Avviso di epidemia: Flamer


Nel corso degli ultimi giorni, abbiamo analizzato una minaccia potenziale emergente che sta funzionando con discrezione da almeno due anni. In merito a questa minaccia siamo stati contattati da Crysys che ha pubblicato una propria analisi. La minaccia è stata indicata da CrySys come 'Skywiper'. Vi sono indicazioni che W32.Flamer sia la stessa minaccia descritta recentemente dall'Iranian National CERT. La nostra analisi dei campioni recuperati rivela un codice complesso che utilizza diversi componenti. A un primo sguardo, il file eseguibile sembra benigno, ma un'indagine più accurata rivela funzionalità nocive nascoste con abilità.

La complessità del codice all'interno di questa minaccia è pari a quella osservata in Stuxnet e Duqu, senza dubbio le due forme di malware più complesse finora analizzate. Come nel caso delle due minacce precedenti, è probabile che questo codice non sia stato scritto da un singolo individuo, ma da un gruppo ben organizzato e finanziato di persone con un obiettivo ben chiaro. Certi nomi di file associati a questa minaccia sono identici a quelli descritti in un incidente che ha coinvolto il Ministero del petrolio iraniano.

Anche se siamo tuttora in fase di analisi, la funzionalità principale che abbiamo rilevato è quella di ottenere informazioni e dati. La telemetria iniziale indica che gli obiettivi di questa minaccia sono situati principalmente nell'Europa Orientale e nel Medio Oriente. I settori di attività o le affiliazioni delle persone prese di mira nono sono ancora chiari. Tuttavia, le prove iniziali indicano che non tutte le vittime sono state colpite per la stessa ragione. Molte sembrano essere state prese di mira per le proprie attività personali piuttosto che per l'azienda in cui sono impiegate. Symantec rileva questa minaccia come W32.Flamer.

Attività della minaccia

Esaminando i report sulle infezioni di uno dei componenti principali e del suo file di configurazione, siamo in grado di stabilire gli obiettivi di W32.Flamer e anche una parziale linea temporale. Tuttavia, è probabile che in seguito a nuove segnalazioni di infezioni la linea temporale e gli obiettivi cambino. Sono stati identificati alcuni file componenti. Questi sono:

  • advnetcfg.ocx
  • ccalc32.sys
  • mssecmgr.sys
  • msglu32.ocx
  • boot32drv.sys
  • nteps32.ocx

Sono state scoperte due varianti del file advnetcfg.ocx. La prima variante risale al settembre 2010. La seconda è comparsa nel febbraio 2011. Anche il file di configurazione ccalc32.sys ha due varianti, entrambe comparse nello stesso periodo del file advnetcfg.ocx.

Figura 1. Linea temporale dell'attività della minaccia

Oltre alla nostra telemetria iniziale, vi sono anche segnalazioni di infezioni non confermate che risalgono al 2007. Ci aspettiamo di confermare queste segnalazioni nel corso dei prossimi giorni.

Figura 2. Distribuzione della minaccia

In base al numero di computer compromessi, gli obiettivi principali di questa minaccia sono situati nella Palestinian West Bank, Ungheria, Iran e Libano. Tuttavia, abbiamo ricevuto anche altre segnalazioni in Austria, Russia, Hong Kong ed Emirati Arabi Uniti. Queste segnalazioni possono indicare un computer colpito che è stato trasportato temporaneamente in un'altra regione, ad esempio, un portatile.  Un dato interessante è che, oltre alle organizzazioni specifiche che sono state colpite, sembra che molti dei computer compromessi siano computer personali utilizzati da connessioni Internet residenziali.

Dettagli sulla minaccia

Nella minaccia sono stati individuati vari componenti che sono attualmente in fase di analisi. Alcuni dei componenti sono stati scritti in modo tale da non apparire esplicitamente nocivi. Non sono presenti dati ad alta entropia o stringhe dall'apparenza sospetta. Il codice stesso è complesso, contribuendo così a rallentare l'analisi. La funzionalità generale comprende la capacità di rubare documenti, acquisire istantanee dei desktop degli utenti, diffondersi attraverso supporti rimovibili e disattivare i prodotti per la sicurezza. Inoltre, in certe condizioni, la minaccia può avere anche la capacità di sfruttare diverse vulnerabilità note e già corrette con patch in ambiente Microsoft Windows al fine di diffondersi in una rete.

