Kaspersky ขอความช่วยเหลือนักรหัสวิทยา ถอดรหัสโมดูลในมัลแวร์ Gauss

by lew
23 August 2012 - 07:32

นับตั้งแต่มัลแวร์ Flame หลุดออกมาสู่อินเทอร์เน็ต วงการความปลอดภัยคอมพิวเตอร์ก็เปลี่ยนไปจากที่เคยต้องระวังภัยของแฮกเกอร์รายบุคคลที่มุ่งสร้างความเสียหายแบบไม่เจาะจง และมักใช้ช่องโหว่เพียงหนึ่งหรือสองอย่างเพื่อสร้างไวรัสมาเป็นการต่อสู่กับหน่วยงานขนาดใหญ่ที่มีการวางแผนรัดกุม มีกระบวนการพัฒนาไวรัสเป็นระบบ โดยตัวล่าสุดคือมัลแวร์ Gauss ที่เชื่อกันว่าพัฒนาโดยทีมที่มีความเกี่ยวข้องกับทีมพัฒนา Flame

ระบบมัลแวร์ของ Flame นั้นถูกแยกฟีเจอร์ต่างๆ ออกเป็นโมดูลให้ตัวมัลแวร์สามารถดาวน์โหลดเพิ่มเติมเมื่อไปถึงเป้าหมายได้ ตัว Gauss เองก็คล้ายกัน แต่มีโมดูลหนึ่งคือ Godel กลับถูกเข้ารหัสไว้ทั้งโมดูล จากทั้งหมดห้าโมดูลได้แก่ Gauss, Lagrange, Godel, Tailor, และ Kurt ที่น่าสนใจคือ Gauss ไม่มีระบบสำเนาตัวเองไปยังเครื่องอื่นๆ เหมือน Flame ทำให้น่าสงสัยว่ามันไปติดเครื่องปลายทางแต่แรกได้อย่างไร แต่มันก็ติดเครื่องไปกว่าสองพันเครื่องในเลบานอน, อิสราเอล, และปาเลสไตน์ ส่วนเครื่องนอกเหนือจากสามประเทศมีจำนวนน้อยมาก

ที่น่าสนใจคือโมดูล Godel นั้นถูกเข้ารหัสไว้ด้วยสตรีมของ RC4 (ตัวสร้างค่าสุ่มเทียมที่สร้างชุดของข้อมูลไบนารีจากคีย์เริ่มต้น) โดยอาศัยค่าคีย์เริ่มต้นเป็นตัวแปร PATH ของระบบและรายชื่อโฟลเตอร์ใน Program Files แล้วเอามาแฮช MD5 อีกหนึ่งหมื่นครั้ง

แนวทางนี้แสดงว่า Godel จะถอดรหัสออกมาทำงานต่อเมื่อมันอยู่บนเครื่องที่ถูกต้องเท่านั้น และจนตอนนี้ยังไม่มีใครรู้ว่าโค้ดและข้อมูลข้างในนั้นมีจุดมุ่งหมายอะไร ทาง Kaspersky จึงออกมาของความช่วยเหลือให้นักรหัสวิทยาช่วยกันดูข้อมูลว่ามันเป็นอะไรกันแน่

เพื่อความปลอดภัย ทาง Kaspersky เปิดเผยข้อมูลออกมาเพียง 32 ไบต์จากข้อมูลทั้งหมดสามชุดที่ถูกเข้ารหัส ถ้าใครต้องการข้อมูลเพิ่มเติมสามารถติดต่อไปได้ทางอีเมล theflame@kaspersky.com

ที่มา - Secure List

Blognone Jobs Premium