Startseite > Automation > Flame vor der Selbstzerstörung

Schadsoftware

Flame vor der Selbstzerstörung

26. Juni 2012, 11:10 Uhr | Andrea Gillhuber

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Schadsoftware verbreitet sich über Microsoft-Update

Am 3. Juni 2012 gab Microsoft bekannt, dass Teile der Schadsoftware Flame mit Zertifikaten der Microsofts Root Authority gezeichnet waren. So entstand für die angegriffenen Systeme der Eindruck, die Schadsoftware käme direkt von Microsoft. Die Flame-Entwickler nutzten einen Fehler im Terminal Server Licensing Service, mit dem die Anwender Remote-Desktop-Services in ihrem Unternehmen autorisieren, um ihren Code zu authentifizieren. Microsoft veröffentlichte eine Sicherheits-Anweisung, mit deren Hilfe die Anwender die mit diesen Zertifikaten gekennzeichnete Software blockieren können.

Am 6. Juni 2012 informierten die Experten von Kaspersky über ihren Blog Securelist, dass sich die Schadsoftware auch direkt über den Windows Update-Service verbreitet.

Steuerserver nach Flame-Entdeckung sofort offline

Wie schon früh bekannt wurde, konnten die Programmierer von Flame weitere Module für die Schadsoftware hochladen und so den Funktionsumfang erweitern. Dazu griffen die Macher auf ein Botnetz von mehr als 15 Servern und über 80 Domains zurück. Die Registrierungen für diese Domains konnten bis zum Jahr 2008 zurückverfolgt werden. Kaspersky zählte die IP-Adressen, die von den C&C-Domains in den letzten vier Jahren genutzten wurden, und kam dabei auf 22 unterschiedliche Server-IPs. Seit der Entdeckung von Flame konnten die Experten fünf dieser Steuerserver analysieren. Nachdem erstmals über Flame berichtet wurde, gingen alle Server offline.

Auf diesen Servern gingen auch die gesammelten Informationen ein. Die Entwickler waren vor allem an PDF-, Office- und AutoCAD-Dateien interessiert. Komprimiert wurden diese mit hilfe von Open-Source-Programmen wie Zlib und modifizierten PPDM-Kompression.