Stfw.RuОдним из важных вопросов, который задавался при исследовании аналогов Flame, являлась возможность их использования для атак на произвольные цели.
Исследователи CrySys Lab продемонстрировали на конференции Kaspersky Security Analyst Summit 2013 возможность заставить вредоносное ПО атаковать произвольные объекты.
Болдизсар Бенксат (Boldizsar Bencsath) рассказал о своем анализе и продемонстрировал возможность вставки собственного кода в Duqu-дроппер, что позволило повторно использовать встроенный кейлоггер, и, с помощью функционала Windows Update, установить свою версию Flame. Затем ему удалось перенастроить вредоносную программу, задав собственные C&C-серверы.
В ходе исследования Бенксат установил, что разработчики Flame преднамеренно ограничили функционал вредоносного ПО для предотвращения его использования другими злоумышленниками.
Исследователь отметил, что подобная атака может проводиться только по локальной сети, но не в сети Интернет.
«Может быть, это было сделано намеренно, и злоумышленники не хотят, чтобы кто-то использовал их вредоносное ПО для проведения более мощных контратак», - заявил Бенксат.
Очевидно, ограничения связаны с подписанными «cabinet»-файлами Windows, которые Flame создает отдельно для каждого установщика. Наличие цифровой подписи исключает возможность подмены этих файлов, что позволяет использовать эксплоит только в пределах подсети.
На исследование работы Duqu и Flame ушло примерно 100-150 часов. По мнению исследователя, изучение кода вредоносного ПО может быть осуществлено злоумышленниками с целью использовать образцы вредоносов для осуществления атак на произвольные ресурсы. Также Бенксат заявил, что некоторые подробности работы вредоносов были преднамеренно скрыты другими исследователями безопасности.
