Symantec pokračuje v analýze nechvalně proslulého škodlivého kódu Flamer a zaměřil se na funkce spojené se zneužíváním Bluetooth a na způsoby šíření. (TZ)
Flamer je pravděpodobně první škodlivý kód pro systém Windows, který zneužíval Bluetooth. Proč útočníci využili právě tuto funkci je ovšem stále záhadou. V důsledku analýzy společnosti Symantec se jeví pravděpodobná jedna z následujících tří variant:
- Zmapovat sociální a profesní kontakty infikovaných uživatelů s použitím jiných zařízení s Bluetooth.
- Identifikovat, kde se fyzicky nachází uživatelé s infikovanými přístroji, a určit jejich vzdálenost od důležitých cílů. Bez ohledu na to, jestli tyto klíčové cíle jsou lidé nebo počítačové systémy.
- Připojit se k jiným přístrojům s Bluetooth a krást z nich informace, využít je k odposlouchávání nebo využívat jejich datové připojení k přenosu již ukradených dat.
Ačkoli přesné záměry přidání Bluetooth konektivity do kódu hrozby zatím není možné určit, tyto tři pravděpodobné scénáře využití představují hrozbu Flamer jako propracovaný a pokročilý nástroj špionáže. Více informací se dočtete ve článku na blogu společnosti Symantec: http://www.symantec.com/connect/blogs/flamer-recipe-bluetoothache
Tým Symantec Security Response zároveň objevil nové techniky, které Flamer používal k šíření z počítače na počítač. Flamer se automaticky nešířil, pokud nedostal pokyny od útočníků. Většina metod používaných pro šíření je velmi přímočará, ale Smynatec zaznamenal i několik novinek:
· Šíření prostřednictvím sítě sdílením zachycených přihlašovacích údajů, včetně domény správce
· Šíření prostřednictvím zranitelnosti Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (CVE-2010-2729), dříve použilStuxnet
· Šíření prostřednictvím přenosných médií – využit speciálně vytvořený soubor autorun.inf, dříve použil Stuxnet
· Šíření prostřednictvím přenosných médií s využitím speciálně vytvořeného adresáře, který obsahoval skryté soubory, výsledkem mohlo být automatické spuštění na prohlíženém USB disku a zneužití zranitelnosti Microsoft Windows Shortcut ‚LNK/PIF‘ Files Automatic File Execution Vulnerability (CVE-2010-2568), zranitelnost dříve zneužil Stuxnet
Více informací najdete ve článku na stránkách společnosti Symantec: http://www.symantec.com/connect/blogs/w32flamer-spreading-mechanism-tricks-and-exploits
Flamer je velmi důmyslná hrozba a lze očekávat, že další analýzou budou odhaleny nové zajímavé triky a techniky.