reklama

Flamer jako první škodlivý kód pro systém Windows zneužíval Bluetooth

Symantec pokračuje v analýze nechvalně proslulého škodlivého kódu Flamer a zaměřil se na funkce spojené se zneužíváním Bluetooth a na způsoby šíření.

Flamer je pravděpodobně první škodlivý kód pro systém Windows, který zneužíval Bluetooth. Proč útočníci využili právě tuto funkci je ovšem stále záhadou. V důsledku analýzy společnosti Symantec se jeví pravděpodobná jedna z následujících tří variant:

  • Zmapovat sociální a profesní kontakty infikovaných uživatelů s použitím jiných zařízení s Bluetooth.
  • Identifikovat, kde se fyzicky nachází uživatelé s infikovanými přístroji, a určit jejich vzdálenost od důležitých cílů. Bez ohledu na to, jestli tyto klíčové cíle jsou lidé nebo počítačové systémy.
  • Připojit se k jiným přístrojům s Bluetooth a krást z nich informace, využít je k odposlouchávání nebo využívat jejich datové připojení k přenosu již ukradených dat.

Ačkoli přesné záměry přidání Bluetooth konektivity do kódu hrozby zatím není možné určit, tyto tři pravděpodobné scénáře využití představují hrozbu Flamer jako propracovaný a pokročilý nástroj špionáže. Více informací se dočtete ve článku na blogu společnosti Symantec.

Klepněte pro větší obrázek

Tým Symantec Security Response zároveň objevil nové techniky, které Flamer používal k šíření z počítače na počítač. Flamer se automaticky nešířil, pokud nedostal pokyny od útočníků. Většina metod používaných pro šíření je velmi přímočará, ale Smynatec zaznamenal i několik novinek:

  • Šíření prostřednictvím sítě sdílením zachycených přihlašovacích údajů, včetně domény správce
  • Šíření prostřednictvím zranitelnosti Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (CVE-2010-2729), dříve použil Stuxnet
  • Šíření prostřednictvím přenosných médií – využit speciálně vytvořený soubor autorun.inf, dříve použil Stuxnet
  • Šíření prostřednictvím přenosných médií s využitím speciálně vytvořeného adresáře, který obsahoval skryté soubory, výsledkem mohlo být automatické spuštění na prohlíženém USB disku a zneužití zranitelnosti Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (CVE-2010-2568), zranitelnost dříve zneužil Stuxnet

Více informací najdete ve článku na stránkách společnosti Symantec.

reklama