果，邁克菲使用IDA（一款專業(yè)反匯編和反編譯工具）完成了跟蹤工作，并繪制了以下代碼關(guān)系圖：

這個(gè)像龍卷風(fēng)一樣的代碼關(guān)系圖展示了Flame病毒龐大的代碼群及代碼間復(fù)雜的關(guān)系。令人驚嘆的是，這只是主模塊的代碼！僅僅這一個(gè)模塊就調(diào)用了大約 4400 多次字符串反混淆例程。本質(zhì)上講，如果代碼中存在容易引起關(guān)注的字符串，例如"flame::beetlejuice::BeetleJuiceDataCollector,"或"flame::gator::GatorCmdFetcher,"，它就會(huì)把信息封裝在一個(gè)密封函數(shù)中。這使得本已十分龐大的代碼進(jìn)一步"增肥"，要成功辨識(shí)更是難上加難。

代碼中用到的混淆字符串量超乎尋常，這保證了可執(zhí)行文件的功能不僅難于理解，而且即使代碼被他人捕獲也無法輕易用于其他目的。

代碼中包含了其所需的全部庫代碼：SSH、ZLib 例程、Web 服務(wù)器代碼等。從這點(diǎn)來說，代碼中至少涉及幾十種加密函數(shù)，例如，Blowfish 算法、MD5/MD4 函數(shù)等。

Flame似乎對(duì)有關(guān)專業(yè)監(jiān)控需求和操作的信息"情有獨(dú)鐘"。它的一些功能和特性包括：

◆具備適用于文件系統(tǒng)解析和存取的低級(jí)別磁盤存取解析

◆支持 ZIP 文件解析

◆能夠解析多種文檔格式，例如，PDF、Microsoft Word 和其他 Office 格式

◆特別關(guān)注記錄項(xiàng)，搜索目標(biāo)項(xiàng)時(shí)即使是操作系統(tǒng)內(nèi)的隱藏位置也不會(huì)放過

◆"熱衷"于探究目標(biāo)桌面上的內(nèi)容

◆能夠在特定的域內(nèi)實(shí)現(xiàn)遠(yuǎn)程自行傳播

◆該惡意軟件在搜尋到需要的信息后會(huì)非常謹(jǐn)慎地傳回給控制服務(wù)器：這一點(diǎn)是通過在后臺(tái)啟動(dòng)額外的 IE 實(shí)例并將代碼注入其中來實(shí)現(xiàn)的。如此一來，它就成功"化身"為計(jì)算機(jī)上的一項(xiàng)"可信"進(jìn)程，從而繞過個(gè)人防火墻。

◆可能最重要的是，移動(dòng)設(shè)備才是它的"興趣所在"。 這正是 Beetlejuice 模塊的"用武之地"。該模塊就好像進(jìn)入計(jì)算機(jī)的"幽靈"一樣到處搜尋藍(lán)牙設(shè)備，同時(shí)通過查找聯(lián)系人來關(guān)注目標(biāo)受害人的社交網(wǎng)絡(luò)。在本地同樣可以這樣做，因?yàn)樗軌蛟谖募谢驁?zhí)行信息同步的主機(jī)上找到設(shè)備信息。目前為止，Sony 和 Nokia 設(shè)備的聯(lián)系信息已成為其覬覦的目標(biāo)。當(dāng)然，這其中的文章絕非表面看上去這樣簡單。

實(shí)際上Flame病毒還在不斷"與時(shí)俱進(jìn)"。對(duì)該病毒的分析將是長期的工作。20 世紀(jì) 90 年代，病毒分析可謂爭分奪秒，被調(diào)侃為"百米賽跑"。 如果說那個(gè)年代的病毒的實(shí)際代碼可以打印出 100 米，那么 Flame的代碼長度足可達(dá)到一英里（約為1609米）。這樣看來，對(duì)Flame病毒的分析可以堪稱"一英里徒步"！#p#

Flame病毒能夠隨意更改其名稱和擴(kuò)展名，迷惑性極強(qiáng)

威脅文件可以根據(jù)控制服務(wù)器特定的指令和配置使用情況更改文件名和擴(kuò)展名。一些情況下，F(xiàn)lame可以檢測到特定的防病毒軟件，于是就會(huì)更改可執(zhí)行文件 (DLL) 的擴(kuò)展名，比如從 OCX 更改為 TMP。實(shí)際上，通常在受感染的系統(tǒng)上，尤其是威脅先于安全產(chǎn)品安裝的情況下，就不需要進(jìn)行這樣的更改。

