Flame-Verbreitung über Microsoft-Update
Flame-Verbreitung über Microsoft-Update (Bild: Symantec)

Spionage-Trojaner So konnte Flame Microsofts Updatefunktion missbrauchen

Flame konnte sich über Microsofts Updatefunktion verbreiten. Die Spezialisten von Symantec haben nun erklärt, wie die Angreifer vorgegangen sind, um das Updatesystem von Microsoft auszutricksen.

Anzeige

Symantec hat in einem Blogeintrag detailliert geschildert, wie der Spionage-Trojaner Flame vorgegangen ist, um sich über Microsofts Updatesystem zu verteilen. Die Flame-Macher haben sich dazu angeschaut, wie der Internet Explorer in lokalen Netzwerken nach Proxy-Servern sucht. Microsofts Browser tut dies beim Programmstart über das Web Proxy Auto-Discovery Protocol (WPAD).

Wenn der Browser dann eine Konfigurationsdatei für Proxy-Server (wpad.dat) findet, übernimmt er die Einstellungen. Diese müssen zum Domainnamen des Computers passen. Zur Ermittlung der IP-Adressen wird der DNS-Server befragt. Wenn dieser keine passenden Einträge hat, geht es weiter über Wins oder Netbios.

Snack gibt sich als WPAD-Server aus

Auf dem infizierten System wartet die Schadkomponente Snack auf solche Anfragen. Snack beantwortet die Netbios-Anfrage und gaukelt dem Browser vor, es handele sich um einen WPAD-Server, indem es eine präparierte wpad.dat versendet. In dieser Datei ist als Proxy-Server ein Computer der Angreifer aufgeführt, über den dann der gesamte Datenverkehr abgewickelt wird. Eine solche Attacke über Netbios ist nicht so unüblich und als Angriffsmöglichkeit bekannt. Sie ist in vielen Hackertools enthalten.

  • Flame-Verbreitung über Microsoft-Update (Quelle: Symantec)
Flame-Verbreitung über Microsoft-Update (Quelle: Symantec)

Über den zu Flame gehörenden Proxy-Server Munch laufen dann alle Internetzugriffe. Die meisten Abfragen leitet der Proxy-Server nur durch, damit der Attackierte von dem Angriff nichts bemerkt. Aber auch Abfragen zum Microsoft-Update laufen künftig über Munch, die dieser an die wiederum zu Flame gehörende Komponente Gadget umleitet. Diese wiederum täuscht gegenüber dem System vor, es gebe ein Update für die Gadget-Funktion in Windows, um das Opfer so dazu zu bringen, die Flame-Komponente Tumbler eigenhändig zu installieren.

Tumbler tarnt sich als Windows-Update

Tumbler wird als vertrauenswürdiges Update erkannt, weil es mit einem Microsoft-Zertifikat markiert ist. Auf diese gefälschten Zertifikate hat Microsoft erst kürzlich hingewiesen.

Selbst nach der Installation von Tumbler ist das System noch immer nicht mit Flame infiziert. Tumbler lädt Flame später vom Munch-Server herunter und installiert die Schadsoftware, ohne dass der Anwender davon etwas bemerkt. Vorher überprüft Tumbler noch, ob auf dem System Sicherheitsanwendungen installiert sind.

Nach dem Sicherheitsupdate von dieser Woche wegen der gefälschten Zertifikate will Microsoft auch die eigene Updateroutine besser absichern. Details dazu will Microsoft aber erst später verraten.


enteon 07. Jun 2012

Auf dem infizierten System wartet die Schadkomponente Snack auf solche Anfragen.

__destruct() 07. Jun 2012

kwT.

Vorsteher 06. Jun 2012

stimme ich zu. morgen steigen wir auf dein oder ein besseres OS um. bis später

Kommentieren



Anzeige

  1. Consultant - Rollout eines CMS (m/w)
    Daimler AG, Stuttgart
  2. IT Solution Architect (m/w)
    evosoft GmbH, Nürnberg
  3. SW-Requirements-Manager (m/w)
    Daimler AG, Kirchheim
  4. Traineeprogramm mit dem Schwerpunkt IT
    EWE Aktiengesellschaft, Oldenburg

 

Detailsuche


Top-Angebote
  1. VORBESTELLBAR: J-Stars Victory Versus + (PS3/PS4/PS Vita)
    (49,99€/69,99€/39,99€) (Vorbesteller-Preisgarantie) - Release 26.06.
  2. TIPP: Geniales Humble Bundle
    Zahlt so viel ihr wollt für Dragon Age Origins, Dead Space 2 und Command & Conquer Generals. Wer...
  3. VORBESTELLBAR: PlayStation 4 Limited Edition "Batman: Arkham Knight"
    459,00€ (Vorbesteller-Preisgarantie) - Release 23.06.

 

Weitere Angebote


Folgen Sie uns
       


  1. Negativauszeichnung

    Lauschende Barbie erhält Big Brother Award

  2. Bemannte Raumfahrt

    Russland will bis 2023 eigene Raumstation bauen

  3. Windows 10 für Smartphones

    Office-Universal-App kommt noch im April

  4. Keine Science-Fiction

    Mit dem Laser gegen Weltraumschrott

  5. Die Woche im Video

    Ein Zombie, Insekten und Lollipop

  6. Star Wars Battlefront

    Planetenkampf vor dem Erwachen der Macht

  7. Geodaten

    200 Beschäftigte verpixelten Google-Street-View-Häuser

  8. Windkraftwerke

    Kletterroboter überprüft Windräder

  9. Inside Abbey Road

    Mit Google durch das berühmteste Musikstudio der Welt

  10. ÖBB

    WLAN im Spaceshuttle einfacher zu machen als im Zug



Haben wir etwas übersehen?

E-Mail an news@golem.de



P8 im Hands On: Huawei setzt auf die Kamera
P8 im Hands On
Huawei setzt auf die Kamera
  1. Huawei P8 Max Riesen-Smartphone mit 6,8-Zoll-Display kostet 550 Euro
  2. Netzwerk und Smartphone Huawei verdient 4,5 Milliarden US-Dollar
  3. Neue Kirin-Prozessoren Nächstes Google Nexus soll von Huawei kommen

Vorratsdatenspeicherung: Das erste Placebo mit Nebenwirkungen
Vorratsdatenspeicherung
Das erste Placebo mit Nebenwirkungen
  1. Überwachung Telekom begrüßt Speicherdauer der Vorratsdatenspeicherung
  2. Vorratsdatenspeicherung Regierung will Verkehrsdaten zehn Wochen lang speichern
  3. Asyl für Snowden Bundesregierung bestreitet Drohungen der USA

Vindskip: Das Schiff der Zukunft segelt hart am Wind
Vindskip
Das Schiff der Zukunft segelt hart am Wind
  1. Volvo Lifepaint Reflektorfarbe aus der Dose schützt Radfahrer
  2. Munin Moderne Geisterschiffe brauchen keinen Steuermann
  3. Globales Transportnetz China will längsten Tunnel am Meeresgrund bauen

  1. Re: Wenn schon, denn schon

    Workoft | 05:36

  2. Wir werden wieder abhängiger vom Wetter sein

    Workoft | 05:34

  3. Re: Typisch Deutschland...

    Badewanne | 04:34

  4. Re: falscher weg

    Alashazz | 04:21

  5. Re: Pervert

    VerkaufAlles | 04:14


  1. 22:59

  2. 15:13

  3. 14:40

  4. 13:28

  5. 09:01

  6. 20:53

  7. 19:22

  8. 18:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel