Hacknite Wiki

User Tools

Site Tools

Trace: blagajna dhcp linux second_order_sqli hash volatility3 arp local_file_inclusion mac csrf
flame

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
flame [2023/11/29 12:58] lssflame [2025/12/01 11:40] (current) – external edit 127.0.0.1
Line 1: Line 1:
 ====Flame==== ====Flame====
-**Flame**, također poznat i pod nazivima **Flamer** i **SkyWiper**, je napredni zloćudni program primarno dizajniran za špijunažu s modulima za napade, prikupljanje podataka, samorepliciranje, skeniranje mreža, ispuštanje datoteka i autodestrukciju uz uklanjanje sa zaraženog sustava. Otkriven je 2012, uz zaključak da je vrlo vjerojatno bio aktivan već od 2010. 
  
-S obzirom na svoju abnormalnu veličinu za zloćudni program (20 MB), Flame je morao iskorištavati mnoge ranjivosti da bi izbjegao detekciju na zaraženim sustavima. Korišteno je 5 vrsta enkripcije, mnoge ranjivosti nultog dana (eng. zero-day exploit) te krivotvoreni sigurnosni Windows certifikatiUz sve toFlame je pisan u više programskih jezika, uključujući i tad novi programski jezik Lua.+**Flame**, također poznat i pod nazivima **Flamer** i **SkyWiper**, je napredni zloćudni program primarno dizajniran za špijunažu s modulima za 
 +prikupljanje podataka, samorepliciranje, skeniranje mreža i samouništavanje. Otkriven je 2012., uz zaključak da je vrlo vjerojatno bio aktivan već od 2010.
  
-Najzanimljiviji od Flameovih mehanizama je svakako do tada nepoznata varijanta napada kolizijom odabranim prefiksom na MD5Ovaj napad korišten je za generiranje krivotvorenih Windows sigurnosnih certifikatapomoću kojih je Flame preuzimao kontrolu nad legitimnim windows sustavom za update na zaraženim računalima i zatim širio zarazu po mreži, uvjeravajući računala da je Flame legitimni windows softver.+Kako bi se otežala detekcija, neke njegove komponente su potpisane lažiranim Microsoftovim certifikatomZbog toga su neke komponente tog malwarea bile detektirane kao legitiman Microsoftov softver. Zbog nekih značajki Microsoftov sustava za 
 +licenciranje Terminal Serverabilo tko je mogao dobiti Microsoftov certifikat, međutim zbog nekih polja koja je taj certifikat sadržavao, on se nije mogao koristiti za digitalno potpisivanje izvršnog koda na operacijskim sustavima Windows Vista Windows 7. 
 +Autori malwarea su iskoristili slabost MD5 hash funkcije kako bi generirali certifikat s istim MD5 digitalnim potpisomali bez polja koja su sprečavala da se certifikatom potpisuje izvršni kod na operacijskim sustavima Windows Vista i Windows 7 (za detaljno objašnjenje pogledati [2]).
  
-TODO: detaljnije, KAKO je iskoristio koliziju 
  
 ===Izvori=== ===Izvori===
 [1] https://www.radware.com/security/ddos-knowledge-center/ddospedia/flame/\\ [1] https://www.radware.com/security/ddos-knowledge-center/ddospedia/flame/\\
 [2] https://trailofbits.files.wordpress.com/2012/06/flame-md5.pdf [2] https://trailofbits.files.wordpress.com/2012/06/flame-md5.pdf
flame.1701262729.txt.gz · Last modified: 2025/12/01 11:40 (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki