Tags:
Node Thumbnail

นับตั้งแต่มัลแวร์ Flame หลุดออกมาสู่อินเทอร์เน็ต วงการความปลอดภัยคอมพิวเตอร์ก็เปลี่ยนไปจากที่เคยต้องระวังภัยของแฮกเกอร์รายบุคคลที่มุ่งสร้างความเสียหายแบบไม่เจาะจง และมักใช้ช่องโหว่เพียงหนึ่งหรือสองอย่างเพื่อสร้างไวรัสมาเป็นการต่อสู่กับหน่วยงานขนาดใหญ่ที่มีการวางแผนรัดกุม มีกระบวนการพัฒนาไวรัสเป็นระบบ โดยตัวล่าสุดคือมัลแวร์ Gauss ที่เชื่อกันว่าพัฒนาโดยทีมที่มีความเกี่ยวข้องกับทีมพัฒนา Flame

ระบบมัลแวร์ของ Flame นั้นถูกแยกฟีเจอร์ต่างๆ ออกเป็นโมดูลให้ตัวมัลแวร์สามารถดาวน์โหลดเพิ่มเติมเมื่อไปถึงเป้าหมายได้ ตัว Gauss เองก็คล้ายกัน แต่มีโมดูลหนึ่งคือ Godel กลับถูกเข้ารหัสไว้ทั้งโมดูล จากทั้งหมดห้าโมดูลได้แก่ Gauss, Lagrange, Godel, Tailor, และ Kurt ที่น่าสนใจคือ Gauss ไม่มีระบบสำเนาตัวเองไปยังเครื่องอื่นๆ เหมือน Flame ทำให้น่าสงสัยว่ามันไปติดเครื่องปลายทางแต่แรกได้อย่างไร แต่มันก็ติดเครื่องไปกว่าสองพันเครื่องในเลบานอน, อิสราเอล, และปาเลสไตน์ ส่วนเครื่องนอกเหนือจากสามประเทศมีจำนวนน้อยมาก

ที่น่าสนใจคือโมดูล Godel นั้นถูกเข้ารหัสไว้ด้วยสตรีมของ RC4 (ตัวสร้างค่าสุ่มเทียมที่สร้างชุดของข้อมูลไบนารีจากคีย์เริ่มต้น) โดยอาศัยค่าคีย์เริ่มต้นเป็นตัวแปร PATH ของระบบและรายชื่อโฟลเตอร์ใน Program Files แล้วเอามาแฮช MD5 อีกหนึ่งหมื่นครั้ง

แนวทางนี้แสดงว่า Godel จะถอดรหัสออกมาทำงานต่อเมื่อมันอยู่บนเครื่องที่ถูกต้องเท่านั้น และจนตอนนี้ยังไม่มีใครรู้ว่าโค้ดและข้อมูลข้างในนั้นมีจุดมุ่งหมายอะไร ทาง Kaspersky จึงออกมาของความช่วยเหลือให้นักรหัสวิทยาช่วยกันดูข้อมูลว่ามันเป็นอะไรกันแน่

เพื่อความปลอดภัย ทาง Kaspersky เปิดเผยข้อมูลออกมาเพียง 32 ไบต์จากข้อมูลทั้งหมดสามชุดที่ถูกเข้ารหัส ถ้าใครต้องการข้อมูลเพิ่มเติมสามารถติดต่อไปได้ทางอีเมล theflame@kaspersky.com

ที่มา - Secure List

Get latest news from Blognone

Comments

By: LuvStry
ContributorAndroid
on 23 August 2012 - 15:45 #462602
LuvStry's picture

ฟังดูน่าสนใจมากครับ


Blognone = 138.1 news/w เยอะมากๆ

By: panther
ContributorAndroidUbuntuWindows
on 23 August 2012 - 16:06 #462612
panther's picture

เคยอ่านข่าวของ Flame อยู่ เห็นว่าพอโดนจับได้ คนสร้างก็ส่งคำสั่งทำลายตัวเองไปยังเครื่องที่ติด Flame เพื่อทำลายหลักฐานด้วย (ให้ Flame ทำลายตัวเอง)... ไม่ธรรมดาจริงๆ

สุดท้ายมี Gauss มาแทน...

By: adente
ContributorSUSESymbianWindows
on 23 August 2012 - 16:15 #462616
adente's picture

ข้างในอาจเป็น hacked by XXXX ก็ได้

By: hisoft
ContributorWindows PhoneWindows
on 23 August 2012 - 16:18 #462618 Reply to:462616
hisoft's picture

Hello world

By: sukoom2001
ContributorAndroidUbuntu
on 23 August 2012 - 16:45 #462630 Reply to:462616
sukoom2001's picture

นั่นมัน opensource ไวรัส มีหลายพันธ์มาก

By: porple on 23 August 2012 - 16:17 #462617

นึกว่าจะเกี่ยวกะ server ของ kaspersky วันนี้รวนๆ มีปัญหาเรื่อง license

แต่เนื้อหาข่าวดูน่าสนใจดีค่ะ

By: hisoft
ContributorWindows PhoneWindows
on 23 August 2012 - 16:19 #462620
hisoft's picture

ถ้ามันดูได้เฉพาะบนเครื่องที่ถูกต้อง เราขอเครื่องที่ติดมาดูเลยไม่ได้เหรอครับ?

