卡巴斯基發(fā)現(xiàn)惡意程序miniFlame近日，卡巴斯基實(shí)驗(yàn)室宣布發(fā)現(xiàn)miniFlame，一款小巧但是非常靈活的惡意程序。該惡意程序主要用于發(fā)起針對性網(wǎng)絡(luò)間諜攻擊，伺機(jī)竊取受感染系統(tǒng)上的數(shù)據(jù)并控制受感染計(jì)算機(jī)。

MiniFlame，又被稱為SPE，zui早于2012年7月由卡巴斯基實(shí)驗(yàn)室專家發(fā)現(xiàn)。zui初，該惡意程序被認(rèn)為是Flame惡意軟件的一個(gè)組件。但是，2012年9月，卡巴斯基實(shí)驗(yàn)室的研究團(tuán)隊(duì)對Flame的命令和控制服務(wù)器（C&C）進(jìn)行了一次深度分析，從而發(fā)現(xiàn)miniFlame模塊其實(shí)是一個(gè)協(xié)作工具，可以作為一個(gè)獨(dú)立的惡意程序使用，或者同時(shí)能夠充當(dāng)Flame和Gauss惡意軟件的插件。

卡巴斯基發(fā)現(xiàn)惡意程序miniFlame更多針對miniFlame的分析顯示，該惡意程序有多個(gè)版本，創(chuàng)建時(shí)間為2010至2011年間，其中有些變種目前仍然處于活躍狀態(tài)。分析還揭示出新的證據(jù)進(jìn)一步表明Flame和Gauss編寫者之間曾有合作，因?yàn)檫@兩款惡意程序都可以使用miniFlame做為“插件”，執(zhí)行攻擊行為。且由于Flame和Stuxnet/Duqu之間的關(guān)系早已被揭開，所以可以得出結(jié)論，上述這些威脅，應(yīng)該全部來自同一個(gè)“網(wǎng)絡(luò)戰(zhàn)爭”工廠。

miniFlame（SPE），基于同F(xiàn)lame一樣的架構(gòu)平臺(tái)。它既能夠做為一個(gè)網(wǎng)絡(luò)間諜程序獨(dú)立執(zhí)行相關(guān)功能，也可以被用做Flame和Gauss的組件執(zhí)行惡意功能。 這款網(wǎng)絡(luò)間諜工具以后門的形式運(yùn)行，竊取受感染系統(tǒng)上的數(shù)據(jù)，同時(shí)也能夠直接訪問受感染系統(tǒng)。

miniFlame的開發(fā)可能zui早可以追溯到2007年，并持續(xù)到2011年底。根據(jù)推測，其變種應(yīng)該有很多種。截止到目前，卡巴斯基實(shí)驗(yàn)室共發(fā)現(xiàn)這款惡意程序的六種變種，隸屬于這款惡意程序的兩代產(chǎn)品，分別為4.x和5.x版本。

與Flame及Gauss制作的大量計(jì)算機(jī)感染情況不同，， miniFlame造成的感染數(shù)量小得多。根據(jù)卡巴斯基實(shí)驗(yàn)室的數(shù)據(jù)，該惡意程序的感染數(shù)量為10至20臺(tái)計(jì)算機(jī)，的范圍內(nèi)的感染數(shù)量估計(jì)為50—60臺(tái)。

考量miniFlame的感染數(shù)量，以及其信息竊取功能和靈活的設(shè)計(jì)，可以判斷這款惡意程序主要用來進(jìn)行針對性非常強(qiáng)的網(wǎng)絡(luò)間諜攻擊。而且，其很可能會(huì)被部署到那些已經(jīng)被Flame或Gauss感染的計(jì)算機(jī)中。

MiniFlame是安全研究人員在對Flame和Gauss惡意軟件進(jìn)行深度分析過程中發(fā)現(xiàn)的。2012年7月，卡巴斯基實(shí)驗(yàn)室的安全專家發(fā)現(xiàn)Gauss惡意軟件的一個(gè)附加模塊，開發(fā)代號(hào)為“John”，并發(fā)現(xiàn)該模塊與Flame配置文件中的模塊有所關(guān)聯(lián)。之后在2012年9月，安全人員又對Flame的命令和控制服務(wù)器進(jìn)行了分析，從而發(fā)現(xiàn)發(fā)現(xiàn)的模塊其實(shí)是一款獨(dú)立的惡意程序，盡管其可以被用來充當(dāng)Gauss和Flame的“插件”。miniFlame的開發(fā)代號(hào)為SPE，這可以通過Flamezui初的C&C服務(wù)器代碼得到驗(yàn)證。

目前，針對miniFlamezui初的感染手段還不十分清晰。由于已經(jīng)確認(rèn)miniFlame、Flame和Gauss之間的，所以miniFlame很可能會(huì)被安裝到那些已經(jīng)被Flame或Gauss感染的計(jì)算機(jī)上。一旦安裝，miniFlame就會(huì)以后門的形式運(yùn)行，使得攻擊者可以從受感染計(jì)算機(jī)上獲取任何文件。miniFlame的信息竊取功能包括截取受感染計(jì)算機(jī)屏幕，可以在計(jì)算機(jī)運(yùn)行特定程序或應(yīng)用（如瀏覽器、微軟Office、Adobe Reader、即時(shí)通訊服務(wù)或FTP客戶端）時(shí)進(jìn)行。miniFlame還會(huì)連接自己的命令和控制服務(wù)器（其C&C可能是獨(dú)立的，也可能同F(xiàn)lame進(jìn)行分享），將竊取到的數(shù)據(jù)上傳。此外，miniFlame的命令和控制服務(wù)器操作者可以通過發(fā)送請求，將另外一個(gè)數(shù)據(jù)竊取模塊發(fā)送到受感染系統(tǒng)。該模塊可以感染USB存儲(chǔ)設(shè)備，利用它們存儲(chǔ)那些從未連接互聯(lián)網(wǎng)的計(jì)算機(jī)上盜取到的數(shù)據(jù)。

卡巴斯基發(fā)現(xiàn)惡意程序miniFlame卡巴斯基實(shí)驗(yàn)室的安全專家Alexander Gostev評論說：“miniFlame是一款高度的攻擊工具，其很可能被用做一種針對性的網(wǎng)絡(luò)武器，在目前被定義為第二波網(wǎng)絡(luò)攻擊行動(dòng)中使用。首先，F(xiàn)lame或Gauss會(huì)被用來感染盡量多的計(jì)算機(jī)，zui大程度地收集各種數(shù)據(jù)和信息。數(shù)據(jù)被收集和整理后，攻擊者會(huì)選定特定攻擊目標(biāo)，將miniFlame安裝到受攻擊計(jì)算機(jī)上，從而實(shí)現(xiàn)深度監(jiān)控，實(shí)施網(wǎng)絡(luò)間諜行為。miniFlame的發(fā)現(xiàn)，還為我們提供了關(guān)于這些網(wǎng)絡(luò)戰(zhàn)爭武器編寫者之間進(jìn)行過合作的額外證據(jù)，同時(shí)證明Stuxnet、Duqu、Flame和Gauss這些網(wǎng)絡(luò)戰(zhàn)爭武器之間是有關(guān)聯(lián)的。”