如上表所示�����,由該框架支撐的其他幾種威脅目前仍然無法識別���,它們很可能是Flamer的未知變體,或者也許是完全不同的惡意軟件�。
一旦被發(fā)現,這兩個服務器就會被設置為只記錄少量信息�,系統會禁止任何不必要的日志記錄事件,數據庫中的記錄也會定期刪除?����,F有的日志文件也會定期地從服務器上安全刪除�����。一旦第三方捕獲該服務器,這些設置便可以干擾相關的調查�。
但是,這些攻擊者并不是無懈可擊的���,分析人員找到了顯示服務器設置的完整歷史文件�����。此外����,數據庫中一組有限的加密記錄顯示����,被感染的計算機來自中東 地區(qū)。我們還能確定4個作者的昵稱分別為DXX�、HXX、OXX和RXX�����,他們分別負責不同階段的代碼和整個項目的不同方面�,記錄顯示�,整個項目最早啟動 于2006年���。
該框架的設置顯示了各攻擊者之間明確的分工——哪些負責設置服務器(管理員)���、哪些是負責通過控制面板上載數據包和下載被竊取的數據(操作者)、哪 些擁有私人密鑰能夠解碼被竊取的數據(攻擊者)�。由于整個過程利用數據安全分割技術,并經過了精心的設計����,操作者本身可能實際上并不十分清楚被竊取的數據 的內容����。這種結構可以反映出,這是一個有大量資金支持���,且有組織的攻擊行為�����。
圖:各攻擊者之間有明確的職責分工
盡管控制者試圖在被第三方捕獲該服務器時極力阻止相關信息泄露�����,我們還是能夠確定��,創(chuàng)建在2012年5月的服務器在2012年5月底發(fā)送了一個模塊�,命令Flamer“自殺”,也就是從計算機上將自己刪除���。通過被感染的蜜罐系統����,我們發(fā)現了這一操作��。
最后����,控制面板需要一個散列(hash)存儲的密碼。盡管我們努力嘗試將該散列變成純文本�����,但最終還是不能確定該密碼����。如果誰能從以下散列中解壓密碼,請與賽門鐵克公司聯系:密碼散列:27934e96d90d06818674b98bec7230fa
此次C&C服務器分析工作是由賽門鐵克����、CERT-Bund/BSI��、IMPACT和卡巴斯基共同完成的����。點擊此處 了解賽門鐵克對C&C服務器的完整分析報告�,其中詳細分析了:C&C服務器的設置情況、2006年起至少由4個作者開發(fā)的網絡應用程序����、操作者使用的控制面板,以及驅動該應用的數據庫��。