By: lew
FounderJusci's WriterMEconomicsAndroid
on 23 August 2012 - 16:23 #462622 Reply to:462620
lew's picture

ปัญหาคือเราไม่รู้ว่าเครื่องไหนคือเครื่องที่ถูกต้องครับ และตอนได้ไฟล์มาก็ไม่ได้มาจากเครื่องที่ถูกต้องก็ได้


lewcpe.com, @wasonliw

By: hisoft
ContributorWindows PhoneWindows
on 23 August 2012 - 19:29 #462720 Reply to:462622
hisoft's picture

ถ้าเช่นนั้นคือโมดูลนี้ก็ทำงานไม่ได้หรือครับ? ผมเข้าใจผิดไปว่ามันเข้ารหัสแยกตามเครื่องที่ผิด (T_T)

ไม่แน่ อาจจะมีการนัดวันส่งคีย์ไปอัพเดตเพื่อให้มันทำงานพร้อมกันอีกทีก็เป็นได้

By: lew
FounderJusci's WriterMEconomicsAndroid
on 24 August 2012 - 12:05 #463108 Reply to:462720
lew's picture

ไม่รู้ว่าทำงานได้หรือไม่ครับ รู้แต่ว่ามันถูกเข้ารหัสเพื่อทำงานในเครื่องใดเครื่องหนึ่งเท่านั้น

ปัญหาคือเราไม่รู้ว่ามันทำงานอะไร ในโค้ดที่แกะออกมาไม่มีส่วนของการติดต่ออัพเดต

ของพวกนี้เวลาเจอโค้ด นักวิจัยจะเอามาถอดโค้ด (disassembly) ออกมาดูหมดครับ ว่าข้างในมันทำอะไรบ้าง


lewcpe.com, @wasonliw

By: aeke88
iPhoneAndroid
on 23 August 2012 - 16:30 #462625
aeke88's picture

บรรทัดแรก มันแวร์ พิมพ์ผิดครับ

By: panurat2000
ContributorSymbianUbuntuIn Love
on 23 August 2012 - 17:01 #462645 Reply to:462625
panurat2000's picture

มาเป็นการต่อสู่กับหน่วยงานขนาดใหญ่ที่มีการวางแผนรัดกุม

ต่อสู่ => ต่อสู้

โดยอาศัยค่าคีย์เริ่มต้นเป็นตัวแปร PATH ของระบบและรายชื่อโฟลเตอร์ใน Program Files

โฟลเตอร์ => โฟลเดอร์

ทาง Kaspersky จึงออกมาของความช่วยเหลือ

ของความช่วยเหลือ => ขอความช่วยเหลือ

By: Be1con
ContributorWindows PhoneWindowsIn Love
on 23 August 2012 - 17:16 #462650 Reply to:462625
Be1con's picture

อุปกรณ์ที่เล่นแล้วมัน #ห๊ะ


Coder | Designer | Thinker | Blogger

By: lingjaidee
ContributoriPhoneAndroid
on 23 August 2012 - 16:39 #462629
lingjaidee's picture

มักจะชุมในประเทศที่มีปัญหาระหว่างประเทศกันซะด้วย ..


my blog

By: hydrojen
iPhoneRed HatWindows
on 23 August 2012 - 16:48 #462633
hydrojen's picture

เครื่องที่ถูกต้อง น่าจะเครื่องที่มีครบทั้ง 5 Gauss, Lagrange, Godel, Tailor, และ Kurt
Gauss ไม่มีระบบสำเนาตัวเอง แต่ตัวอื่นๆอาจมี หรือว่ามีบางตัวที่ไม่ถูกสงสัย ว่าเป็นความเสี่ยง แต่จะหาพวกมาประกอบร่าง ^ ^

เพิ่มเติม

เครื่องที่ถูกต้อง คงต้องเป็นเครื่องที่ มีระบบไฟล์ที่แน่นอน

By: canoe
Android
on 23 August 2012 - 17:47 #462667 Reply to:462633

ประกอบร่าง !!!

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
on 23 August 2012 - 18:12 #462675 Reply to:462633

เช่น ไม่มี โฟวเดอร์ ESET

ตึ่กโป๊ะ

ลึกลับมาก

By: เดวิลแมน on 23 August 2012 - 16:53 #462638

น่าเอาพล๊อตเรื่องไปทำหนัง

By: xestz
AndroidWindows
on 23 August 2012 - 18:29 #462691 Reply to:462638
xestz's picture

+1 ทำจริงคงจะมันน่าดู

By: kitarotao
iPhoneWindows PhoneAndroidBlackberry
on 23 August 2012 - 18:44 #462696
kitarotao's picture

Gauss, Lagrange, Godel, Tailor, และ Kurt นี่มันชื่อคนนิ Gauss: Abnormal Distribution

By: PowerBerry
Android
on 23 August 2012 - 19:31 #462721

น่าจะตั้งชื่อเป็น Lust, Gluttony, Greed, Sloth, Wrath, Envy, Pride ตามนี้ไปซ่ะเลย

By: AlninlA
ContributorAndroidUbuntu
on 23 August 2012 - 23:18 #462839 Reply to:462721
AlninlA's picture

the deathly sins.

By: jarujit
ContributoriPhoneAndroid
on 23 August 2012 - 22:59 #462812
jarujit's picture

สมัยเรียนได้ C มาจากนักคณิตศาสตร์ทั้ง 5 คนนี้นี่แหละ


:-)

By: zatanx
iPhoneAndroidWindows
on 23 August 2012 - 23:01 #462816
zatanx's picture

พูดรัยกันนงงงง....

By: caznova
AndroidRed HatUbuntuWindows
on 24 August 2012 - 09:47 #463027
caznova's picture

จริงๆแล้วมันไม่ได้ทำอะไรเลยแค่หลอกให้พยายามแกะกันเล่นๆ อิอิ

By: dangsystem
iPhoneAndroidBlackberryWindows
on 24 August 2012 - 10:54 #463067 Reply to:463027
dangsystem's picture

เหมือนข้างบน กลายเป็น hello world