بعد از حمله سایبری به شرکت نفت آزمایشگاه ضدبدافزار ایمن که نخستین آزمایشگاه ضد بدافزار ایرانی میباشد خود را موظف دانست تا همانند حملاتی همچون استاکس نت باز به دنبال راههای شناخت و مقابله با این بدافزار باشد.
منبع : آزمایشگاه ایمن
بعد از حمله سایبری به شرکت نفت آزمایشگاه ضدبدافزار ایمن که نخستین آزمایشگاه ضد بدافزار ایرانی میباشد خود را موظف دانست تا همانند حملاتی همچون استاکس نت باز به دنبال راههای شناخت و مقابله با این بدافزار باشد.
میتوان ویروس شعله را در میان بدافزارها و جاسوسافزارها یکی از خطرناکترین ومخربترین نوع بدافزار دانست، در یک نگاه میتوان مدعی بود که این ویروس بسیار پیشرفتهتر از Stuxnet و DuQu است، ساختار ماژولار و انعطاف پذیر و بسیار پیچیده و رمزگذاری شده به گونهایست که امکان دیباگ و مهندسی معکوس کردن را بسیار دشوار و یا حتی غیرممکن میسازد، این ویروس ظاهرا هر اقدامی را برای مهاجمان فراهم میسازد.
جمع آوری اطلاعات و فرستادن آنها ، نفوذ در شبکههای بزرگ (گاها صنعتی و مهم) ، از بین بردن اطلاعات سیستم آلوده، قدرت جستوجو، تحلیل و پردازش گونهای خاص از فایلها، از کار انداختن آنتیویروسها، امکان ارتباط و ارسال گزارش با مرکز فرماندهی خود و ... اینها تنها بخشی از قابلیتهای ویروس شعله است. در این گزارش بیشتر مواردی را مورد بررسی قرار میدهیم که از دید کثیری از تحلیلگران پنهان مانده است.
با بررسی ویروس شعله میتوان بیان کرد که این ویروس از طریق فلش دیسک انتشار پیدا میکند و همچنین قابلیت منتشر شدن در سطح شبکه را نیز داراست، ویروس شعله برای آلوده ساختن از قابلیت Autorun ویندوز بهره میبرد. نکته جالب توجه در بررسی ویروس شعله این بود که این بدافزار برای بدست آوردن اطلاعات در مورد قابلیتهای پهنای باند در فهرست وب سایتهای خود از سه وب سایت ایرانی استفاده کرده است، که تاکید بر آن دارد، ایران یکی از اهداف اصلی ویروس شعله بوده است.
طیف وسیعی از اطلاعات ثبت شده توسط ویروس شعله عبارت است: اطلاعات عمومی سیستم : local time List of volumes,their serial number and FileSystem name OS Version,Servise Pack Number Computer Name the list of running processes a list of user-mode services and their state a list of application form %AppData% Internet Explorer,Microsoft Outlook and Microsoft Word versions CodePage of the system (can be used for localization) entries form %Program Files% directory Time Zone Information
اطلاعات مربوط به شبکه : information about Remote Desktop Services and Windows Firewall open TCP/UDP Connections information about the interface : MAC Address, IP Address, Gateway Address, Primary WINS Server Address, Secondary WINS Server Address, DHCP Server Address, statistics about the transferred packest, in the case of WiFi adapters their PNP ID, the name of the adapter, subnet mask IP routing information including persistent IP routing tables,IP Fprward Table list of DNS servers the contents of %windir%\system۳۲\drivers\.etc\hosts the SSIDs stored in registry domain information: the domain name to which the computer belongs, user account name, name of computer, group name, the Domain Controller Name the local hostname Dial-Up information Proxy Server list the links from "My Network Places" cached DNS data table the list of visible network share names and their addresses names of files opened in Internet Explorer (from the URL cache) a list of printers to which the computer is connected the POP۳ Server Name and SMTP Mail Address of the accounts used in MS Outlook information about disks(name, free space available,...) cookies from yahoo.com Internet Explorer saved and protected data
ثبت دادههای برنامههای مختلف در رجیستری : Inno Setup VNC PenguiNet RageWork File Manager NetServe FTP Client Jildi FTP Client Cyd FTP Client AceFTP ۳ FreeWare Intersoft Secure Key Agent DameWare Nt Utilities Bitkinex ۲.۷ SmartFTP VanDyke SecureCrt Ipswitch WS_FTP BulletProof Ftp Client CuteFTP FTP Explorer Robo Ftp SoftX.org FTP Client Mssh Emurasoft EmFTP Netx NetserverFtpClient Web Drive From South River Technologies WinScp۲ (Martin Prikryl) TeamViewer RADMin
از سایر ویژگیهای ویروس شعله میتوان به سوء استفاده از حفرههای امنیتی، سرقت کلمات رمز و عبور، متوقف کردن پروسههای امنیتی ، شناسایی و از كار انداختن بیش از ۱۰۰ نرمافزار آنتیویروس، ضد بدافزار، فایروال و ... ، قابلیت اجرا در Windows XP , Vista , ۷ ، پردازش و تحلیل فایلهایی با پسوندهای *.doc, *.docx, *.xls, *.dwg, *.kml *.ppt, *.csv, *.txt, *.url, *.pub, *.rdp, *.ssh, *.ssh۲, *.vsd, *.ora, *.eml تصویربرداری از صفحه نمایشگر ، ضبط صدا و استفاده از آنها برای مقاصد جاسوسی اشاره کرد. این ویروس توانایی از بین بردن خود را نیز دارد.
لازم به ذکر است که قریب به ۹۰% اطلاعاتی که در محافل خبری معتبر و رسمی در مورد ویروس شعله ارائه شده درست بوده و مورد تائید آزمایشگاه ضد بدافزار ایمن میباشد. گرچه برای پی بردن به تمامی اصرار نهفته در این بدافزار نیاز به زمانی به مراتب بیشتر از اینهاست.
آزمایشگاه ضد بدافزار ایمن این افتخار را دارد که تا کنون دو گونه متفاوت از ویروس شعله را شناسایی و ضد بدافزار خود را بروز نموده است.
در پایان لازم است به این نکته اشاره شود که استاکس نت، شعله و ... آخرین تهدیدات و حملات سایبری دشمنان این خاک نخواهند بود، به امید مقابله با چنین تهدیداتی قبل از وقوع اتفاق.