サイバー戦争-Stuxnet、Duqu、Flame、Gauss、すべて、すべて、すべて...

「シンボリック」脅威を分析すると、2010年以降、「cyber weapons」というラベルを持つ次の悪意のあるプログラムが検出されていることがわかります。

それらに加えて、いくつかの小さな口径のサンプル:



簡単な特徴
マルウェアStuxnetドゥクガウス
発見日2010年7月2011年9月2012年5月2012年8月
感染数(KSNによる)約18万約20約700約2500
最も多く感染したのはどこですか?インド、インドネシア、イランイラン、インド、スーダン、ベトナム、フランス、オランダ、スイス、ウクライナ、オーストリア、ハンガリー、インドネシア、イギリス(シマンテックによる)イラン、イスラエルレバノン、イスラエル、パレスチナ
初期感染ベクター不明(おそらくUSBフラッシュ);関心のある人へのメールでアドレス指定されたMicrosoft Word文書経由不明、偽のWindows更新メカニズムによる配布方法があります。Microsoft署名により、警告なしにインストールできます。不明
コンピューターの起動時の起動方法署名されたドライバーをサービスとしてダウンロードし、続いて暗号化されたファイルからメインモジュールをロードし、復号化と起動はメモリ内でのみ実行されます署名されたドライバーをサービスとしてダウンロードし、続いて暗号化されたファイルからメインモジュールをロードし、復号化と起動はメモリ内でのみ実行されますメインモジュールはLSA認証パッケージとして登録しますwbemサブシステムをそれ自体にロードするレジストリエントリを変更し、元のwbemライブラリを呼び出します
開発環境(言語)Visual Studio(メインモジュール)Visual Studio、メインモジュールはC言語でオブジェクトアドインを使用して記述されていますC ++、コードの一部はインタプリタ言語Luaで書かれていますC ++
デジタル署名を使用するRealtekC-Media(おそらくJMicron)Microsoft(衝突選択MD5によって作成された証明書)いや
特徴的な機能メインモジュールには、リソースの形でいくつかのコンポーネントが含まれていますコンテナ構造-入れ子人形大きいサイズ-約20 Mb、大量のサードパーティコードを使用「ペイロード」の使用。これは、コンピューターに特定のパス(パス)がある場合にのみ復号化されます
機能的ファイル検索と転送、SCADAシーメンスWinCCシステムの実装ファイルの検索と転送、キーストロークの追跡、ネットワークインフラストラクチャでのデータ収集ファイルの検索と転送、音声情​​報の記録、他のデバイスからの情報のbluetooth傍受を使用ファイルの検索と転送、中東のリモートバンキングサービスのパスワードの傍受、ソーシャルネットワーク、メールサービス、インスタントメッセージングシステムのパスワードの傍受
目的SCADA Siemens WinCCシステムの誤動作ネットワークインフラストラクチャへのその後の実装のためのスパイ活動とデータの準備スパイ社会的影響
他のマルウェアとの類似性起動方法は、Duquの方法と似ています。2009年版のFlameに似たUSB感染モジュールの使用方法です。起動方法はStuxnetの起動方法と似ています2009年のStuxnetバージョンに似たUSB感染モジュール、GaussなどのOCX拡張機能を備えた多くのモジュールを使用FlameのようなOCX拡張を備えた多くのモジュール
推定開発年20092008年20062011

Dell SecureWorksによると、StuxnetとDuquマルウェアのいくつかの要素の類似性は偶然です。 マルウェアの他のサンプルでも同様の方法が使用されています。 StuxnetとDuquを比較するトピックはこちらです。 ガウスとフレイムの関係では、好奇心が強いケースが一般的に関連付けられています。 Kaspesky Labの従業員は、シンクホールルーターを編成しました。 簡単に言えば、マルウェアが独自のものとして認識し始める偽のコントロールセンターを作成することです。 したがって、着信接続のIPアドレスを分析することにより、感染の程度と地理的分布を評価することが可能になります。 場合によっては、これにより、制御を取り、自己破壊のコマンドを与えることもできますが、これはまれです。 シンクホールで、ルーターはGaussとFlameからトラフィックをもたらしました。 また、FireEyeの専門家は、GaussとFlameが同じサーバーにアクセスしていることに気付き、同じ人がマルウェアの開発の背後にいると結論付けました。 少し後に、FireEyeはその誤りと不実表示について公に謝罪しました。
したがって、Stuxnet、Duqu、Flame、およびGaussをリンクしようとする試みはすべて、それほど印象的ではありません。 さらに、さまざまな操作のために新しいマルウェアモデルを開発するにはコストがかかりすぎるため、既存のモデルを変更して、ウイルス対策ツールによる検出の可能性を排除し、モジュールの機能を向上させるだけで十分です。 中東で発生するイベントの氷山の一角のみを観察している可能性があり、これらのマルウェアは、接続されていないさまざまな国または組織によって開発されています。 次の主要なプレーヤーは、サイバー戦争の分野で区別できます:アメリカ、中国、ロシア、イスラエル、韓国。 さらに、地元のプレーヤーがここに参加していることは明らかです-マルウェアのサンプルの一部はDeplhi(Madi、Shamoon、Narilam)で記述されていますが、これは不十分な専門的作業の指標ですが、情報の収集と削除のタスクを正常に完了しています。
要約:

しかし、いずれにせよ、アンチウイルス企業のすべての歪みにもかかわらず、我々は興味を持ってサイバー兵器の開発のプロセスに従います。


Source: https://habr.com/ru/post/J160973/


All Articles