New Flame Malware Version Rises From the Veils of Obscurity

當卡巴斯基實驗室的研究人員在2012年撕毀了火星惡意軟件套件中保存完好的面具時，它背後的演員迅速觸發了威脅的內置殺戮模塊，並抹去了80個左右的相關命令和控制服務器。地球，有效地標誌著工具包的不合時宜的消亡。或者我們想到了。對於在Chronicle Security工作的AV專家，Alphabet的網絡安全部門剛剛在2014年至2016年間發現了一個新的Flame版本 .Chronicle的調查結果顯示，Flame在2012年沒有死亡，也沒有停止運營。

使用新工具搜索舊惡意軟件

為了找到Flame 2.0，Chronicle的研究人員Juan-Andres Guerrero-Saade和Silas Cutler一方面利用了YARA惡意軟件研究工具，另一方面利用了VirusTotal的惡意軟件存儲庫。他們設計了YARA規則並設置參數來掃描存儲在VirusTotal上的大量惡意代碼，以搜索最近提交的代碼類似於原始Flame惡意軟件的樣本。追溯查詢得到了回報，因為它產生了一個匹配，即2014年初創建的一批文件，然後在2016年提交給VirusTotal。奇怪的是，沒有AV解決方案將數據標記為具有潛在危險性。這意味著Flame 2.0具有增強的反檢測機制，或者像其原始版本一樣，利用未知的零日漏洞，或兩者兼而有之。

Flame 2.0的功能如何？

由於與其前身相比，Flame 2.0的加密技術似乎比未來更加輕鬆，因此全球的安全社區尚未聯手將代碼破解成碎片。因此，新套件的全部功能是任何人的猜測。但是，如果第一個Flame惡意軟件套件的多模塊性質是可以接受的，我們可以做出有根據的猜測來看到各種各樣的功能，包括但不限於：

• 一種網絡流量掃描程序，用於檢索管理員登錄憑據，為入侵者提供整個本地網絡的高級權限
• 運輸車輛模塊（在Flame 1.0中稱為Viper / Wiper，不要與Viper / Wiper惡意軟件相混淆，其唯一目的是擦除數據），用於將收集的數據移動到C＆C。
• 藍牙嗅探器利用受感染機器的藍牙功能竊取附近其他藍牙設備的聯繫號碼。
• 一個屏幕捕獲模塊，允許騙子截取屏幕截圖並收集用戶的即時消息和電子郵件。
• 一個錄音機（通過PC的麥克風）記錄PC用戶說的每個字。

Flame 1.0具有上面提到的所有功能，然後是一些可以隨時打開和關閉的附加插件，這些都是惡意軟件演員的心血來潮。

Flame 2.0的地理分佈暫時超出了確定性範圍。它可以通過針對中東和北非的個人，企業，公共機構和政府機構或者沿著它的道路來反映原始工具包的問題 - 研究人員尚未解決的問題.

回顧性搜索復活已解決的威脅

用於揭示Flame 2.0的追溯方法似乎已經取得了又一次突破。事實上，Chronicle的研究人員將舊的Stuxnet惡意軟件與Flowershop（一種2002年開發的惡意軟件）聯繫在一起.Blowethop不僅與Stuxnet共享相似的代碼，還在C＆C服務器和目標PC之間使用相同的通信通道。如果未來的調查發現之前認為沒有任何共同點的惡意軟件系列之間存在聯繫，那就不足為奇了。