Flame蠕虫样本集分析报告

Flame蠕虫样本集分析报告©安天实验室版权所有第1页/共92页Flame蠕虫样本集分析报告安天实验室文档信息作者安天实验室安全研究与应急处理中心（AntiyCERT）发布日期2012/5背景介绍本报告是对Flame蠕虫样本集的分析。版权说明本文版权属于安天实验室所有。本着开放共同进步的原则，允许以非商业用途使用自由转载。转载时需注明文章版权、出处及链接，并保证文章完整性。以商业用途使用本文的，请联系安天实验室另做授权。联系邮箱：resource@antiy.cn。Flame蠕虫样本集分析报告©安天实验室版权所有第2页/共92页Flame蠕虫样本集分析报告安天实验室安全研究与应急处理中心（AntiyCERT）1事件背景安天实验室于2012年5月28日起陆续捕获到Flame蠕虫的样本，截止到报告发布日安天已经累计捕获Flame蠕虫主文件的变种数6个，其它模块为20多个不同HASH值的样本实体，并通过这些样本进一步生成了其他的衍生文件。安天成立了专门的分析小组，经过持续分析，发现它是采用多模块化复杂结构实现的信息窃取类型的恶意软件。其主模块文件大小超过6MB。包含了大量加密数据、内嵌开源软件代码（如Lua等）、漏洞攻击代码、模块配置文件、多种加密压缩算法，信息盗取等多种模块。在漏洞攻击模块中发现了Stuxnet使用过的USB攻击模块，Stuxnet事件是发生在2010年针对伊朗核设施的APT攻击事件[1]。据外界现有分析，该恶意软件已经非常谨慎地运作了至少两年时间[2]，它不但能够窃取文件，对用户系统进行截屏，通过USB传播禁用安全厂商的安全产品，并可以在一定条件下传播到其他系统，还有可能利用微软Windows系统的已知或已修补的漏洞发动攻击，进而在某个网络中大肆传播。目前业内各厂商对该蠕虫的评价如下：McAfee认为此威胁是Stuxnet和Duqu攻击的继续[3]；卡巴斯基实验室则认为Flame攻击是目前发现的最为复杂的攻击之一[4]，它是一种后门木马并具有蠕虫的特征；赛门铁克认为，Flame与之前两种威胁Stuxnet和Duqu一样，其代码非一人所为，而是由一个有组织、有资金支持并有明确方向性的网络犯罪团体所编写。Flame蠕虫文件信息文件名文件MD5与大小功能mssecmgr.ocxb51424138d72d343f22d03438fc9ced5(1,236,992字节)0a17040c18a6646d485bde9ce899789f(6,172,160字节)ee4b589a7b5d56ada10d9a15f81dada9(892,417字节)e5a49547191e16b0a69f633e16b96560(6,166,528字节)bdc9e04388bda8527b398a8c34667e18(1,236,992字节)37c97c908706969b2e3addf70b68dc13(391,168字节)主模块运行后会将其资源文件中的多个功能模块解密释放出来，并将它们注入到多个系统进程中。它通过调用Lua来执行脚本完成指定功能。advnetcfg.ocxf0a654f7c485ae195ccf81a72fe083a2(643,072字节)8ed3846d189c51c6a0d69bdc4e66c1a5(421,888字节)bb5441af1e1741fca600e9c433cb1550(643,944字节)由主模块释放：截取屏幕信息。Flame蠕虫样本集分析报告©安天实验室版权所有第3页/共92页文件名文件MD5与大小功能msglu32.ocxd53b39fb50841ff163f6e9cfd8b52c2e(1,721,856字节)2512321f27a05344867f381f632277d8(1,729,536字节)由主模块释放：遍历系统中的各种类型的文件，读取特定文件类型文件的信息，将其写入到SQL数据库中，同时也可以收集文件中与地域性相关的一些信息。nteps32.ocxc9e00c9d94d1a790d5923b050b0bd741(827,392字节)e66e6dd6c41ece3566f759f7b4ebfa2d(602,112字节)5ecad23b3ae7365a25b11d4d608adffd(827,392字节)由主模块释放：用来键盘记录和截取屏幕信息。对一些邮件域名进行监控。rpcns4.ocx(soapr32.ocx)296e04abb00ea5f18ba021c34e486746(160,768字节)1f9f0baa3ab56d72daab024936fdcaf3(188,416字节)cc54006c114d51ec47c173baea51213d(253,952字节)e6cb7c89a0cae27defa0fd06952791b2(349,596字节)用来收集信息的功能模块。获取系统中的一些信息，例如：安装的软件信息、网络信息、无线网络信息、USB信息、时间以及时区信息等。comspol32.ocx20732c97ef66dd97389e219fc0182cb5(634,880字节)分析中。00004784.dll(jimmy.dll)ec992e35e794947a17804451f2a8857e(483,328字节)是用来收集用户计算机信息，包括窗体标题、注册表相关键值信息、计算机名，磁盘类型等。wusetupv.exe1f61d280067e2564999cac20e386041c(29,928字节)收集本机各个接口的信息、进程信息，注册表键值信息等。DSMGR.DLL(browse32.ocx)2afaab2840e4ba6af0e5fa744cd8f41f(116,224字节)7d49d4a9d7f0954a970d02e5e1d85b6b(458,869字节)用来删除恶意软件所有痕迹，防止取证分析。