Dipl.-Inform. Carsten Eilers

Flame ist ein typischer "Jäger und Sammler", es gibt wohl kaum eine Information oder Datei, die der Schädling nicht sammelt - man könnte sie ja mal gebrauchen. Und wie transportiert man solche Datenmengen zu den Angreifern? Vor allem, wenn Flame in eine besonders gesicherten Umgebung eingedrungen ist? Das verrät Mikko Hypponen von F-Secure ganz nebenbei in einem Artikel, der eigentlich nur mit dem "Flame is Lame" aufräumen soll:

"7. The stolen info is sent out by infecting USB sticks that are used in an infected machine and copying an encrypted SQLLite database to the sticks, to be sent when they are used outside of the closed environment. This way data can be exfiltrated even from a high-security environment with no network connectivity."

Flame ist im großen und ganzen nichts besonderes, das meiste gab es vorher schon mal, wenn auch nicht in dieser Kombination und Konzentration. Aber gerade weil er so gross ist, enthält er halt auch viele Feinheiten, die erst nach und nach ans Tageslicht kommen. Und die haben es zum Teil dann eben doch in sich.

Die Command&Control-Server

Kaspersky ist den Command&Control-Servern von Flame auf der Spur. Für 28 von Flame genutzte Domainnamen war ein Sinkholing möglich, die Flame-Installationen nehmen in diesen Fällen also Verbindung mit einem Server unter der Kontrolle von Kaspersky auf.

In der Default-Konfiguration enthält Flame eine Liste mit 5 C&C-Servern. Weitere können in einer lokalen Datenbank gespeichert werden, die vom C&C-Server aktualisiert werden kann. Darin sind i.A. weitere 5 oder 6 Domains gespeichert. Insgesamt ermittelte Kaspersky über 80 von Flame genutzte Domainnamen. Die Server standen in Deutschland, Hong Kong, Malaysia, Polen, der Schweiz, der Türkei und weiteren Staaten. Bis zu 22 unterschiedliche IP-Adressen wurden ermittelt, auf 5 Servern gelang Kaspersky der Zugriff. Kaspersky hat noch eine ganze Reihe von Statistiken zusammengestellt.

Anhand der registrierten Domainnamen konnte der Beginn der Flame-Angriffe bis 2008 zurückverfolgt werden.

Flame im Selbstmord-Modus

Nachdem Flame entdeckt wurde, wurde dessen Hintermännern wohl der Boden zu heiß, und sie aktivierten eine weitere Funktion von Flame: Einige Command&Control-Server lieferten eine Datei mit dem Namen browse32.ocx aus, deren einzige Aufgabe das restlose Entfernen von Flame und allen Komponenten ist. Das Modul löscht nach und nach alle zu Flame gehörenden Dateien und zum Schluss sich selbst. Eigentlich wäre für diese Aufgabe das Modul Suicide mit einem identischen Funktionsumfang zuständig. Wieso die Angreifer statt dessen das erst am 9. Mai 2012 erzeugte Modul browse32.ocx nutzten, ist (natürlich) nicht bekannt.

Das neue Modul wurde in einem Honeypot gefunden, auf infizierten Rechner wäre es nach getaner Arbeit nicht mehr zu entdecken.

Flame und die Verbindung zu Stuxnet

Kaspersky hat eine Verbindung zwischen Flame und Stuxnet gefunden. Die sog. "Resource 207" von Stuxnet ist eine verschlüsselte DLL-Datei, die eine PE-Datei enthält. Und diese PE-Datei wurde nun als Prototyp eines Flame-Plugins identifiziert. Dabei handelt es sich um Code zur Verbreitung über mobile Massenspeicher mit Hilfe der autorun.inf, der nur in der Stuxnet-Version von 2009 verwendet wurde und 2010 durch neuen Code ersetzt wurde. Das Flame-Modul nutzt u.A. eine damals unbekannte Privilegieneskalations-Schwachstelle aus, enthielt also einen 0-Day-Exploit.

Kaspersky geht davon aus, das Stuxnet und Flame spätestens seit 2007/2008 von zwei unabhängigen Gruppen entwickelt wurden und 2009 Sourcecode von Flame für Stuxnet übernommen wurde. Seit 2010 wurden die Schädlinge dann wieder unabhängig voneinander entwickelt. Dabei gab es zumindest einen gewissen Informationsaustausch, da die gleichen Schwachstellen ausgenutzt wurden.

Carsten Eilers