网络武器

_Rabbit

    在过去几年中，网络武器的研发发展迅猛。数据表明，有近160个国家参与了网络武器的开发和积极的网络间谍计划，美、俄、印、英、日等国军队更是将计算机病毒正式列入作战武器名单之中，美军据称已研制出2000多种病毒武器。
翻译一篇关于网络武器的著名安全厂商报告供大家参考，如有错误大家指正、见谅：
2012安全公告-网络武器
在2012年之前，只有两个网络武器被使用 - Stuxnet和Duqu。然而，它们迫使IT界扩大了网络战争的概念。
除了安全事故涉及网络武器的数量增加，2012年发生的事件揭示了许多主权国家积极参与开发网络武器的开发–这些事件引起了大众媒体的广泛讨论。此外，在2012年里网络战被各国政府和代表提上了公众讨论的议程上。
很可靠的说，就安全事故的增加和更深入的了解开发网络武器方面来说2012年确实带来了重要启示。
世界观2012年看到网络武器扩散到更广阔的领域。在此之前他们只是针对伊朗，但2012年，它们被部署在毗邻伊朗更广阔的西亚地区。这种变化也反映了长期动荡地区的政治发展。伊朗的核计划在继续，由于叙利亚和埃及的政治危机，该地区的局势进一步复杂化。黎巴嫩的紧张局势，巴以冲突持续和波斯湾周围的几个国家的动荡使整个地区更加的不稳定。
在这种情况下，网络武器的扩散就不足为奇了，其他国家都力求捍卫自己的利益，使用所有可用的工具，既保卫自己，并且收集信息。
所有这些因素结合在一起，已在该地区引发了数起严重事件，经过仔细分析，这些都可以归咎网络武器的使用。
Duqu木马
这种恶意间谍软件程序，在2011年9月发现，并在2011年10月引起公众的关注，促使******实验室的专家们采取行动。作为他们研究的一部分，该公司的专家设法访问一些Duqu木马的C＆C服务器，并收集了大量关于病毒的体系结构及其演化的信息。证明了Duqu的开发于Tilded平台，在这个基础上另一个高调的恶意程序也被开发出来- Stuxnet病毒。此外，至少有三个以上的恶意程使用相同的Duqu木马/ Stuxnet的框架创建；这些恶意软件已经被检测到。
研究活动促使Duqu木马的操作者从C＆C服务器和受害者电脑中摧毁了他们所有活动的痕迹。
到2011年底，Duqu木马基本不复存在。然而，在2012年二月下旬赛门铁克的专家在伊朗发现了一个新版本的驱动程序， Duqu木马的极为相似，但却创建于2012年2月23日。从未检测到的核心模块; 从那以后Duqu木马没有进一步的修改。
Wiper
在2012年4月下旬这种“神秘”的木马使伊朗深感不安：不知道它是从哪里出现，但它摧毁了几十个组织的数据库。全国最大的油库遭受了特别沉重的打击–石油合同上的数据被破坏后，油库的操作被全部暂停了很多天。
然而，经过检测这些攻击中并不是使用的一个恶意程序样本，这促使许多人质疑媒体报道的准确性。
Wiper的创造者基本上销毁了所有可用于分析的数据。出于这个原因，wiper被激活后几乎没有任何恶意程序的活动留下的痕迹。
在调查神秘恶意攻击的过程中，我们在几个被Wiper攻击的硬盘中获取和分析样本。我们可以确认，这些事件确实发生，并且这些攻击中使用的恶意程序存在于2012年4月。此外，我们知道2011年12月也发生一些非常类似的事件已经。
大量的攻击发生在最后一个月10天（从21日至30日），但是，我们不能确定，有一个专门的功能只有在特定日期激活才会被激活。
调查的几个星期后，我们仍然无法检测到任何恶意文件的属性相匹配的已知特征的Wiper。但是，我们发现了一个国家层面上进行的网络间谍活动，也就是现在被称为火焰，后来，我们还发现了另一个网络间谍系统，只是后来被称为高斯。
火焰
火焰是一个非常复杂的工具包进行攻击，比Duqu复杂得多。这是一个后门木马，还具有一些蠕虫的特征，后者使其能够通过本地网络或可移动存储驱动器传播。
感染主机系统后，火焰开始执行了一套复杂的操作，它可以包括网络流量分析，截屏，记录语音通信，击键记录等所有这些数据提供给其经营者通过火焰的C＆C服务器。
操作者也可以使受害者的电脑下载额外的模块，延长火焰的有效载荷。所有的一切，20个扩展模块进行检测。
火焰纳入了独特的功能，通过局域网传播自身，为此，它截获了Windows更新请求，并代之以自己的模块与Microsoft证书签署。分析此证书发现，攻击者使用自己伪造的证书代替原有证书是很难分辨的。
我们已经收集的信息证明，火焰的发展开始于2008年左右，并持续活动直到2012年5月它被发现。
此外，我们可以使用2009年一个火焰平台上创建的模块当作Stuxnet蠕虫病毒的传播模块。这一事实表明，火焰编程团队和Tilded平台之间存在着密切的合作，甚至于源代码的交换。
高斯
我们发现火焰后，我们实施了一些在代码的相似性分析。这种做法很快就为我们带来了又一突破。在7月中旬，检测到在火焰平台建立的一个恶意程序，但是，它有一个不同的有效载荷和发现地点。
高斯是一个复杂的工具包进行网络间谍活动，由创造了火焰的同一个团队实现。该工具包具有模块化结构，支持远程部署额外的模块的形式实现的一个新的有效载荷。模块发现迄今履行下列职能：
•拦截在Web浏览器中的cookie的文件和密码;
•收集系统配置数据并将其发送给攻击者;
•感染USB存储驱动器设计的一个模块来窃取数据;
•建立系统的存储驱动器和文件夹的内容列表;
•在中东窃取关键数据去访问各银行系统的用户帐户;
•拦截社交网络帐户，邮件和即时通讯服务数据。
它的模块似乎被命名为纪念著名数学家和哲学家卡尔•弗里德里希•高斯 - 哥德尔和约瑟夫•路易斯•拉格朗日。基于我们的分析和时间戳的恶意模块提供给我们的结果，我们得出的结论是高斯在2011年8月或9月开始运营。
2012年5月下旬以来，******实验室的基于云的安全服务已注册超过2500主机感染高斯;我们估计，实际高斯受害者总数可能在数万。
高斯的受害者绝大多数是黎巴嫩的居民，受害者亦在以色列和巴勒斯坦领土。美国，阿拉伯联合酋长国，卡塔尔，约旦，德国和埃及均有较小的受害者人数。
miniFlame
在2012年6月初，我们发现火焰平台上建立了一个小而有趣的模块。此恶意程序，被称为miniFlame，是一个微型的不折不扣的间谍软件模块旨在窃取信息和侵入受感染的系统。与火焰和高斯不同，它不是用于感染数千个的用户进行大规模的间谍活动，miniFlame/SPE是一种开展有针对性的攻击工具。虽然miniFlame是基于火焰平台，它被实现为一个独立的模块，它不需要系统中存在火焰的主模块就可以自动的进行操作，成为火焰控制的一个组成部分。值得注意的是，miniFlame也可以与高斯链接，组成另一个间谍软件程序。
miniFlame的主要目的是在受感染的系统中充当一个后门，使攻击者直接管理他们。

总结在2012 年发现的“网络武器”，都与明确的表明与中东有莫大的关联。

意味着什么？
根据恶意软件检测和分析的经验，使我们能够提出以下对当代威胁的观点及其它们的分类。
金字塔是当前网络恶意软件状态的最好代表。
金字塔底部是由各种威胁组成 - 我们称之为“传统”的网络犯罪。其显着特点包括针对普通用户的大规模攻击。网络犯罪分子最感兴趣的是发动这些攻击的直接财务收益。在这层的恶意软件包括银行木马程序，僵尸网络，勒索，移动威胁等，该类威胁占所有90％以上。
第二层是针对组织的威胁。这些都是有针对性的攻击，其中包括工业间谍活动，以及有针对性的黑客攻击，使他们攻击受害者丧失名誉。袭击者是高度专业化的，为特殊的目标或特定的客户工作。财务收益不是攻击者的主要目标。目标是窃取信息或知识产权。根据我们的分类，这组的威胁还包括各种恶意程序的开发。例如，Gamma Group或黑客团队SRL开发的恶意软件。
第三层，这是金字塔的顶层，包括恶意软件可以被归类为真正的网络武器，在我们的分类，这层包括恶意软件创建和资金由政府控制。这种恶意软件是用来对付其他国家的公民，组织和机构。
以我们所知道的样本为依据，我们可以找出三个主要群体的威胁分类：
•
“Destroyers”。这些程序的设计都是旨在摧毁数据库和信息。他们可以实现“逻辑炸弹”引入到受害者系统既可以提前感染，然后在一定的时间触发，又可以立即执行攻击。这种恶意软件的最显著的例子是Wiper。
•
间谍程序。这组包括火焰，高斯，Duqu木马和miniFlame。这类恶意软件的主要目的是收集尽可能多的信息，尤其是非常高度专业化的数据（例如，从AutoCAD项目，SCADA系统等），它可以被用来创建其他类型的威胁。
•
网络破坏工具。它们是网络武器的终极形式– 对目标造成物理伤害的威胁。当然，这一类包括Stuxnet蠕虫。这种威胁是独一无二的，我们相信，他们始终将是一个罕见的现象。然而，一些国家正在投入越来越多的努力开发这种类型的威胁，也保护自己免于遭受此类威胁。

原文地址:

http://www.securelist.com/en/analysis/204792257/Kaspersky_Security_Bulletin_2012_Cyber_Weapons#1

IT精英

1# _Rabbit

斑竹，图片看不到！！