用户名:  密码:  验证码: 验证码  注册  找回
RSS
无双网
 2020年04月07日 星期二  您现在位于: 首页 → 技术文栏 → Flame恶意软件被设计为可窃取图纸等文件-网络软件(互联...

Flame恶意软件被设计为可窃取图纸等文件

2012年06月05日    出处:solidot
在Flame恶意程序上周曝光之后,幕后攻击者立即关闭了80多个命令控制服务器。服务器域名是采用化名注册,每个化名最多注册4个域名。上传到服务器的数据包括了计算机辅助软件绘制图纸、电子邮件和PDF文档。   域名最早注册时间是在2008年,使用至少22个不同IP地址,服务器运行Ubuntu Linux发行版。卡巴斯基与GoDaddy和OpenDNS合作,将域名重定向到其控制的服务器上,收集到了恶意程序上传的数据。

[align=center]
[/align]

安全研究人员发现,Flame和Duqu有许多共同特征,都对受感染机器上的AutoCAD绘图文件感兴趣。为了限制窃取的文件数量和避免上传无关的文件,Flame会从PDF、电子表格和Word文档中提取1KB样本,压缩和上传样本到命令控制服务器,然后攻击者发出指令抓取他们感兴趣的特定文档。

[align=center]
[/align]

[align=center]
[/align]

[align=center]


[/align]

与Duqu不同之处是,Duqu会利用SSH端口转发伪装攻击者的真实身份,而Flame则是直接上传到服务器,换句话说,它的幕后攻击者没有Duqu的操作者谨慎。

[align=center][table]
[tr]
[td]
 
[/td]
[td]
Duqu[/td]
[td]
Flame[/td]
[/tr]
[tr]
[td]
Server OS[/td]
[td]
CentOS Linux[/td]
[td]
Ubuntu Linux[/td]
[/tr]
[tr]
[td]
Control scripts[/td]
[td]
Running on remote server, shielded through SSH port forwarding[/td]
[td]
Running on servers[/td]
[/tr]
[tr]
[td]
Number of victims per server[/td]
[td]
2-3[/td]
[td]
50+[/td]
[/tr]
[tr]
[td]
Encryption of connections to server[/td]
[td]
SSL + proprietary AES-based encryption[/td]
[td]
SSL[/td]
[/tr]
[tr]
[td]
Compression of connections[/td]
[td]
No[/td]
[td]
Yes, Zlib and modified PPMD[/td]
[/tr]
[tr]
[td]
Number of known C&C’s domains [/td]
[td]
n/a[/td]
[td]
80+ [/td]
[/tr]
[tr]
[td]
Number of known C&C IPs[/td]
[td]
5[/td]
[td]
15+[/td]
[/tr]
[tr]
[td]
Number of proxies used to hide identity[/td]
[td]
10+[/td]
[td]
Unknown[/td]
[/tr]
[tr]
[td]
Time zone of C&C operator[/td]
[td]
GMT+2 / GMT+3[/td]
[td]
Unknown[/td]
[/tr]
[tr]
[td]
Infrastructure programming[/td]
[td]
.NET[/td]
[td]
Unknown[/td]
[/tr]
[tr]
[td]
Locations of servers[/td]
[td]
India, Vietnam, Belgium, UK, Netherlands, Switzerland, Korea, etc...[/td]
[td]
Germany, Netherlands, UK, Switzerland, Hong Kong, Turkey, etc...[/td]
[/tr]
[tr]
[td]
Number of built-in C&C IPs/domain in malware[/td]
[td]
1[/td]
[td]
5, can update list[/td]
[/tr]
[tr]
[td]
SSL certificate[/td]
[td]
self-signed[/td]
[td]
self-signed[/td]
[/tr]
[tr]
[td]
Servers status[/td]
[td]
Most likely hacked[/td]
[td]
Most likely bought[/td]
[/tr]
[tr]
[td]
SSH connections[/td]
[td]
no[/td]
[td]
yes[/td]
[/tr]

[/table]
[/align]
 
 发布人:asp126
 → 推荐给我的好友
上篇文章:分析称Win8与Office组合将成微软平板市场...
下篇文章:用水解谜 迪斯尼公布《Where’s My Wate...
发表评论
  → 评论内容 (点击查看)   共0条评论,每页显示5条评论   浏览所有评论
(没有相关评论)
  → 发表我的评论 (点击发表)
热门文章
 保存webbrowser中的HTML内...
 用VB6.0设计简易赛车游戏
 MSFlexGrid使用技巧一例
 添加红月装备的详细教程 (包括装备 武...
 游戏对照表
 Win2003+Discuz!5.5+II...
 全部DLL下载
 能否判断动态数组有没有被分配过
 三星获出租车服务系统专利 可快速查看驾...
 [多图]15项可能延续到2030年的科...
最新文章
 [ODBC SQL Server Driv...
 评论:115网盘的何去何从
 我科学家实现百公里量级自由空间量子隐形...
 中国智能手机出货量占全球27%居世界之...
 Gartner:2012 第二季度西欧 P...
 [多图]华山论剑:当今在世的智商最高的...
 三星获出租车服务系统专利 可快速查看驾...
 [多图]15项可能延续到2030年的科...
 分析称苹果三星专利大战输赢已成定论
 Google终获云操作系统专利
 网站留言· 友情链接·与我在线·网站地图联系我们·管理·TOP 
 陕ICP备14011112号  
 Copyright © 2012 Asp126.com Inc. All Rights Reserved.Processed in 0.000s, 8 queries, 41 Cache,0 Online