Analysen zur Flame/Flamer Malware

Flame: Superwaffe im Cyberkrieg

Seite: 3/4

Firmen zum Thema

Diese Schwachstellen nutzt Flame

Im Blogeintrag The Flame – Questions and Answers auf Securelist.com gibt Kaspersky sehr ausführliche Angaben über die genutzten Schwachstellen. Flame besitzt 2 Module zur Infektion von USB Sticks, genannt „Autorun Infector“ und „Euphoria“. Die Autorun Infector Funktion nutzt wie schon bei Stuxnet gesehen eine „Autorun.inf“ die auf eine „Shell32.dll“ verweist. Dieses Vorgehen wurde vor Stuxnet noch nicht gesehen. Die Euphoria-Methode nutzt eine LNK-Datei die zur Infektion führt.

Flame hat zudem noch die Möglichkeit sich über das Netzwerk zu verbreiten. Dazu nutzt Flame drei verschiedene Methoden: Zum einen die Druckerschwachstelle MS10-061, die durch den Stuxnet Wurm bekannt wurde. Daneben nutzt Flame die Möglichkeit der Remote Tasks. Hat der aktive Nutzer Domain Admin Rechte so erstellt Flame außerdem auf Domainrechnern sogennante Backdoor Nutzerkonten und nutzt diese um sich dorthin zu kopieren. Die Tatsache dass Flame sich auf die Windows Versionen XP, Vista und 7 Verteilen kann weist daraufhin dass es eine noch unbekannte Zero-Day Schwachstelle ausnutzt die hochbrisant ist.

Bildergalerie

Spuren zum Urheber

Symantec trifft zur Frage nach dem Urheber von Flame die Aussage, dass die so starke modulare Aufbauweise des Schädlings vermuten lässt, dass dieser durch eine Gruppe von Entwicklern geschrieben wurde, mit dem Ziel dieses Projekt über eine längere Zeit zu betreiben.

Die Architektur erlaubt es den Entwicklern die Funktionalität und das Verhalten der Module anzupassen ohne das Gesamte Programm ändern zu müssen. Solche Anpassungen können einfach wie Fixes oder Upgrades eingespielt werden.

Ob der israeliche Geheimdienst dahinter steckt, kann man zum jetzigen Zeitpunkt nicht sagen. Ein klares Dementi oder Bekenntnis seitens Israel gibt es hierzu nicht, jedoch schürt folgende Aussage des Generalstabschefs Mosche Jaloons in einem Interview mit dem Arme-Radiosender „Haaretz“ deutlich die Gerüchteküche: “Bei jedem, der die iranische Bedrohung als bedeutende Bedrohung betrachtet, kann man vernünftigerweise annehmen, dass er unterschiedliche Schritte unternehmen wird, auch solche, um sie zu schädigen." Israel sei "damit gesegnet, reich an Hightech zu sein", und "diese Werkzeuge, auf die wir stolz sind, eröffnen uns vielfältige Möglichkeiten".

(ID:34017340)