Abo
  • Services:
Anzeige
Flame-Verbreitung über Microsoft-Update
Flame-Verbreitung über Microsoft-Update (Bild: Symantec)

Spionage-Trojaner: So konnte Flame Microsofts Updatefunktion missbrauchen

Flame-Verbreitung über Microsoft-Update
Flame-Verbreitung über Microsoft-Update (Bild: Symantec)

Flame konnte sich über Microsofts Updatefunktion verbreiten. Die Spezialisten von Symantec haben nun erklärt, wie die Angreifer vorgegangen sind, um das Updatesystem von Microsoft auszutricksen.

Symantec hat in einem Blogeintrag detailliert geschildert, wie der Spionage-Trojaner Flame vorgegangen ist, um sich über Microsofts Updatesystem zu verteilen. Die Flame-Macher haben sich dazu angeschaut, wie der Internet Explorer in lokalen Netzwerken nach Proxy-Servern sucht. Microsofts Browser tut dies beim Programmstart über das Web Proxy Auto-Discovery Protocol (WPAD).

Anzeige

Wenn der Browser dann eine Konfigurationsdatei für Proxy-Server (wpad.dat) findet, übernimmt er die Einstellungen. Diese müssen zum Domainnamen des Computers passen. Zur Ermittlung der IP-Adressen wird der DNS-Server befragt. Wenn dieser keine passenden Einträge hat, geht es weiter über Wins oder Netbios.

Snack gibt sich als WPAD-Server aus

Auf dem infizierten System wartet die Schadkomponente Snack auf solche Anfragen. Snack beantwortet die Netbios-Anfrage und gaukelt dem Browser vor, es handele sich um einen WPAD-Server, indem es eine präparierte wpad.dat versendet. In dieser Datei ist als Proxy-Server ein Computer der Angreifer aufgeführt, über den dann der gesamte Datenverkehr abgewickelt wird. Eine solche Attacke über Netbios ist nicht so unüblich und als Angriffsmöglichkeit bekannt. Sie ist in vielen Hackertools enthalten.

  • Flame-Verbreitung über Microsoft-Update (Quelle: Symantec)
Flame-Verbreitung über Microsoft-Update (Quelle: Symantec)

Über den zu Flame gehörenden Proxy-Server Munch laufen dann alle Internetzugriffe. Die meisten Abfragen leitet der Proxy-Server nur durch, damit der Attackierte von dem Angriff nichts bemerkt. Aber auch Abfragen zum Microsoft-Update laufen künftig über Munch, die dieser an die wiederum zu Flame gehörende Komponente Gadget umleitet. Diese wiederum täuscht gegenüber dem System vor, es gebe ein Update für die Gadget-Funktion in Windows, um das Opfer so dazu zu bringen, die Flame-Komponente Tumbler eigenhändig zu installieren.

Tumbler tarnt sich als Windows-Update

Tumbler wird als vertrauenswürdiges Update erkannt, weil es mit einem Microsoft-Zertifikat markiert ist. Auf diese gefälschten Zertifikate hat Microsoft erst kürzlich hingewiesen.

Selbst nach der Installation von Tumbler ist das System noch immer nicht mit Flame infiziert. Tumbler lädt Flame später vom Munch-Server herunter und installiert die Schadsoftware, ohne dass der Anwender davon etwas bemerkt. Vorher überprüft Tumbler noch, ob auf dem System Sicherheitsanwendungen installiert sind.

Nach dem Sicherheitsupdate von dieser Woche wegen der gefälschten Zertifikate will Microsoft auch die eigene Updateroutine besser absichern. Details dazu will Microsoft aber erst später verraten.


eye home zur Startseite
enteon 07. Jun 2012

Auf dem infizierten System wartet die Schadkomponente Snack auf solche Anfragen.

__destruct() 07. Jun 2012

kwT.

Vorsteher 06. Jun 2012

stimme ich zu. morgen steigen wir auf dein oder ein besseres OS um. bis später



Anzeige

Stellenmarkt
  1. über JobLeads GmbH, Düsseldorf
  2. T-Systems International GmbH, Leinfelden-Echterdingen, München
  3. operational services GmbH & Co. KG, Nürnberg
  4. AVL List GmbH, Graz (Österreich)


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 17,99€ statt 29,99€

Folgen Sie uns
       


  1. Fake News

    Ägypten blockiert 21 Internetmedien

  2. Bungie

    Destiny 2 mischt Peer-to-Peer und dedizierte Server

  3. Rocketlabs

    Neuseeländische Rakete erreicht den Weltraum

  4. Prozessor

    Intel wird Thunderbolt 3 in CPUs integrieren

  5. Debatte nach Wanna Cry

    Sicherheitslücken veröffentlichen oder zurückhacken?

  6. Drohne

    DJI Spark ist ein winziger Spaßcopter mit Gestensteuerung

  7. Virb 360

    Garmins erste 360-Grad-Kamera nimmt 5,7K-Videos auf

  8. Digitalkamera

    Ricoh WG-50 soll Fotos bei extremen Bedingungen ermöglichen

  9. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  10. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

  1. Re: Ich verwende gerade jetzt WindowsXP

    wolf 73 | 11:21

  2. Re: Toller Artikel, coole Technik

    Frank... | 11:21

  3. Re: Frequenzvermüllung

    Sicaine | 11:19

  4. Re: Welche Vorteile hat RISC-V zu Intel und AMD...

    HSB-Admin | 11:18

  5. Re: Für das gleiche Geld kriege ich einen ganzen...

    eXXogene | 11:14


  1. 11:30

  2. 11:10

  3. 10:50

  4. 10:22

  5. 09:02

  6. 08:28

  7. 07:16

  8. 07:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel