ComputerClub 2
Sitemap Kontakt
  Wolfgang Back & Wolfgang Rudolph
Suche:   Wolfgang Back & Wolfgang Rudolph
  Aktuelle Sendung
  Nächste Sendung
  Sendungsarchiv
  Downloads


SENDUNGSARCHIV

08.10.2012
Folge 337

Peinlicher Fehler

In der heutigen Ausgabe des CC²-Audiocast klingt meine Stimme, als ob die Aufnahme in einem riesigen Kessel erfolgt wäre. Ein peinlicher Fehler war mir unterlaufen:

Nachmittags erhielt ich ein neues Yamaha MW8CX-Mischpult, mit dem ich sofort experimentierte. USB-Anschluss an den Rechner, Routing, Vorverstärker und Effekte.

Am Abend zeichneten wir dann die Sendung auf. Allerdings vergaß ich in der Eile, die Effekte wieder zurück zu drehen. Also ist mein Part an der Sendung mit einem Echo-/Hall-Effekt unterlegt, den man sonst zum Singen verwendet.

Ich hoffe, die Zuhörer verzeihen mir und ich gelobe Besserung.

Heinz Schmitz


Neues von Flame & Co.

Am 28. Mai 2012 meldeten die Sicherheitsexperten von Kaspersky das sie einen neuen Trojaner entdeckt hatten. Er bekam den Namen Flame und wurde während einer Untersuchung entdeckt, die von der zur UNO gehörenden Internationalen Fernmeldeunion (International Telecommunication Union – ITU) in Auftrag gegeben hatte. Die Analyse des Schadprogramms zeigte, dass es sich bei Flame um das bis dato größte und komplexeste Toolkit zum gezielten Angriff auf Organisationen handelt. In Zusammenarbeit mit GoDaddy und OpenDNS konnte Kaspersky Lab die meisten der infizierten Domains, die von der Flame-Infrastruktur genutzt wurden, in einer so genannten Sinkholing-Operation untergraben. Dabei werden alle Anfragen an den Server ins Leere geführt.


Heinz Schmitz über die Erkenntnisse zu Flame, einem extrem ausgereiften Spionageprogramm, das mit Stuxnet verwandt ist und noch weitere bisher unbekannte Verwandte haben soll.

Die Ermittler kamen zu schnell zu einigen Erkenntnissen:
• Die bereits seit einigen Jahren genutzte C&C (Control & Command) Infrastruktur von Flame wurde kurz nach der Enthüllung der Malware-Existenz offline genommen.

• Es gab mehr als 80 bekannte Domains, die von Flame für C&C-Server und mit ihnen verbundenen Domains genutzt wurden und die zwischen 2008 und 2012 registriert wurden.

• Während der vergangenen vier Jahre haben Server, die die Flame-C&C Infrastruktur stellten, zwischen verschiedenen Orten gewechselt, darunter Hongkong, Türkei, Deutschland, Polen, Malaysia, Lettland, Großbritannien und die Schweiz.

• Die Flame C&C Domains wurden mit einer beeindruckenden Liste von falschen Identitäten und einer Vielzahl von Einträgen registriert. Die Einträge reichen bis ins Jahr 2008 zurück.

• Gemäß der Sinkholing-Operation von Kaspersky Lab stammten die infizierten Computer aus verschiedenen Regionen im Mittleren Osten, Europa, Nordamerika und dem asiatisch-pazifischen Raum.

• Die Angreifer hinter Flame scheinen ein hohes Interesse an PDF-,
Office- und AutoCad-Plänen - gehabt zu haben.

• Die Daten, die auf die Flame-C&C-Server hochgeladen wurden, nutzten relativ simple Verschlüsselungsalgorithmen. Gestohlenen Dokumente wurden mit der Open-Source-Software Zlib und einer modifizierten PPDM-Komprimierung verdichtet.
• Von allen Windows-Systemen scheinen Rechner mit Windows 7 64 Bit am effektivsten vor Flame zu schützen.

Bis zu diesem Zeitpunkt ging man davon aus, das Stuxnet und Duqu, die anderen bekannte Schädlinge, die von hochprofessionellen Teams entwickelt, wurden nichts mit Flame zu tun hatten. Die nähere Analyse der erbeuteten C&C Server, durchgeführt von den Kaspersky Labs, IMPACT (Cybersicherheitsabteilung) der ITU, CERT-Bund/BSI und Symantec, ergaben aber, das zumindest in den Anfängen der Entwicklung Codes von den Entwicklern ausgetauscht wurden.

