Jul Ismail

Flame – Malware Spionase

Pada tahun 2012 peneliti malware di Kaspersky menemukan malware yang sangat kompleks, malware ini dinamakan Flame. Diduga malware ini digunakan untuk melakukan operasi spionase. Malware ini digunakan untuk mencuri data dan informasi rahasia. Data-data ini kemudian dikirimkan ke sebuah server C&C (Command & control server)

  • Ada sekitar 80 domain yang digunakan sebagai C&C server Flame. Domain-domain ini telah didaftarkan sejak tahun 2008-20012. Ketika Kaspersky mengumumkan hasil analisanya, server ini langsung offline.
  • Server C&C ditemukan berpindah-pindah lokasi, diantaranya di Hongkong, Turki,  Jerman, Polandia, Malaysia, Latvia, Inggris dan Swis.flame
  • Malware ditemukan menginfeksi beberapa negara di Timur tengah, Eropa, Amerika utara dan Asia Pasific
  • Data-data yang diincar umumnya file pdf, file office dan gambar autocad.
  • Data-data ini dienkripsi, dikompress  dan dikirimkan ke C&C server,
  • Malware ini tidak berhasil menginfeksi OS Windows 7 64 bit.
  • Server C&C umumnya menggunakan OS Debian 64 bit versi 6.0.x , virtualisasi yang digunakan openVZ, bahasa pemograman yang digunakan PHP, Python dan bash. Database menggunakan MySQL dengan tabel InnoDB. Web Server menggunakan Apache 2.x dengan self-signed Certificate
  • Ukuran malware ini besar 20MB. Ditulis dengan bahasa Lua dan C++. Malware menggunakan 5 macam enkripsi berbada, menggunakan database SQLite. Kode malware ini memanfaatkan dua celah keamanan yang sama dengan Stuxnet. Malware dapat mendeteksi aplikasi antivirus yang digunakan, kemudian menyamarkan diri (contohnya merubah ekstensi file) agar tidak terdeteksi oleh Antivirus tersebut.
  • Beberapa perubahan yang dilakukan malware ditemukan pada registry, mutex, instalasi audio driver palsu dll.
  • Flame tidak dirancang untuk melakukan proses dekativasi automatis, tapi memiliki fungsi “kill” untuk menghilangkan semua jejak. Fungsi kill ini dijalankan dengan menerima perintah dari C&Cserver.
  • Penyebarannya melalui LAN atau USB. Malware dapat merekam audio, melakukan screenshoot, merekan aktifitas keyboard serta trafik jaringan. Program juga dapat merekam pembicaraan Skype. Malware juga dapat mengaktifkan Bluetooth, untuk megunduh informasi kontak dari perangkat terdekat yang mengaktifkan bluetooth.

Beberapa bahan bacaan tentang malware ini bisa dilihat disini:

http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_Experts_Provide_In_Depth_Analysis_of_Flames_Infrastructure     summary report Kaspersky tentang Flame

http://securelist.com/blog/incidents/34344/the-flame-questions-and-answers-51/ analisa malware

http://securelist.com/blog/incidents/34216/full-analysis-of-flames-command-control-servers-27/  hasil analisa tentang C&C server

http://securelist.com/blog/incidents/33002/flame-replication-via-windows-update-mitm-proxy-server-18/

http://securelist.com/blog/incidents/33081/gadget-in-the-middle-flame-malware-spreading-vector-identified-22/

http://en.wikipedia.org/wiki/Flame_%28malware%29

http://www.symantec.com/security_response/writeup.jsp?docid=2012-052811-0308-99

julismail

Silahkan tuliskan tanggapan, kritik maupun saran