Flame-Verbreitung über Microsoft-Update
Flame-Verbreitung über Microsoft-Update (Bild: Symantec)

Spionage-Trojaner So konnte Flame Microsofts Updatefunktion missbrauchen

Flame konnte sich über Microsofts Updatefunktion verbreiten. Die Spezialisten von Symantec haben nun erklärt, wie die Angreifer vorgegangen sind, um das Updatesystem von Microsoft auszutricksen.

Anzeige

Symantec hat in einem Blogeintrag detailliert geschildert, wie der Spionage-Trojaner Flame vorgegangen ist, um sich über Microsofts Updatesystem zu verteilen. Die Flame-Macher haben sich dazu angeschaut, wie der Internet Explorer in lokalen Netzwerken nach Proxy-Servern sucht. Microsofts Browser tut dies beim Programmstart über das Web Proxy Auto-Discovery Protocol (WPAD).

Wenn der Browser dann eine Konfigurationsdatei für Proxy-Server (wpad.dat) findet, übernimmt er die Einstellungen. Diese müssen zum Domainnamen des Computers passen. Zur Ermittlung der IP-Adressen wird der DNS-Server befragt. Wenn dieser keine passenden Einträge hat, geht es weiter über Wins oder Netbios.

Snack gibt sich als WPAD-Server aus

Auf dem infizierten System wartet die Schadkomponente Snack auf solche Anfragen. Snack beantwortet die Netbios-Anfrage und gaukelt dem Browser vor, es handele sich um einen WPAD-Server, indem es eine präparierte wpad.dat versendet. In dieser Datei ist als Proxy-Server ein Computer der Angreifer aufgeführt, über den dann der gesamte Datenverkehr abgewickelt wird. Eine solche Attacke über Netbios ist nicht so unüblich und als Angriffsmöglichkeit bekannt. Sie ist in vielen Hackertools enthalten.

  • Flame-Verbreitung über Microsoft-Update (Quelle: Symantec)
Flame-Verbreitung über Microsoft-Update (Quelle: Symantec)

Über den zu Flame gehörenden Proxy-Server Munch laufen dann alle Internetzugriffe. Die meisten Abfragen leitet der Proxy-Server nur durch, damit der Attackierte von dem Angriff nichts bemerkt. Aber auch Abfragen zum Microsoft-Update laufen künftig über Munch, die dieser an die wiederum zu Flame gehörende Komponente Gadget umleitet. Diese wiederum täuscht gegenüber dem System vor, es gebe ein Update für die Gadget-Funktion in Windows, um das Opfer so dazu zu bringen, die Flame-Komponente Tumbler eigenhändig zu installieren.

Tumbler tarnt sich als Windows-Update

Tumbler wird als vertrauenswürdiges Update erkannt, weil es mit einem Microsoft-Zertifikat markiert ist. Auf diese gefälschten Zertifikate hat Microsoft erst kürzlich hingewiesen.

Selbst nach der Installation von Tumbler ist das System noch immer nicht mit Flame infiziert. Tumbler lädt Flame später vom Munch-Server herunter und installiert die Schadsoftware, ohne dass der Anwender davon etwas bemerkt. Vorher überprüft Tumbler noch, ob auf dem System Sicherheitsanwendungen installiert sind.

Nach dem Sicherheitsupdate von dieser Woche wegen der gefälschten Zertifikate will Microsoft auch die eigene Updateroutine besser absichern. Details dazu will Microsoft aber erst später verraten.


enteon 07. Jun 2012

Auf dem infizierten System wartet die Schadkomponente Snack auf solche Anfragen.

__destruct() 07. Jun 2012

kwT.

