Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Flame

Flame is a sophisticated toolkit that has been used to collect information since at least 2010, largely targeting Middle East countries. (Citation: Kaspersky Flame)
ID: S0143
Associated Software: sKyWIper Flamer
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 31 May 2017
Last Modified: 12 Oct 2022

Associated Software Descriptions

Name Description
sKyWIper (Citation: Kaspersky Flame) (Citation: Crysys Skywiper)
Flamer (Citation: Kaspersky Flame) (Citation: Symantec Beetlejuice)

Techniques Used

Domain ID Name Use
Enterprise T1547 .002 Boot or Logon Autostart Execution: Authentication Package

Flame can use Windows Authentication Packages for persistence.(Citation: Crysys Skywiper)

Enterprise T1136 .001 Create Account: Local Account

Flame can create backdoor accounts with login “HelpAssistant” on domain connected systems if appropriate rights are available.(Citation: Kaspersky Flame)(Citation: Kaspersky Flame Functionality)

Enterprise T1011 .001 Exfiltration Over Other Network Medium: Exfiltration Over Bluetooth

Flame has a module named BeetleJuice that contains Bluetooth functionality that may be used in different ways, including transmitting encoded information from the infected system over the Bluetooth protocol, acting as a Bluetooth beacon, and identifying other Bluetooth devices in the vicinity.(Citation: Symantec Beetlejuice)

Enterprise T1036 .010 Masquerading: Masquerade Account Name

Flame can create backdoor accounts with login `HelpAssistant` on domain connected systems if appropriate rights are available.(Citation: Kaspersky Flame)(Citation: Kaspersky Flame Functionality)

Enterprise T1518 .001 Software Discovery: Security Software Discovery

Flame identifies security software such as antivirus through the Security module.(Citation: Kaspersky Flame)(Citation: Kaspersky Flame Functionality)

Enterprise T1218 .011 System Binary Proxy Execution: Rundll32

Rundll32.exe is used as a way of executing Flame at the command-line.(Citation: Crysys Skywiper)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.