Sicherheitsexperten entschlüsseln Malware-Steuerzentrale

Flame: Analyse der Command and Control Server

Seite: 3/3

Löschskripte und die Spionagedaten

Es wurden diverse Skripte genutzt um den Server für die Funktion als CC-Server vorzubereiten sowie darauf zu achten ihn nicht mit gesammelten Daten voll laufen zu lassen. Das Server vorbereitende Skript zeigt auf, dass die Entwickler eine größere Anzahl an CC-Servern in Planung hatten und sich nicht die Arbeit machen wollten jeden Server einzeln manuell vorzubereiten. Eine in diesem Skript enthaltene Funktion zeigt auf, dass wohl Debian enthaltene Funktionen nicht so ganz bekannt waren und man hier von RedHat stammende Funktionen nutzen wollte, was das Entwicklerprofil immer deutlicher werden lässt.

Da anhand von diverser Löschskripte gesammelte Daten von den Betreibern alle 30 Minuten abgeholt und vom CC-Server gelöscht wurden ist es sehr schwer Aussagen über die gesamt gesammelte Datenmenge zu treffen. Jedoch konnte aufgrund eines Fehlers der Betreiber eine Menge von komprimiert 5.5 GB gesammelter Daten die nicht gelöscht wurden sicher gestellt werden. Zudem wurde vergessen auf einem CC-Server die HTTP Logs zu löschen wodurch man sich einen Überblick über Menge und Verteilung von Anfragen verschaffen konnte.

Bildergalerie
Bildergalerie mit 5 Bildern

So wurden die Zugriffe einer Woche analysiert. Innerhalb dieser einen Woche (25.03.12-02.04.2012) verbanden sich 5377 einzelne IP-Adressen mit dem CC-Server, von denen 3702 aus dem Iran und 1280 aus dem Sudan stammen (Siehe Bild 5 in der Bildergalerie). In bisher veröffentlichten Statistiken tauchte der Sudan gar nicht auf.

Sinkhole

Die Kaspersky Labs waren in der Lage einen CC-Server zu simulieren und so eingehende Verbindung infizierter Systeme zu analysieren. Man konnte Verbindungen über 2 der genannten Protokolle feststellen: OldProtocol und OldProtocolE. Oldprotocol wurde Flame zugeordnet und OldprotocolE dem Schädling mit dem internen Namen SPE, was der Beweis ist, dass SPE aktiv verbreitet ist.

Zusammenfassung der Erkenntnisse

Die Entwicklung der Flame-Plattform begann Anfang Dezember 2006. Anhand von Quelltext Kommentaren konnten vier Entwickler bestimmt werden. Die letzte bekannte Quelltextänderung fand am 18 Mai 2012 statt. Der CC-Server ist in der Lage vier verschiedene Trojaner zu verwalten (SP, SPE, FL und IP). Es gibt 3 Kommunikationsprotokolle (OldProtocol, OldProtocolE, SignupProtocol).

Nur Flame ist von den vier Schädlingen bekannt. Der Schädling SPE ist verteilt und aktiv. Flame gehört zu den älteren der Schädlinge. Das noch nicht fertig gestellt Protokoll „RedProtocol“ zeigt auf dass die Entwicklung noch nicht komplett fertig gestellt war.

(ID:35734380)