La Figura 3 descrive le interazioni dei vari componenti della minaccia identificati finora. Da notare che in altre infezioni i nomi dei file possono cambiare.

Figura 3. Componenti della minaccia

Il file advnetcfg.ocx carica e decrittografa i dati di configurazione da un file denominato ccalc32.sys.  Il file ccalc32.sys è crittografato tramite RC4 con una chiave a 128 bit. Quando la minaccia crea il file ccalc32.sys, questo modifica retroattivamente la relativa data e ora in modo che sia la stessa del file kernel32.dll, un file di sistema di Windows, con l'obiettivo di impedire che venga notato dall'utente. Il file advnetcfg.ocx è anche responsabile della gestione dei comandi impartiti da un terzo componente. L'analisi dei componenti rimanenti non ha ancora identificato quello responsabile della comunicazione con advnetcfg.ocx.

Il file utilizza un metodo complicato per introdursi in winlogon.exe, processi di prodotti per la sicurezza o altri processi selezionati. L'inserimento riguarda vari blocchi di codice definiti in base alle esigenze. In aggiunta, il componente può anche caricare shell32.dll, (una DLL di sistema di Windows), ma una volta caricatala, la sostituisce in memoria con una copia nociva. Il file advnetcfg.ocx è anche in grado di acquisire istantanee ed eseguire determinati trucchi anti-debugging.

Il file mssecmgr.ocx è di grandi dimensioni e contiene funzionalità sostanziali come è illustrato nella Figura 4.

Figura 4. Componenti identificati di mssecmgr.ocx

Il file contiene un interprete LUA, codice SSH e funzionalità SQL. L'implementazione di un interprete LUA rende questo componente estremamente flessibile e configurabile. Esso consente agli aggressori di implementare con rapidità ed efficienza comandi e funzionalità aggiornati. Il file può essere riportato anche nel registro di sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"Authentication Packages" = "mssecmgr.ocx"

In mssecmgr.ocx sono contenuti anche alcuni moduli aggiuntivi, come illustrato nel diagramma.

Il file mssecmgr.ocx è particolarmente interessante in quanto la funzionalità fa riferimento a un file di nome ~DEB93D.tmp. Il file ~DEB93D.tmp è stato associato pubblicamente da ricercatori terzi con un virus 'wiper' che ha causato la disconnessione da Internet di diversi terminali petroliferi iraniani. Il nome di virus 'wiper' è dovuto al fatto che ha cancellato ripetutamente informazioni dai dischi rigidi.

Il file nteps32.ocx è responsabile principalmente dell'acquisizione di istantanee. Esso recupera le informazioni di configurazione da boot32drv.sys. I dati di configurazione, crittografati con 0xFF, definiscono il funzionamento. Ad esempio, specificano la frequenza di acquisizione delle istantanee.

Il file msglu32.sys contiene codice che consente di aprire e rubare dati da vari tipi di documenti, immagini, immagini con dati GPS, presentazioni, file di progetto e disegni tecnici. Simile a mssecmgr.sys, esso contiene anche funzionalità SQL. È interessante notare che questo modulo contiene diversi riferimenti alla stringa 'JIMMY', con messaggi quali 'Jimmy Notice: failed to convert error string to unicode'. Jimmy potrebbe essere il nome in codice del modulo.

All'interno del codice che è stato analizzato finora, sono presenti vari riferimenti alla stringa 'FLAME'. Può trattarsi di un riferimento a determinati attacchi effettuati da varie parti del codice (iniezioni, exploit, ecc.) oppure può essere un'indicazione del nome del progetto di sviluppo del malware. Al momento, non ci sono state ulteriori osservazioni che potrebbero aiutare a individuare l'origine del malware.

La natura modulare di questo malware suggerisce che sia stato creato da un gruppo di sviluppatori con l'obiettivo di mantenere il progetto per un lungo periodo di tempo, molto probabilmente insieme a un differente gruppo di persone che lo utilizza. L'architettura impiegata da W32.Flamer consente agli autori di modificare funzionalità e comportamento all'interno di un componente senza la necessità di rielaborare o perfino conoscere gli altri moduli utilizzati dai controllori del malware. Le modifiche possono essere introdotte come upgrade delle funzionalità, correzioni o semplicemente per eludere i prodotti per la sicurezza.

Analisi e indagini sui vari componenti sono in corso e, a breve, saranno pubblicati ulteriori dettagli tecnici e informazioni sugli attacchi.

 

Fonte: Symantec Security Response