Abo
  • IT-Karriere:

Spionage-Trojaner: So konnte Flame Microsofts Updatefunktion missbrauchen

Flame konnte sich über Microsofts Updatefunktion verbreiten. Die Spezialisten von Symantec haben nun erklärt, wie die Angreifer vorgegangen sind, um das Updatesystem von Microsoft auszutricksen.

Artikel veröffentlicht am ,
Flame-Verbreitung über Microsoft-Update
Flame-Verbreitung über Microsoft-Update (Bild: Symantec)

Symantec hat in einem Blogeintrag detailliert geschildert, wie der Spionage-Trojaner Flame vorgegangen ist, um sich über Microsofts Updatesystem zu verteilen. Die Flame-Macher haben sich dazu angeschaut, wie der Internet Explorer in lokalen Netzwerken nach Proxy-Servern sucht. Microsofts Browser tut dies beim Programmstart über das Web Proxy Auto-Discovery Protocol (WPAD).

Stellenmarkt
  1. Kratzer EDV GmbH, München
  2. EnBW Energie Baden-Württemberg AG, Karlsruhe

Wenn der Browser dann eine Konfigurationsdatei für Proxy-Server (wpad.dat) findet, übernimmt er die Einstellungen. Diese müssen zum Domainnamen des Computers passen. Zur Ermittlung der IP-Adressen wird der DNS-Server befragt. Wenn dieser keine passenden Einträge hat, geht es weiter über Wins oder Netbios.

Snack gibt sich als WPAD-Server aus

Auf dem infizierten System wartet die Schadkomponente Snack auf solche Anfragen. Snack beantwortet die Netbios-Anfrage und gaukelt dem Browser vor, es handele sich um einen WPAD-Server, indem es eine präparierte wpad.dat versendet. In dieser Datei ist als Proxy-Server ein Computer der Angreifer aufgeführt, über den dann der gesamte Datenverkehr abgewickelt wird. Eine solche Attacke über Netbios ist nicht so unüblich und als Angriffsmöglichkeit bekannt. Sie ist in vielen Hackertools enthalten.

  • Flame-Verbreitung über Microsoft-Update (Quelle: Symantec)
Flame-Verbreitung über Microsoft-Update (Quelle: Symantec)

Über den zu Flame gehörenden Proxy-Server Munch laufen dann alle Internetzugriffe. Die meisten Abfragen leitet der Proxy-Server nur durch, damit der Attackierte von dem Angriff nichts bemerkt. Aber auch Abfragen zum Microsoft-Update laufen künftig über Munch, die dieser an die wiederum zu Flame gehörende Komponente Gadget umleitet. Diese wiederum täuscht gegenüber dem System vor, es gebe ein Update für die Gadget-Funktion in Windows, um das Opfer so dazu zu bringen, die Flame-Komponente Tumbler eigenhändig zu installieren.

Tumbler tarnt sich als Windows-Update

Tumbler wird als vertrauenswürdiges Update erkannt, weil es mit einem Microsoft-Zertifikat markiert ist. Auf diese gefälschten Zertifikate hat Microsoft erst kürzlich hingewiesen.

Selbst nach der Installation von Tumbler ist das System noch immer nicht mit Flame infiziert. Tumbler lädt Flame später vom Munch-Server herunter und installiert die Schadsoftware, ohne dass der Anwender davon etwas bemerkt. Vorher überprüft Tumbler noch, ob auf dem System Sicherheitsanwendungen installiert sind.

Nach dem Sicherheitsupdate von dieser Woche wegen der gefälschten Zertifikate will Microsoft auch die eigene Updateroutine besser absichern. Details dazu will Microsoft aber erst später verraten.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 49,70€

enteon 07. Jun 2012

Auf dem infizierten System wartet die Schadkomponente Snack auf solche Anfragen.

__destruct() 07. Jun 2012

kwT.

Vorsteher 06. Jun 2012

stimme ich zu. morgen steigen wir auf dein oder ein besseres OS um. bis später


Folgen Sie uns
       


Asus Studiobook Pro X (Ifa 2019)

Das Studiobook Pro X ist mit Xeon-Prozessor, Quadro GPU und einem Preis von 4300 Euro eindeutig auf professionelle Anwender ausgerichtet.

Asus Studiobook Pro X (Ifa 2019) Video aufrufen
Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Epyc 7H12 & Ryzen 5 3500X AMD bringt 280-Watt-CPU und plant günstigen Sechskerner
  2. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  3. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000

Innovationen auf der IAA: Vom Abbiegeassistenten bis zum Solarglasdach
Innovationen auf der IAA
Vom Abbiegeassistenten bis zum Solarglasdach

IAA 2019 Auf der IAA in Frankfurt sieht man nicht nur neue Autos, sondern auch etliche innovative Anwendungen und Bauteile. Zulieferer und Forscher präsentieren in Frankfurt ihre Ideen. Eine kleine Auswahl.
Ein Bericht von Dirk Kunde

  1. E-Auto Byton zeigt die Produktionsversion des M-Byte

Umwelt: Grüne Energie aus der Toilette
Umwelt
Grüne Energie aus der Toilette

In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
Von Monika Rößiger

  1. Fridays for Future Klimastreiks online und offline

    •  /