El troyano Flame arma virtual más peligrosa

  • Categoría: Noticias
  • Publicado hace más de 4 años
El troyano Flame arma virtual más peligrosa









Después de analizar el funcionamiento de Stuxnet se confirmó que sus virus y troyanos no eran herramientas de simples criminales, sino también armas usadas por gobiernos para espiar a sus enemigos. Ahora, según los laboratorios de Kaspersky, existe una nueva arma virtual mucho más sofisticada que las anteriores que ha sido bautizada como Flame, y que podría no sólo instalar métodos de acceso a ordenadores Windows (backdoor) y espiar el tráfico de una red (sniffer), sino que también podría obtener acceso a datos en teléfonos cercanos por medio de Bluetooth, copiarse a sistemas de almacenamiento USB y hasta grabar conversaciones usando el micrófono de los ordenadores infectados.


Dicen que los inicios de Flame se han podido rastrear hasta el año 2010, siendo un software tan complicado que podríamos necesitar hasta una década para descubrir el daño que podría causar o haber causado.


Esta herramienta para la guerra electrónica estaría destinada a espiar a países como Irán y Siria, así como a otras potencias de la región, pero ya que puede instalarse y funcionar sin ser detectada, no nos asombraría que el software comenzara a expandirse por el resto del mundo.


Preguntas generales




¿Qué es exactamente, un gusano? una puerta trasera? ¿Qué hacer?


La llama es un conjunto de herramientas de ataque sofisticado, que es mucho más compleja de lo que Duqu. Se trata de una puerta trasera, un troyano, y tiene como características de gusano, lo que le permite replicarse en una red local y en medios extraíbles si se le ordena que por su amo.


El punto inicial de entrada de la llama no se conoce - se sospecha que se despliega a través de ataques dirigidos, sin embargo, no hemos visto el vector original de cómo se propaga. Tenemos algunas sospechas sobre el posible uso de la vulnerabilidad MS10-033, pero no podemos confirmar esto ahora.


Una vez que el sistema está infectado, la llama comienza un complejo conjunto de operaciones, incluyendo la inhalación del tráfico de la red, realizar capturas de pantalla, grabar conversaciones de audio, interceptar el teclado, y así sucesivamente. Todos estos datos están disponibles a los operadores a través del enlace a la llama de comando y control de los servidores.


Más tarde, los operadores pueden optar por subir nuevos módulos, que amplían la funcionalidad de la llama. Hay alrededor de 20 módulos en total y con el propósito de la mayoría de ellos aún está siendo investigado.


¿Que sofisticada es el virus?


En primer lugar, la llama es un enorme paquete de módulos que comprenden casi 20 MB de tamaño cuando esté plenamente operativo. Debido a esto, es una pieza extremadamente difícil de dañino para analizar. La razón por la llama es tan grande se debe a que incluye muchos diferentes bibliotecas, como para la compresión (zlib, libbz2, PPMD) y la manipulación de bases de datos (sqlite3), junto con una máquina virtual de Lua.


Lua es una secuencia de comandos (de programación) el lenguaje , que puede muy fácilmente ser ampliada y que la interfaz con el código C. Muchas partes de la llama tienen una lógica de orden superior escrita en Lua - con subrutinas de ataque efectivas y las bibliotecas compiladas a partir de C + +.


La parte efectiva Lua código es bastante pequeño en comparación con el código general. Nuestra estimación del "costo" de desarrollo en Lua es más de 3000 líneas de código, que por medio de un desarrollador debe tomar alrededor de un mes para crear y depurar.
Además, hay internos utilizados con bases de datos locales anidados consultas SQL, los métodos múltiples de codificación, algoritmos diferentes de compresión, uso de Windows Management Instrumentation de secuencias de comandos, secuencias de comandos por lotes y más.


Ejecutar y depurar el código malicioso es también no es trivial, ya que no es una aplicación ejecutable convencional, pero varios archivos DLL que se cargan en el arranque del sistema.


En general, podemos decir que la llama es una de las amenazas más complejas que se haya descubierto.


¿Cómo es esto diferente o más sofisticado que cualquier otro troyano de puerta trasera? ¿Hace cosas específicas que son nuevas?


En primer lugar, el uso de Lua en el malware es poco común. Lo mismo ocurre con el tamaño más grande de este conjunto de herramientas de ataque. Generalmente, el malware actual es pequeño y está escrito en lenguajes de programación muy compactos, que hacen que sea fácil de ocultar. La práctica de ocultamiento a través de grandes cantidades de código es una de las características nuevas de la llama.
El registro de datos de audio desde el micrófono interno también es bastante nueva. Por supuesto, existe otro tipo de malware que puede grabar audio, pero la clave aquí es la integridad de la llama - la habilidad de robar los datos de maneras tan diferentes.


Otra característica curiosa de la llama es el uso de dispositivos Bluetooth. Cuando Bluetooth está disponible y la opción correspondiente está activada en el bloque de configuración, que recoge información sobre los dispositivos que se pueden descubrir cerca de la máquina infectada. Dependiendo de la configuración, también puede encender la máquina infectada en un faro, y hacerlo visible a través de Bluetooth y de proporcionar información general sobre el estado de malware codificado en la información del dispositivo.


¿Cuáles son los notables robo de información?


A pesar de que todavía están analizando los diferentes módulos, la llama parece ser capaz de grabar audio a través del micrófono, si hay alguno presente. Se almacena audio grabada en un formato comprimido, que lo hace a través del uso de una biblioteca pública-fuente.


Los datos registrados se envía al C & C a través de un canal SSL encubierta, en un horario regular. Todavía estamos analizando esto, más información estará disponible en nuestro sitio web en breve.


El malware tiene la capacidad de tomar imágenes de forma regular, lo que es más, toma capturas de pantalla, cuando algunos "interesantes" las aplicaciones se ejecutan, por ejemplo, IM. Capturas de pantalla se almacenan en formato comprimido y regularmente envía al servidor C & C - al igual que las grabaciones de audio.


Todavía estamos analizando este componente y se publicará más información cuando esté disponible.


Por qué se llama la llama? ¿Cuál es el origen de su nombre?


El malware es un conjunto de herramientas llama ataque a gran compone de varios módulos. Uno de los módulos principales se llama el nombre - es el módulo encargado de atacar e infectar máquinas adicionales.


¿Quién es responsable?


No hay información en el código o de otro tipo que puedan vincular Llama a cualquier Estado-nación específica. Por lo tanto, al igual que con Stuxnet y Duqu, sus autores siguen siendo desconocidos.


¿Por qué lo hacen?


Para la recolección sistemática de información sobre las operaciones de los estados determinados en el Medio Oriente, incluyendo Irán, Líbano, Siria, Israel y así sucesivamente. Aquí está un mapa de las 7 principales países afectados:
¿Cuáles son las formas que infecta las computadoras? Memorias USB? ¿Fue la explotación de vulnerabilidades distintas de la cola de impresión para eludir la detección?


Llama parece tener dos módulos diseñados para infectar las memorias USB, llamados "Autorun Infector" y "Euforia". No hemos visto en acción, sin embargo, tal vez debido al hecho de que la llama parece estar deshabilitado en los datos de configuración. Sin embargo, la capacidad de infectar las memorias USB que existe en el código, y es utilizando dos métodos:


Autorun Infector: el "Autorun.inf" método de Stuxnet temprana, a través del "shell32.dll" "truco". ¿Cuál es la clave aquí es que el método específico que se utiliza sólo en Stuxnet y no se encuentra en cualquier otro tipo de malware desde entonces.
Euforia: difusión de los medios de comunicación que utilizan un "punto de unión" directorio que contiene los módulos de malware y un archivo LNK que desencadenan la infección cuando se abre este directorio. Nuestras muestras contenían los nombres de los archivos pero no contiene el propio LNK.


Además de éstos, la llama tiene la capacidad de replicarse a través de redes locales. Lo hace utilizando la siguiente:1. La vulnerabilidad de la impresora MS10-061 explotada por Stuxnet - usando un archivo especial de MOF, ejecutado en el sistema atacado mediante WMI.
2. Las tareas de puestos de trabajo remotos.
3. Cuando la llama es ejecutado por un usuario que tenga derechos administrativos en el controlador de dominio, también es capaz de atacar a otros equipos en la red: crea cuentas de usuario de puerta trasera con una contraseña predefinida que se utiliza para copiarse a sí mismo a estas máquinas.













Comenten¡¡¡¡¡
El troyano Flame arma virtual más peligrosa
0 Puntos Score: 0/10
Visitas: 691 Favoritos: 4
5 Comentarios El troyano Flame arma virtual más peligrosa
mmmmmmmm.. no tenia ni idea de tal vez virus gracias por la info...  
Cita corpions: Mostrar
odio el traductor de google,pero gracias por la info....eso es lo importante  
buena info, ahora hay que estar mas atentos que nunca con los autorun.inf de los pendrives
Para dejar un comentario Registrate! o.. eres ya usuario? Accede!