如上表所示,由該框架支撐的其他幾種威脅目前仍然無(wú)法識(shí)別�,它們很可能是Flamer的未知變體���,或者也許是完全不同的惡意軟件。
一旦被發(fā)現(xiàn)�,這兩個(gè)服務(wù)器就會(huì)被設(shè)置為只記錄少量信息,系統(tǒng)會(huì)禁止任何不必要的日志記錄事件��,數(shù)據(jù)庫(kù)中的記錄也會(huì)定期刪除?���,F(xiàn)有的日志文件也會(huì)定期地從服務(wù)器上安全刪除。一旦第三方捕獲該服務(wù)器����,這些設(shè)置便可以干擾相關(guān)的調(diào)查。
但是����,這些攻擊者并不是無(wú)懈可擊的,分析人員找到了顯示服務(wù)器設(shè)置的完整歷史文件�。此外,數(shù)據(jù)庫(kù)中一組有限的加密記錄顯示��,被感染的計(jì)算機(jī)來(lái)自中東 地區(qū)���。我們還能確定4個(gè)作者的昵稱分別為DXX����、HXX��、OXX和RXX����,他們分別負(fù)責(zé)不同階段的代碼和整個(gè)項(xiàng)目的不同方面,記錄顯示�����,整個(gè)項(xiàng)目最早啟動(dòng) 于2006年。
該框架的設(shè)置顯示了各攻擊者之間明確的分工——哪些負(fù)責(zé)設(shè)置服務(wù)器(管理員)��、哪些是負(fù)責(zé)通過(guò)控制面板上載數(shù)據(jù)包和下載被竊取的數(shù)據(jù)(操作者)�����、哪 些擁有私人密鑰能夠解碼被竊取的數(shù)據(jù)(攻擊者)��。由于整個(gè)過(guò)程利用數(shù)據(jù)安全分割技術(shù)��,并經(jīng)過(guò)了精心的設(shè)計(jì)����,操作者本身可能實(shí)際上并不十分清楚被竊取的數(shù)據(jù) 的內(nèi)容。這種結(jié)構(gòu)可以反映出���,這是一個(gè)有大量資金支持�����,且有組織的攻擊行為�����。
圖:各攻擊者之間有明確的職責(zé)分工
盡管控制者試圖在被第三方捕獲該服務(wù)器時(shí)極力阻止相關(guān)信息泄露����,我們還是能夠確定,創(chuàng)建在2012年5月的服務(wù)器在2012年5月底發(fā)送了一個(gè)模塊�����,命令Flamer“自殺”���,也就是從計(jì)算機(jī)上將自己刪除。通過(guò)被感染的蜜罐系統(tǒng)�,我們發(fā)現(xiàn)了這一操作。
最后����,控制面板需要一個(gè)散列(hash)存儲(chǔ)的密碼。盡管我們努力嘗試將該散列變成純文本�����,但最終還是不能確定該密碼�。如果誰(shuí)能從以下散列中解壓密碼,請(qǐng)與賽門鐵克公司聯(lián)系:密碼散列:27934e96d90d06818674b98bec7230fa
此次C&C服務(wù)器分析工作是由賽門鐵克�、CERT-Bund/BSI、IMPACT和卡巴斯基共同完成的�。點(diǎn)擊此處 了解賽門鐵克對(duì)C&C服務(wù)器的完整分析報(bào)告��,其中詳細(xì)分析了:C&C服務(wù)器的設(shè)置情況�����、2006年起至少由4個(gè)作者開(kāi)發(fā)的網(wǎng)絡(luò)應(yīng)用程序����、操作者使用的控制面板��,以及驅(qū)動(dòng)該應(yīng)用的數(shù)據(jù)庫(kù)�。