Flame病毒的主模塊超過6MB，而完全部署后接近20MB。毫無疑問，這是一款包含大量代碼的惡意軟件，它使用了Zlib、LUA Interpreter、SQLite 支持、Custom DB 支持代碼等，整個(gè)代碼像一個(gè)復(fù)雜的企業(yè)數(shù)據(jù)庫系統(tǒng)。

加密包含簡單的模糊處理，例如帶有字節(jié)值的 XOR。在一些其他攻擊中，都用到了 XOR 密鑰 (0xAE)，這揭示了其與 Duqu 和 Stuxnet 的一些潛在關(guān)系，因?yàn)樗鼈円彩褂眠@個(gè)值。但 Stuxnet 和 Duqu 會(huì)在使用此字節(jié)值的同時(shí)結(jié)合使用其他值，包括具有可能含義的日期。

除了上述內(nèi)容，F(xiàn)lame在代碼方面并未顯示出與Stuxnet或 Duqu 的直接關(guān)系。它采用了相似但又復(fù)雜得多的結(jié)構(gòu)，這在很多方面都提醒了研究人員，這些攻擊具有高危性。根據(jù)早期日期值來判斷，它從某些方面可以視為一個(gè)并行項(xiàng)目。而從文件中遺留的日期值不難發(fā)現(xiàn)，攻擊文件中融入了 2011 年 1 月和 8 月最新開發(fā)的代碼。文件標(biāo)頭中的日期經(jīng)過了蓄意更改（例如，聲稱是 1994 年），但導(dǎo)出表日期值和文件其他位置的日期卻暴露了真實(shí)日期：2011年。

Flame病毒與Stuxnet、Duqu病毒的關(guān)聯(lián)

通過分析，可以發(fā)現(xiàn)雖然Flame病毒代碼庫與Stuxnet蠕蟲病毒或Duqu木馬病毒不同，但三者的攻擊目標(biāo)和技術(shù)非常相似。Flame與 Duqu 擁有差不多的變體數(shù)量，但其傳播范圍更廣，代碼結(jié)構(gòu)更為復(fù)雜。顯然，這一威脅經(jīng)過了數(shù)年的開發(fā)，幕后很可能是一支訓(xùn)練有素的大型而專門的團(tuán)隊(duì)。

Stuxnet于2010年7月被發(fā)現(xiàn)，這種蠕蟲病毒專門針對(duì)德國西門子公司設(shè)計(jì)制造的供水、發(fā)電等基礎(chǔ)設(shè)施的計(jì)算機(jī)控制系統(tǒng)，伊朗曾承認(rèn)Stuxnet影響到其核電站的部分離心機(jī)。Stuxnet當(dāng)年成名的一個(gè)重要原因在于其使用了"零日漏洞"攻擊，即病毒編寫者利用自己發(fā)現(xiàn)的4個(gè)系統(tǒng)漏洞，在軟件公司發(fā)布補(bǔ)丁之前發(fā)起攻擊。而Flame病毒利用的已知漏洞中就包括Stuxnet曾攻擊的兩個(gè)漏洞。Duqu病毒針對(duì)的也是工業(yè)控制系統(tǒng)，目的在于收集信息。業(yè)界普遍認(rèn)為，Stuxnet和Duqu來源相同，因?yàn)樗鼈兌夹枰嗳碎L時(shí)間合作完成，極可能是某組織或政府機(jī)構(gòu)所為。

通過目前邁克菲網(wǎng)絡(luò)動(dòng)態(tài)傳感器檢測到的信息，我們?cè)诘貓D上繪制了Flame病毒的感染情況：

上圖顯示伊朗是Flame病毒的重災(zāi)區(qū)。實(shí)際上，在過去至少兩年中，F(xiàn)lame病毒已經(jīng)感染了伊朗、黎巴嫩、敘利亞、蘇丹、其他中東和北非國家的相應(yīng)目標(biāo)計(jì)算機(jī)系統(tǒng)。此威脅的攻擊目標(biāo)僅限于一些個(gè)人、組織和機(jī)構(gòu)，是極具針對(duì)性的威脅。

作為安全公司，邁克菲將對(duì)Flame病毒展開長期分析，以確定其完整的功能和特性。幫助大家更好地了解這一威脅并部署安全防護(hù)措施。