Flame - это цифровое шпионское средство, которое делает примерно, то что и человек-шпион: записывает телефонные разговоры, воруют фотографии и информацию. Очень часто эта угроза инициируется инфицированным хостом и легко обходит файерволы даже последнего поколения. Так как же его обнаружить?

Сначала мы должны обрисовать, как эта "инфекция" распространяется.

"Часто электронные письма направляются определенным людям и содержат при этом небольшое приложение, которое почти всегда является "зараженным" файлом типа PDF, который содержит код, помещающий шпионский исполняемый файл в компьютеры. Кроме того, группа хакеров IXESHE провела две специфические атаки, которые содержали код типа zero-day - одну в 2009 г., другую в 2011".

Trend Micro

Очень хорошо объясняет действие зараженного PDF в следующем видео Jimmy Ray Purser.

Когда атака осуществляется, наиболее сложное шпионское ПО использует шифрование, но проблема атакующего в том, что его трафик включает "red flag" на сетевом уровне. Создатели Flame используют шифрование для скрытия атаки, а также меняют его в зависимости от размера всего кода", - говорит Ланс Джеймс, директор по анализу Vigilant. - "Они не хотят, чтобы вы их обнаружили, поэтому прячут все.  Они хотят, чтобы  этот код выглядел, как обычные данные".

Становится понятно, что вопрос "как обнаружить Flame" или аналогичную атаку, т.е. обнаружить Advanced Persistent Threats, не может быть адресован новым файерволам, антивирусам или систем предотвращения вторжений (intrusion detection system, IDS). Причина - такие атаки не обнаруживаются методом, использующим сигнатуры. В этом случае, самый лучший способ обнаружения - использование систем класса IP Host Reputation или систем анализа поведения трафика на базе технологий NetFlow. IP Host Reputation сравнивает IP-адреса источника и приемника в потоке с базой данных репутаций хостов и создает еще один слой обеспечения безопасности, который может обнаруживать атаки такого типа.