Vorsteher 06. Jun 2012

stimme ich zu. morgen steigen wir auf dein oder ein besseres OS um. bis später

Kommentieren



Anzeige

  1. System Engineer (m/w) - Schwerpunkt Netzwerkinfrastruktur & IT-Security
    Bosch Software Innovations GmbH, Berlin, Immenstaad am Bodensee oder Waiblingen
  2. Senior Projektmanager (m/w)
    Medienfabrik Gütersloh GmbH, Gütersloh, Bonn oder Köln
  3. Enterprise Architect - Information Management, Backup & Storage (m/w)
    via 3C - Career Consulting Company GmbH, Home Office
  4. System- und Anwendungsadministrator/-in Linux
    Dataport, Magdeburg

 

Detailsuche


Blu-ray-Angebote
  1. Game of Thrones: Die komplette dritte Staffel [Blu-ray]
    24,97€
  2. Der Hobbit: Die Schlacht der fünf Heere (Steelbook) [Blu-ray] [Limited Edition]
    32,99€ (Release 23.04.)
  3. AMAZON-FILMAKTION (02.03.-08.03.): 5 Blu-rays für 30 EUR
    (u. a. Prisoners, Bad Neighbors, Oblivion, Sinister, Fast & Furious 6)

 

Weitere Angebote


Folgen Sie uns
       


  1. Virtual Reality

    AMDs Liquid VR nutzt eine Grafikkarte pro Auge

  2. Hyundai

    Smartwatch startet Auto

  3. Soziale Netzwerke

    Vernetzt und zugenäht!

  4. Elektromobilität

    Goodyear-Reifen soll Autoakku laden

  5. Runcible

    Das Smartphone, das sich doof stellt

  6. Silent Circle

    PrivateOS 1.1 führt virtualisierte Container ein

  7. Netflix-Konkurrent

    HBO will seine Streamingplattform mit Apple starten

  8. Emeryville-Hauptstudio

    EA schließt Die-Sims-Entwickler Maxis

  9. Marktforscher

    Gartner sieht Apple bei Smartphones vor Samsung

  10. Microsoft

    Kabellose Controller und id@Xbox auch für Windows 10



Haben wir etwas übersehen?

E-Mail an news@golem.de



OxygenOS von Oneplus: "Wir wollen keine Funktionen entwickeln, die nerven"
OxygenOS von Oneplus
"Wir wollen keine Funktionen entwickeln, die nerven"
  1. Oneplus One-Smartphone bekommt Lollipop erst im März
  2. Alternatives ROM Paranoid Android schließt sich Oneplus an
  3. OxygenOS Oneplus greift auf Paranoid-Android-Entwickler zurück

Modulares Smartphone im Hands on: Kinder spielen Lego, Große spielen Ara
Modulares Smartphone im Hands on
Kinder spielen Lego, Große spielen Ara
  1. Project Ara Erster Hersteller hat rund 100 Smartphone-Module fertig
  2. Modulares Smartphone Googles neuer Project-Ara-Prototyp
  3. Project Ara Erstes modulares Smartphone vorerst nur für Puerto Rico

Leistungsschutzrecht: Wie die VG Media der Google-Konkurrenz das Leben schwermacht
Leistungsschutzrecht
Wie die VG Media der Google-Konkurrenz das Leben schwermacht
  1. Anhörung im Bundestag Leistungsschutzrecht findet Unterstützer
  2. Google-Chef Eric Schmidt sieht schon wieder das Ende des Internets
  3. Europäisches Leistungsschutzrecht Oettinger droht wieder mit der Google-Steuer

  1. Re: goodyear erfindet perpetuum mobile

    Lazer | 12:51

  2. Re: Viele hier übersehen folgendes

    Kondratieff | 12:49

  3. Also das!

    divStar | 12:49

  4. Re: Werkstoff Holz

    Helites | 12:48

  5. Re: Warum kann's nicht "Den Einen" geben :(

    thomas001le | 12:47


  1. 12:57

  2. 12:21

  3. 12:09

  4. 12:04

  5. 11:28

  6. 11:25

  7. 11:07

  8. 10:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel