火焰 (惡意軟件)
火焰病毒(Flame,又名Flamer,sKyWIper,Skywiper)是一種2012年5月被發現的惡意軟件,也譯作「超級火焰」,以Lua和C++語言寫成,利用微軟公司Windows作業系統的兩處瑕疵侵入電腦並注入其他程序。大約從2010年開始散播,其所包含的代碼量約是之前發現的震網病毒(Stuxnet)或毒區病毒(Duqu)的20倍,被稱為有史以來最複雜的惡意軟件,在中東大範圍傳播。[1]
火焰病毒偽裝成微軟開發的合法程式,侵入個人電腦、竊取私密資料。主要功能在收集個人資訊,並上傳到網路,以數種方式進行活動,包括錄音、擷取螢幕畫面、侵入鄰近的藍牙裝置等。大小約為20MB,包含數個模組,包括解壓縮程式庫、SQL資料庫、和Lua虛擬器等。[2]因為它在收到指令的情況下,會自我刪除,而且其注入其他程序後,會將自己所在內存區段設置為用戶態不可讀、用戶態不可寫、用戶態不可執行,所以很難被用戶態下的其它程序偵測出來。[3]
伊朗方面於2012年4月時,稱該病毒被其創造者命名為Wiper[4] 。而卡巴斯基則說它和Wiper沒有什麼關係[5]。儘管以色列副部長摩西的某段講話似乎暗示了以色列是始作俑者,但目前以色列在受害數量上僅次於伊朗的189起,為89起[6][7]。
報導聲稱該惡意軟體由美國國家安全局和以色列合作研發[8][9]。類似震網病毒,可能都在Olympic Games計劃下開發出來[10]。印度時報報道,目前有80家來自亞洲、歐洲和北美的服務器在操作這種病毒。美國和以色列都正式否認與此病毒有關。[11] [12]
微軟推出KB2718704更新程序來防範該病毒。[13][14]
值得注意的是,該惡意軟件中包含了一個偽造的數字簽名。被偽造簽名的主體是Microsoft Enforced Licensing Intermediate PCA數字證書認證機構[15]。由於微軟在終端服務授權服務證書中,錯誤地啟用了代碼簽名功能,並且儘管早在2008年便有人成功地偽造了使用MD5作為簽名算法的數字證書[16],這一證書卻依舊在使用MD5作為簽名算法。這使得偽造該證書變得比較容易。此惡意軟件的開發者成功地通過選定前綴攻擊法偽造了這一證書,並用於簽名該惡意軟件,使得它看起來像是來自微軟。[17]
屬性 | 值 |
---|---|
版本 | V3 |
序列號 | 3a ab 11 de e5 2f 1b 19 d0 56 |
簽名算法 | md5RSA |
簽名散列算法 | md5 |
頒發者 | CN = Microsoft Root Authority,OU = Microsoft Corporation,OU = Copyright (c) 1997 Microsoft Corp. |
有效期起始 | 2009年12月10日11:55:35 |
有效期終止 | 2016年10月23日18:00:00 |
主體 | CN = Microsoft Enforced Licensing Intermediate PCA,OU = Copyright (c) 1999 Microsoft Corp.,O = Microsoft Corporation,L = Redmond,S = Washington,C = US |
主體公鑰 | 30 82 01 0a 02 82 01 01 00 fa c9 3f 35 cb b4 42 4c 19 a8 98 e2 f4 e6 ca c5 b2 ff e9 29 25 63 9a b7 eb b9 28 2b a7 58 1f 05 df d8 f8 cf 4a f1 92 47 15 c0 b5 e0 42 32 37 82 99 d6 4b 3a 5a d6 7a 25 2a 9b 13 8f 75 75 cb 9e 52 c6 65 ab 6a 0a b5 7f 7f 20 69 a4 59 04 2c b7 b5 eb 7f 2c 0d 82 a8 3b 10 d1 7f a3 4e 39 e0 28 2c 39 f3 78 d4 84 77 36 ba 68 0f e8 5d e5 52 e1 6c e2 78 d6 d7 c6 b9 dc 7b 08 44 ad 7d 72 ee 4a f4 d6 5a a8 59 63 f4 a0 ee f3 28 55 7d 2b 78 68 2e 79 b6 1d e6 af 69 8a 09 ba 39 88 b4 92 65 0d 12 17 09 ea 2a a4 b8 4a 8e 40 f3 74 de a4 74 e5 08 5a 25 cc 80 7a 76 2e ee ff 21 4e b0 65 6c 64 50 5c ad 8f c6 59 9b 07 3e 05 f8 e5 92 cb d9 56 1d 30 0f 72 f0 ac a8 5d 43 41 ff c9 fd 5e fa 81 cc 3b dc f0 fd 56 4c 21 7c 7f 5e ed 73 30 3a 3f f2 e8 93 8b d5 f3 cd 0e 27 14 49 67 94 ce b9 25 02 03 01 00 01 |
增強密鑰用法 | 代碼簽名(1.3.6.1.5.5.7.3.3) 許可證密鑰包(1.3.6.1.4.1.311.10.6.1) 授權服務器驗證(1.3.6.1.4.1.311.10.6.2) |
頒發者標識 | 證書頒發者:CN=Microsoft Root Authority, OU=Microsoft Corporation, OU=Copyright (c) 1997 Microsoft Corp. 證書序列號:00 c1 00 8b 3c 3c 88 11 d1 3e f6 63 ec df 40 |
主體標識 | 6a 97 e0 c8 9f f4 49 b4 89 24 b3 e3 d1 a8 22 86 aa d4 94 43 |
密鑰使用 | 數字簽名 證書籤名 離線證書吊銷列表簽名 證書吊銷列表簽名(86) |
基本限制 | 主體類型:數字證書認證機構 路徑長度限制:無 |
指紋算法 | sha1 |
指紋 | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
注釋
- ^ 最复杂电脑病毒“火焰”曝光已入侵中东多国. 中國廣播網. 2012-05-30 [2012-05-30]. (原始內容存檔於2016-03-06).
- ^ 谨防超级火焰病毒Flame和“暴雷”漏洞威胁. 浙江省公安廳. 2012-07-02 [2012-07-02].[永久失效連結]
- ^ sKyWIper: A Complex Malware for Targeted Attacks (PDF). Budapest University of Technology and Economics. 28 May 2012 [29 May 2012]. (原始內容 (PDF)存檔於2012年5月30日).
- ^ 存档副本. [2012-05-31]. (原始內容存檔於2012-05-30).
- ^ Meet ‘Flame,’ The Massive Spy Malware Infiltrating Iranian Computers. [2012-05-31]. (原始內容存檔於2014-03-26).
- ^ Flame: Massive cyber-attack discovered, researchers say. [2012-05-31]. (原始內容存檔於2019-04-09).
- ^ 全新电脑病毒“火焰”攻击伊朗能源设施. [2012-05-31]. (原始內容存檔於2016-08-18).
- ^ U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say. 華盛頓郵報. 2012-06-20 [2012-06-30]. (原始內容存檔於2021-04-15).
- ^ 華盛頓郵報:美以研發Flame病毒攻擊伊朗. 新浪香港. 2012-06-20 [2012-06-30]. (原始內容存檔於2014-03-09).
- ^ 病毒「火焰」美以網路戰祕密武器. 中國時報. 2012-06-21 [2012-06-21]. (原始內容存檔於2012-07-04).
- ^ Tsukayama, Hayley. Flame cyberweapon written using gamer code, report says. The Washington Post. 31 May 2012 [31 May 2012]. (原始內容存檔於2020-06-01).
- ^ Flame: Israel rejects link to malware cyber-attack. BBC News. 31 May 2012 [3 June 2012]. (原始內容存檔於2021-01-26).
- ^ 未经授权的数字证书可能允许欺骗. [2014-03-18]. (原始內容存檔於2014-12-19).
- ^ Microsoft Security Advisory (2718704):Unauthorized Digital Certificates Could Allow Spoofing. [2014-03-18]. (原始內容存檔於2014-03-30).
- ^ Microsoft releases Security Advisory 2718704. Microsoft. 3 June 2012 [4 June 2012]. (原始內容存檔於2012-06-07).
- ^ Sotirov, Alexander; Stevens, Marc; Appelbaum, Jacob; Lenstra, Arjen; Molnar, David; Osvik, Dag Arne; de Weger, Benne. MD5 Considered Harmful Today. 30 December 2008 [4 June 2011]. (原始內容存檔於2017-09-20).
- ^ Stevens, Marc. CWI Cryptanalist Discovers New Cryptographic Attack Variant in Flame Spy Malware. Centrum Wiskunde & Informatica. 7 June 2012 [9 June 2012]. (原始內容存檔於2017-02-28).