賽門鐵克安全響應團隊于今日發布了名為《警惕Newsforyou！--惡意威脅Flamer（噴火器）命令與控制服務器技術分析》的白皮書，白皮書針對今年早些時候發生的W32.Flamer攻擊所利用的兩個命令與控制（C&C）服務器進行了詳細分析。W32.Flamer是一種高級網絡間諜工具，其主要攻擊目標是中東地區。

據分析，W32.Flamer攻擊所利用的兩個命令與控制（C&C）服務器分別創建于2012年3月25日和2012年5月18日，在它們創建后很短的時間里，第一個與其交互而感染Flamer的計算機就出現了。在接下來的幾周內，這兩個服務器相繼感染了至少幾百臺計算機。

雖然這兩臺服務器具有相同的控制框架，但它們的用途卻有所不同。通過對創建于2012年3月份的服務器的分析顯示，在一周多的時間里，它從被感染的計算機中共收集了近6GB的數據。與之相比，創建于2012年5月的服務器僅收集了75MB的數據，并且該服務器只是用于向被感染的計算機分發一個命令模塊。

"命令與控制"通過一個名為Newsforyou的網絡應用程序實現。該應用程序負責處理W32.Flamer客戶端交互，并提供一個簡單的控制面板，該控制面板允許攻擊者向被感染的計算機上傳代碼數據包，也允許向受感染的計算機傳輸并下載包含被竊取客戶端的數據包。據分析，這個應用程序并不只是被Flamer利用，它還能夠通過不同協議與被多個其他惡意軟件標識符感染的計算機進行交互。下表為不同惡意軟件標識符與各種支持協議之間的關系。

如上表所示，由該框架支撐的其他幾種威脅目前仍然無法識別，它們很可能是Flamer的未知變體，或者也許是完全不同的惡意軟件。

一旦被發現，這兩個服務器就會被設置為只記錄少量信息，系統會禁止任何不必要的日志記錄事件，數據庫中的記錄也會定期刪除。現有的日志文件也會定期地從服務器上安全刪除。一旦第三方捕獲該服務器，這些設置便可以干擾相關的調查。

但是，這些攻擊者并不是無懈可擊的，分析人員找到了顯示服務器設置的完整歷史文件。此外，數據庫中一組有限的加密記錄顯示，被感染的計算機來自中東地區。我們還能確定4個作者的昵稱分別為DXX、HXX、OXX和RXX，他們分別負責不同階段的代碼和整個項目的不同方面，記錄顯示，整個項目最早啟動于2006年。

該框架的設置顯示了各攻擊者之間明確的分工--哪些負責設置服務器（管理員）、哪些是負責通過控制面板上載數據包和下載被竊取的數據（操作者）、哪些擁有私人密鑰能夠解碼被竊取的數據（攻擊者）。由于整個過程利用數據安全分割技術，并經過了精心的設計，操作者本身可能實際上并不十分清楚被竊取的數據的內容。這種結構可以反映出，這是一個有大量資金支持，且有組織的攻擊行為。

圖：各攻擊者之間有明確的職責分工

盡管控制者試圖在被第三方捕獲該服務器時極力阻止相關信息泄露，我們還是能夠確定，創建在2012年5月的服務器在2012年5月底發送了一個模塊，命令Flamer"自殺"，也就是從計算機上將自己刪除。通過被感染的蜜罐系統，我們發現了這一操作。

最后，控制面板需要一個散列（hash）存儲的密碼。盡管我們努力嘗試將該散列變成純文本，但最終還是不能確定該密碼。如果誰能從以下散列中解壓密碼，請與賽門鐵克公司聯系：密碼散列：27934e96d90d06818674b98bec7230fa

此次C&C服務器分析工作是由賽門鐵克、CERT-Bund/BSI、IMPACT和卡巴斯基共同完成的。點擊此處 了解賽門鐵克對C&C服務器的完整分析報告，其中詳細分析了：C&C服務器的設置情況、2006年起至少由4個作者開發的網絡應用程序、操作者使用的控制面板，以及驅動該應用的數據庫。