Flames Sammelwut, C&C-Server, Selbstmord-Modus und Verbindung zu Stuxnet
Flames Angriff auf bzw. über Windows Update-Funktion lässt sich kaum noch übertreffen, aber ein paar weitere Besonderheiten hat der Riesen-Schädling doch noch parat.
Flames Sammelwut
Flame ist ein typischer "Jäger und Sammler", es gibt wohl kaum eine Information oder Datei, die der Schädling nicht sammelt - man könnte sie ja mal gebrauchen. Und wie transportiert man solche Datenmengen zu den Angreifern? Vor allem, wenn Flame in eine besonders gesicherten Umgebung eingedrungen ist? Das verrät Mikko Hypponen von F-Secure ganz nebenbei in einem Artikel, der eigentlich nur mit dem "Flame is Lame" aufräumen soll:
"7. The stolen info is sent out by infecting USB sticks that are used in an infected machine and copying an encrypted SQLLite database to the sticks, to be sent when they are used outside of the closed environment. This way data can be exfiltrated even from a high-security environment with no network connectivity."
Flame ist im großen und ganzen nichts besonderes, das meiste gab es vorher schon mal, wenn auch nicht in dieser Kombination und Konzentration. Aber gerade weil er so gross ist, enthält er halt auch viele Feinheiten, die erst nach und nach ans Tageslicht kommen. Und die haben es zum Teil dann eben doch in sich.
Die Command&Control-Server
Kaspersky ist den Command&Control-Servern von Flame auf der Spur. Für 28 von Flame genutzte Domainnamen war ein Sinkholing möglich, die Flame-Installationen nehmen in diesen Fällen also Verbindung mit einem Server unter der Kontrolle von Kaspersky auf.
In der Default-Konfiguration enthält Flame eine Liste mit 5 C&C-Servern. Weitere können in einer lokalen Datenbank gespeichert werden, die vom C&C-Server aktualisiert werden kann. Darin sind i.A. weitere 5 oder 6 Domains gespeichert. Insgesamt ermittelte Kaspersky über 80 von Flame genutzte Domainnamen. Die Server standen in Deutschland, Hong Kong, Malaysia, Polen, der Schweiz, der Türkei und weiteren Staaten. Bis zu 22 unterschiedliche IP-Adressen wurden ermittelt, auf 5 Servern gelang Kaspersky der Zugriff. Kaspersky hat noch eine ganze Reihe von Statistiken zusammengestellt.
Anhand der registrierten Domainnamen konnte der Beginn der Flame-Angriffe bis 2008 zurückverfolgt werden.
Flame im Selbstmord-Modus
Nachdem Flame entdeckt wurde, wurde dessen Hintermännern wohl der Boden zu
heiß, und sie
aktivierten
eine weitere Funktion von Flame: Einige Command&Control-Server
lieferten eine Datei mit dem Namen browse32.ocx
aus, deren
einzige Aufgabe das restlose Entfernen von Flame und allen Komponenten ist.
Das Modul löscht nach und nach alle zu Flame gehörenden Dateien
und zum Schluss sich selbst. Eigentlich wäre für diese Aufgabe
das Modul Suicide mit einem identischen Funktionsumfang
zuständig. Wieso die Angreifer statt dessen das erst am 9. Mai 2012
erzeugte Modul browse32.ocx
nutzten, ist (natürlich)
nicht bekannt.
Das neue Modul wurde in einem Honeypot gefunden, auf infizierten Rechner wäre es nach getaner Arbeit nicht mehr zu entdecken.
Flame und die Verbindung zu Stuxnet
Kaspersky hat eine Verbindung zwischen Flame und Stuxnet
gefunden.
Die sog. "Resource 207" von Stuxnet ist eine verschlüsselte
DLL-Datei, die eine PE-Datei enthält. Und diese PE-Datei wurde nun
als Prototyp eines Flame-Plugins identifiziert. Dabei handelt es sich um
Code zur Verbreitung über mobile Massenspeicher mit Hilfe der
autorun.inf
, der nur in der Stuxnet-Version von 2009 verwendet
wurde und 2010 durch neuen Code ersetzt wurde. Das Flame-Modul nutzt u.A.
eine damals unbekannte Privilegieneskalations-Schwachstelle aus, enthielt
also einen 0-Day-Exploit.
Kaspersky geht davon aus, das Stuxnet und Flame spätestens seit 2007/2008 von zwei unabhängigen Gruppen entwickelt wurden und 2009 Sourcecode von Flame für Stuxnet übernommen wurde. Seit 2010 wurden die Schädlinge dann wieder unabhängig voneinander entwickelt. Dabei gab es zumindest einen gewissen Informationsaustausch, da die gleichen Schwachstellen ausgenutzt wurden.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Flame schlummert vor sich hin, und der Iran wird (schon wieder?) angegriffen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu Flame, einem neuen Wurm, einem auf Java spezialisierten Exploit-Kit und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 3.2013 - Unsicherer Serial Bus
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.