boot32drv.sys(00004069.exe)06a84ad28bbc9365eb9e08c697555154(49,152字节)它是一个加密数据文件并不是PE文件，加密方式是通过与0xFF做xor操作。表错误!文档中没有指定样式的文字。-1现有Flame蠕虫PE文件与功能一览表Ef_trace.logdstrlog.datmscorest.datsoapr32.ocxwinrt32.dllGRb9M2.batdstrlogh.datmscrypt.datsrcache.datwinrt32.ocxLncache.datfmpidx.binmsglu32.ocxsstab.datwpab32.batTemp~mso2a0.tmpindsvc32.dllmspovst.datsstab0.datwpgfilter.datTemp~mso2a1.tmpindsvc32.ocxmssui.drvsstab1.dat~8C5FF6C.tmpTemp~mso2a2.tmplmcache.datmssvc32.ocxsstab10.dat~DF05AC8.tmpadvnetcfg.ocxltcache.datnt2cache.datsstab11.dat~DFD85D3.tmpadvpck.datm3aaux.datntaps.datsstab12.dat~DFL543.tmpaudfilter.datm3afilter.datntcache.datsstab15.dat~DFL544.tmpFlame蠕虫样本集分析报告©安天实验室版权所有第4页/共92页Ef_trace.logdstrlog.datmscorest.datsoapr32.ocxwinrt32.dllauthcfg.datm3asound.datnteps32.ocxsstab2.dat~DFL546.tmpauthpack.ocxm4aaux.datpcldrvx.ocxsstab3.dat~HLV084.tmpboot32drv.sysm4afilter.datposttab.binsstab4.dat~HLV294.tmpccalc32.sysm4asound.datqpgaaux.datsstab5.dat~HLV473.tmpcommgr32.dllm5aaux.datrccache.datsstab6.dat~HLV751.tmpcomspol32.dllm5afilter.datrpcnc.datsstab7.dat~HLV927.tmpcomspol32.ocxm5asound.datscaud32.exesstab8.dat~KWI988.tmpctrllist.datmixercfg.datscsec32.exesstab9.dat~KWI989.tmpdmmsap.datmixerdef.datsdclt32.exesyscache.dat~TFL848.tmpdomm.datmlcache.datsecindex.datsyscache3.dat~TFL849.tmpdomm2.datmodevga.comsndmix.drvwatchxb.sys~ZFF042.tmpdomm3.datmpgaaux.datmscorest.datwavesup3.drv~a28.tmpdommt.datmpgaud.datmscrypt.datwinconf32.ocx~a38.tmp~dra51.tmp~dra52.tmp~dra53.tmp~dra61.tmp~rei524.tmp~rei525.tmp~rf288.tmp表错误!文档中没有指定样式的文字。-2Flame蠕虫所有衍生文件和其它文件列表功能分析MSSECMGR.OCX主模块分析蠕虫主模块是一个文件名为mssecmgr.ocx的DLL文件，我们发现该模块已有多个衍生版本，文件大小为6M，运行后会连接C&C服务器，并试图下载或更新其它模块。主模块不同时期在被感染的机器上文件名有不同，但扩展名都为“OCX”。运行后的主模块会将其资源文件中的多个功能模块解密释放出来，并将多个功能模块注入到多个进程中，功能模块具有获取进程信息、键盘信息、硬件信息、屏幕信息、麦克风、存储设备、网络、WIFI、蓝牙、USB等多种信息的功能。所记录的信息文件存放在%Windir%\temp\下。该蠕虫会先对被感染系统进行勘察，如果不是其想要的攻击对象，它将会自动从被感染系统卸载掉。蠕虫最有可能是通过欺骗微软升级服务器对本地网络传播和通过一个USB接入设备进行传播。蠕虫还能够发现有关其周边设备的信息。通过蓝牙装置，它会寻找其它设备，比如手机或笔记本电脑等。此蠕虫和以往蠕虫有很大程度上的不同，首先主模块体积很大，并包含多个功能模块，内嵌Lua解释器和大量Lua脚本，进行高层的功能扩展。启动方式比较特殊，具有多种压缩和加密方式。1.本地行为1)添加注册表：HKLM_SYSTEM\CurrentControlSet\Control\LsaAuthenticationPackages=mssecmgr.ocx注：该键值会达到开机加载mssecmgr.ocx的目的。该文件路径为：%system32%\mssecmgr.ocx。2)文件运行后会释放以下文件：通过对“146”资源进行释放并加载运行，以下为资源释放的模块：文件MD5Flame蠕虫样本集分析报告©安天实验室版权所有第5页/共92页文件MD5%System32%\advnetcfg.ocxBB5441AF1E1741FCA600E9C433CB1550%System32%\boot32drv.sysC81D037B723ADC43E3EE17B1EEE9D6CC%System32%\msglu32.ocxD53B39FB50841FF163F6E9CFD8B52C2E%Syste32%\nteps32.ocxC9E00C9D94D1A790D5923B050B0BD741%Syste32%\soapr32.ocx29