Flame/Flamer/Skywiper – Komplexeste/raffinierteste Malware aller Zeiten?

05.06.2012
G DATA Blog

Die als Flame bezeichnete Malware verfügt über zahlreiche Funktionen, die sie auf den ersten Blick als einen der raffiniertesten Schädlinge erscheinen lässt, die je entdeckt wurden. Was die Komplexität angeht... da gibt es Interpretationsspielraum. Die Malware greift weder auf Verschleierungstechniken zurück, um ihren Code zu tarnen, noch weist sie ein gänzlich neues Malware-Verhalten auf.

Flame unterscheidet sich zwar im Hinblick auf Dateigröße und Komplexität und verfügt über zahlreiche Möglichkeiten, aber keine dieser Möglichkeiten ist bahnbrechend oder neu, denn alle diese Funktionen sind uns bereits bekannt. Darüber hinaus ist sehr schwer zu ermitteln, wie viele Computer bereits infiziert wurden und es immer noch sind. Fakt ist: Wir werden es nie genau wissen, da sich Flame von einem infizierten Rechner selbst effizient löschen kann.

Nachstehend ein kurze Zusammenfassung unserer Analyse:

Nach der Analyse der Malware, konnten wir einige Ergebnisse des CrySyS Lab (Technische und Wirtschaftswissenschaftliche Universität Budapest, Ungarn) und der Kaspersky Labs bestätigen.

Die meisten Presseveröffentlichungen berichteten von einem neu erkannten Toolkit. Sie bezeichneten es als "komplexesten/raffiniertesten" Schädling in der Geschichte der Malware-Industrie. Aufgrund der folgenden Leistungsmerkmale ist die Malware tatsächlich vielseitig einsetzbar:

  • Sie verfügt über ein hochentwickeltes Angriffs-Toolkit, um ihre Absichten zu verwirklichen:
  • Die Malware erzeugt in c:\program files\common files\microsoft shared\mssecuritymgr\ eine Datei mit der Bezeichnung “mscrypt.dat” – Dabei handelt es sich um eine verschlüsselte Datei, die Code, Daten und einige Konfigurationsparameter enthält, die für Angriffe eingesetzt werden. Laut CrySyS kann die Datei mit Hilfe einer speziell für DAT-Dateien konzipierten Tabelle entschlüsselt werden, die ebenfalls in den Malware-Code integriert ist.
  • Mit einer Größe von fast 6 MB ist die Hauptdatei “mssecmgr.ocx” schwer zu debuggen.
  • Sie verfügt über Funktionen wie einen Backdoor, einen Trojaner, einen Wurm und spezielle Zusatzprogramme für Datendiebstahl (die über die Befehle des Angreifers gesteuert werden).
  • Sie implementiert ihren Code in die Systemdateien, um ihr Fortbestehen auf dem infizierten Rechner sicherzustellen (z. B. explorer.exe (shell32.dll), services.exe, winlogon.exe):
  • Sie umgeht einige AV-Produkte, die auf dem infizierten Rechner installiert sind:
  • Eine der Strategien, um ihr Fortbestehen im infizierten System zu gewährleisten, besteht darin, den LSA-Registry-Eintrag zu manipulieren, indem sie sich selbst als LSA-Authentifizierungspaket hinzufügt.
  • Bevor sie ihre Ausführung fortsetzt, überprüft sie mit Hilfe der Windows Update-Funktion die Internetverbindung.
  • Die Backdoor-Funktionalität zum Sammeln sensibler Daten verwendet die C&C-Kommunikationstechnologie (HTTP-Protokoll über SSL/SSH-Tunnel), um Befehle von diversen, weltweit verteilten Servern zu versenden und zu empfangen sowie um folgende Daten zu stehlen:
  1. Sucht nach Informationen zum infizierten Rechner
  2. Kann auf Laufwerksinformationen zugreifen
  3. Kann nach Informationen zu verfügbaren Dokumenten suchen
  4. Kann Screenshots erstellen und über das im Computer integrierte Mikrofon Audiodaten aufzeichnen (Mitschnitt von Umgebungsgeräuschen, wie z. B. streng geheime Gespräche)
  5. Kann auf die Bluetooth-Verbindung zugreifen, um über den infizierten Rechner Geräte mit aktivierter Bluetooth-Funktion in der näheren Umgebung aufzuspüren
  6. Kann alle Dateinamen in einem speziellen Verzeichnis auflisten
  7. Kann 'grundsätzlich alles’ tun, was der Angreifer will, da dieser bereits über alle Berechtigungen auf dem infizierten Rechner verfügt.

  

  • Die Malware verfügt über eine eigene Datenbankfunktionalität, um die gesammelten Daten zu speichern.
  • Sie kann darüber hinaus SQLite-Befehle ausführen und verfügt über eingebettete Lua-Scripte, um auf die Datenbank zuzugreifen. Die Verwendung dieser Technik ist bei anderen Toolkits recht unüblich. Mit diesem Scripting können die Angreifer problemlos bösartige Anweisungen einbetten:
  • Die Malware kann auch Netzwerk-Traffic erfassen.
  • Eine Möglichkeit, sich in einem lokalen Netzwerk auszubreiten, besteht darin Druckerschwachstellen (z. B. CVE-2010-2729), Remote-Aufträge und Wechseldatenträger (USB-Sticks, externe Festplatten usw.) auszunutzen.

In der Hauptdatei mssecmgr.ocx sind Debug-Informationen eingebettet, die die Analyse ein wenig erleichtern. Es werden keine Verschleierungs- oder Packing-Techniken eingesetzt, um den Schadcode zu tarnen. Gleichwohl ist Flame zu groß, um kurzfristig vollständig analysiert zu werden. 

Da das Hauptziel dieser Malware darin besteht, auf vielfältige Weise Daten zu stehlen, müssen die Sicherheitsexperten ermitteln, wohin die gesammelten und gespeicherten Daten gesendet werden.

Wer steckt hinter diesem Angriff? Was sind die wahren Absichten und welche Art von geheimen Daten wird zu welchen Zwecken gesammelt? Wurde die Malware entwickelt, um staatliche Institutionen, Konzerne oder die Privatwirtschaft auszuspionieren? Das ist bislang noch nicht eindeutig geklärt. Die von uns analysierte Malware verfügt über eine umfangreiche Funktionalität, die gegen eine bestimmte Organisation als Cyber-Waffe eingesetzt wurde oder eingesetzt werden kann, um einen gezielten Angriff durchzuführen. Höchstwahrscheinlich wurde sie entwickelt, um ausgewählte Computer/Organisationen, insbesondere staatliche Organisationen, auszuspähen.

Ein anderer Aspekt, den es in den nächsten Monaten zu verfolgen gilt: Werden die Angreifer und Code-Programmierer die Arbeit an Flame einstellen oder werden sie ihr Projekt fortsetzen und die Malware in Bezug auf die jüngsten Entdeckungen verbessern? 

Deshalb werden auch wir die Situation weiter im Auge behalten!

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein