MiniFlame le fiston de Flame

Il y a quelques temps le vers Flame avait été découvert par le CERT Iranien et analyser par plusieurs boîtes d’antivirus dont Kaspersky. Il s’est avéré que le vers utilisait un réseau complexe de serveur de contrôle et de commande (C&C). Depuis l’eau a coulé sous les ponts et certains des serveurs C&C ont pu … Continuer la lecture de MiniFlame le fiston de Flame 

Gauss : le petit nouveau de la famille Flame

Kaspersky a pu récupérer un nouveau ver destiné au cyber-espionnage : Gauss. Les liens entre Flame et Gauss (qui prend son nom du célèbre mathématicien par rapport aux références laissées par les auteurs du malware) sont avérés : Gauss partage du code en commun avec son grand frère. On retient surtout deux choses de ce … Continuer la lecture de Gauss : le petit nouveau de la famille Flame 

Un lien existe entre Stuxnet et Flame

Et ce lien s’appelle la ressource 207 d’après Kaspersky. En fouillant dans leurs vieux samples à la recherche de malwares proches de Flame, Kaspersky a retrouvé un binaire que leur robot de classification détectait comme une variante de Stuxnet. Mais quand les chercheurs ont jeté un coup d’œil au code la première fois ils n’ont … Continuer la lecture de Un lien existe entre Stuxnet et Flame 

Flame : un module d’auto-destruction

Via Symantec : Le ver Flamer dispose d’un module d’auto-destruction (ou auto suppression) dont des cas réels d’utilisation ont déjà a été observés. Le ver garde la liste de ses composants et sur ordre de son C&C va détruire ces fichiers via des réécritures multiples. De toute évidence les personnes derrière Flamer voulaient être discrètes … Continuer la lecture de Flame : un module d’auto-destruction 

Flame : utilisation des Junctions Points Windows

Le ver Flame a trouvé une façon habile de se dissimuler et d’inciter l’utilisateur à provoquer l’exploitation de la vulnérabilité shortcut déjà utilisé dans Stuxnet. Les points de jonction sont une fonctionnalité de Windows dont on a très (très) brièvement parlé dans LOTFREE 09. Flame utilise cette fonctionnalité pour dissimuler l’un de des composants principal … Continuer la lecture de Flame : utilisation des Junctions Points Windows 

Flame : le système de collisions MD5 utilisé pour forger des certificats

Via TheRegister et Microsoft Security R&D : Si vous n’avez pas peur de vous retrouver dans un film de cyber-espionnage style Sneakers, je vous invite à lire l’article de Microsoft qui fait froid dans le dos. Les attaques sur MD5 de type chosen prefix collision attack dont on a parlé précédemment auraient permis de forger … Continuer la lecture de Flame : le système de collisions MD5 utilisé pour forger des certificats 

Flame, un ver codé par la NSA ?

A lire l’article d’ArsTechnica c’est l’une des idées qui nous vient à l’esprit. Le ver utilise en effet des faiblesses cryptographiques de l’algorithme MD5 pour la génération de collisions. Même si plusieurs études publiques ont été réalisées pour mettre à mal ce système de hachage, les cryptographes qui ont analysés Flame sont près à parier … Continuer la lecture de Flame, un ver codé par la NSA ? 

Le ver Flame peut hijacker les mises à jour Windows

Via SecurityWeek : Le ver Flame a plus d’un tour dans son sac. Via un de ses modules baptisé Snack il est capable d’intercepter les communications NetBIOS et faire du WPAD hijacking pour se définir comme proxy sur les autres machines du réseau. Quand l’une de ses machines lance un Windows Update, elle se connecte … Continuer la lecture de Le ver Flame peut hijacker les mises à jour Windows