New Flame Malware Version Rises From the Veils of Obscurity

当卡巴斯基实验室的研究人员在2012年撕毁了火星恶意软件套件中保存完好的面具时，它背后的演员迅速触发了威胁的内置杀戮模块，并抹去了80个左右的相关命令和控制服务器。地球，有效地标志着工具包的不合时宜的消亡。或者我们想到了。对于在Chronicle Security工作的AV专家，Alphabet的网络安全部门刚刚在2014年至2016年间发现了一个新的Flame版本 .Chronicle的调查结果显示，Flame在2012年没有死亡，也没有停止运营。

使用新工具搜索旧恶意软件

为了找到Flame 2.0，Chronicle的研究人员Juan-Andres Guerrero-Saade和Silas Cutler一方面利用了YARA恶意软件研究工具，另一方面利用了VirusTotal的恶意软件存储库。他们设计了YARA规则并设置参数来扫描存储在VirusTotal上的大量恶意代码，以搜索最近提交的代码类似于原始Flame恶意软件的样本。追溯查询得到了回报，因为它产生了一个匹配，即2014年初创建的一批文件，然后在2016年提交给VirusTotal。奇怪的是，没有AV解决方案将数据标记为具有潜在危险性。这意味着Flame 2.0具有增强的反检测机制，或者像其原始版本一样，利用未知的零日漏洞，或两者兼而有之。

Flame 2.0的功能如何？

由于与其前身相比，Flame 2.0的加密技术似乎比未来更加轻松，因此全球的安全社区尚未联手将代码破解成碎片。因此，新套件的全部功能是任何人的猜测。但是，如果第一个Flame恶意软件套件的多模块性质是可以接受的，我们可以做出有根据的猜测来看到各种各样的功能，包括但不限于：

• 一种网络流量扫描程序，用于检索管理员登录凭据，为入侵者提供整个本地网络的高级权限
• 运输车辆模块（在Flame 1.0中称为Viper / Wiper，不要与Viper / Wiper恶意软件相混淆，其唯一目的是擦除数据），用于将收集的数据移动到C＆C。
• 蓝牙嗅探器利用受感染机器的蓝牙功能窃取附近其他蓝牙设备的联系号码。
• 一个屏幕捕获模块，允许骗子截取屏幕截图并收集用户的即时消息和电子邮件。
• 一个录音机（通过PC的麦克风）记录PC用户说的每个字。

Flame 1.0具有上面提到的所有功能，然后是一些可以随时打开和关闭的附加插件，这些都是恶意软件演员的心血来潮。

Flame 2.0的地理分布暂时超出了确定性范围。它可以通过针对中东和北非的个人，企业，公共机构和政府机构或者沿着它的道路来反映原始工具包的问题 - 研究人员尚未解决的问题.

回顾性搜索复活已解决的威胁

用于揭示Flame 2.0的追溯方法似乎已经取得了又一次突破。事实上，Chronicle的研究人员将旧的Stuxnet恶意软件与Flowershop（一种2002年开发的恶意软件）联系在一起.Blowethop不仅与Stuxnet共享相似的代码，还在C＆C服务器和目标PC之间使用相同的通信通道。如果未来的调查发现之前认为没有任何共同点的恶意软件系列之间存在联系，那就不足为奇了。