Sicherheitsexperten entschlüsseln Malware-Steuerzentrale

Flame: Analyse der Command and Control Server

| Autor / Redakteur: Dennis Kowalski / Peter Schmitz

Drei noch nicht entdeckte Schädlinge und mehr Infektionen als gedacht: Die Analyse der Flame Command & Control Server durch Sicherheitsexperten zeigt, wie professionell das Spionagetool entwickelt wurde.
Drei noch nicht entdeckte Schädlinge und mehr Infektionen als gedacht: Die Analyse der Flame Command & Control Server durch Sicherheitsexperten zeigt, wie professionell das Spionagetool entwickelt wurde.

Ein Team von Sicherheitsexperten konnte jetzt den Aufbau zweier Command and Control Server für den Flame Trojaner entschlüsseln und fanden dabei Hinweise auf drei bisher noch nicht entdeckte Schädlinge. Die Ergebnisse erlauben auch genaue Rückschlüsse auf die Entwickler.

Um die Supermalware Flame/Flamer ist es ruhig geworden, aber das technisch hochentwickelte Spionagetool gibt Sicherheitsexperten noch immer eine ganze Menge Rätsel auf. Der Superspion Flame wurde erstmals im Mai 2012 publik. Wir berichteten dazu bereits: Flame: Superwaffe im Cyberkrieg. Eine Gruppe aus Sicherheitsspezialisten des BSI, des ITU-IMPACT, der Kaspersky Labs und Symantec Labs haben nun einen umfassenden Bericht zu der Analyse zweier Command and Control Server veröffentlicht.

Die Serverstruktur

Bei den beschlagnahmten Servern handelte es sich um eine Debian Installation die in einer OpenVZ Virtualisierung lief. Der Command and Control Server, im folgenden CC-Server genannt bestand aus den Programmiersprachen PHP, Python und bash. Zudem wurde eine MySQL Datenbank genutzt.

Die Nutzung von OpenVZ erschwerte die Analyse, da es so nicht möglich war den freien Festplattenbereich näher auf gelöschte Daten zu analysieren. Der Server konnte über HTTPS und den Ports 443 und 8080 erreicht werden. Die Grafische Oberfläche, die unter "newsforyou/CP/CP.php" zu finden war erstaunte die Spezialisten, denn Sie war sehr minimalistisch gestaltet. Dies weicht von dem bisherigen Bild bekannter Botnet Server ab, da dort die Betreiber sehr gerne aufwendige Photoshop Grafiken nutzen. Die Analysten fanden das Passwort zu dem Adminzugang als unsalted Hash in der Datenbank und ersetzten es um sich mit einem eigenen Passwort einloggen zu können.

Bei der Entwicklung wurde auf bei Botnetzen oft gesehene Begriffe wie bot,botnet,infection verzichtet und dafür eher allgemein vorkommende Begriffe gewählt. Man wollte eindeutig unentdeckt bleiben.

Ein weiterer technischer Unterschied zu bisher bekannten CC-Servern ist die Steuerung über Steuerungspakete in Form von "tar.gz"-Containern. Diese werden an den CC-Server übermittelt wo sie dann entpackt als ".ads" und ".news" Dateien in namensgleiche Verzeichnisse verschoben werden. Diese werden dann verarbeitet und resultieren in Befehlen die an die Clients weitergeleitet werden. Der Admin kann so alle infizierten oder einzelne Systeme mit updates versorgen. Zudem wurden die Befehle mit Prioritäten versehen wodurch eine Abfolge von Befehlen möglich ist.

Schaltzentrale für weitere Schädlinge

Bei der Analyse des Sourcecodes konnten vier Kommunikationsprotokolle gefunden werden, die sehr stark vermuten lassen, dass es vier verschiedene Schädlinge gibt die durch den CC-Server gesteuert werden können. Die Namen der Protokolle lauten: "OldProtocol, OldProtocolE, SignupProtocol, RedProtocol", wobei RedProtocol noch nicht aktiv implementiert war.

Dies lässt vermuten , dass ein weiterer Schädling sich in der Entwicklungsphase befindet. Die clients wurden intern unter den Namen "IP, SPE, SP und FL" geführt (Siehe Bild 3 in der Bildergalerie). FL konnte eindeutig als Flame identifiziert werden was die Analysten zu dem Schluss kommen lässt, dass es aktuell noch 3 unentdeckte Schädlinge gibt. Aufgrund des Quelltext und der Kommunikationsweise kann definitiv ausgeschlossen werden, dass der CC-Server im Stande wäre mit den Schädlingen Gauss und Stuxnet zu kommunizieren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 35734380 / Malware)