Die früheste von Stuxnet bekannte Version, die wahrscheinlich im Juni 2009 erstellt wurde, beinhaltete ein spezielles Modul, das als „Resource 207“ bekannt ist. In der folgenden 2010er Version von Stuxnet wurde dieses Modul komplett entfernt. Das Modul „Resource 207“ ist eine verschlüsselte DLL-Datei und beinhaltet eine ausführbare Datei namens „atmpsvcn.ocx“, die 351,768 Bites groß ist. Diese Datei, weist zahlreiche Ähnlichkeiten mit dem bei Flame genutzten Code auf, wie Kaspersky Lab jetzt herausfand. Die Liste von auffallenden Gemeinsamkeiten beinhaltet eine einheitliche MUTEX Namensgebung, den Algorithmus zur String-Entschlüsselung sowie einen gleichen Ansatz bei der Namensgebung.

Darüber hinaus scheinen die meisten Codesequenzen dieser Flame-Komponente identisch beziehungsweise ähnlich mit ihrem Stuxnet-Pendant zu sein. Die Schlussfolgerung: Der Austausch zwischen den Teams hinter Flame und Duqu/Stuxnet erfolgte in Form von Quellcode (also nicht in binärer Form). Die Hauptfunktion des „Resource 207“-Modul in Stuxnet bestand darin, die Infektion von Maschine zu Maschine zu verbreiten, indem entfernbare USB-Laufwerke und Schwachstellen im Windows-Kernel genutzt wurden, um eine Reihe von Rechten innerhalb des Systems zu erhalten. Der Code, der für die Verbreitung von Malware über USB-Laufwerke verantwortlich ist, ist mit dem von Flame komplett identisch.

Aber das ist nicht alles. Die Analyse der „Command & Control”-Server (C&C-Server) von Flame weist zudem auf weitere Schadsoftware hin, wovon wenigstens noch eine im Netz aktiv sein dürfte. Die vermutlich von staatlicher Seite unterstützte Plattform datiert in ihren Anfängen bis auf das Jahr 2006 zurück.

Aber das ist nicht alles. Die Analyse der „Command & Control”-Server (C&C-Server) ergab, dass Flame sich als Content-Management-System tarnt. Solche Systeme zur professionellen Erstellung und Verwaltung von Webseiten sind in PHP programmiert und erregen bei Webseiten-Hostern oder stichprobenartigen Untersuchungen weniger Verdacht. Als Betriebssystembasis dienen virtualisierte Debian Server, ein besonders robustes 64-Bit Linux-Betriebssystem. Es werden überdies ausgefeilte Verschlüsselungsmethoden eingesetzt, damit lediglich die Angreifer auf die gewonnenen Daten zugreifen können. Hier die wichtigsten Ergebnisse kurz zusammengefasst:

• Im Gegensatz zur vorher gehenden Einschätzung datiert der Entwicklungsbeginn von Flame bereits auf das Jahr 2006.

• Die C&C-Server erhalten ihre Daten von den infizierten Rechnern auf vier verschiedenen Kommunikationswegen. Nur ein Kommunikationsprotokoll wird bislang von Flame eingesetzt.

• Die Existenz von drei weiteren Kommunikationsprotokollen, die nicht von Flame verwendet werden, ist ein starkes Indiz dafür, dass wenigstens drei weitere Typen von Schadsoftware existieren, deren Zweck im Augenblick nicht bekannt ist.

• Davon ist ein unbekannter Schadsoftware-Typ augenblicklich im Netz aktiv.

• Es gibt auch Anzeichen dafür, dass Flame weiterhin in Entwicklung ist. So wurde ein neues Protokoll namens „Red Protocol” noch nicht vollständig eingerichtet. Die letzte Änderung des Server-Codes wurde am 18. Mai 2012 von einem der Programmierer durchgeführt.

• Es gibt keine Hinweise darauf, dass die C&C-Server von Flame für Stuxnet oder Gauss eingesetzt wurden.

Die Komplexität des Codes und nachgewiesene Verbindungen zu den Stuxnet-Entwicklern deuten darauf hin, dass Flame eine weitere Komponente einer Cyberwar-Strategie ist, die von staatlicher Seite betrieben wird.

Weitere Informationen:
https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers


zurück zum Archiv
Anhören:


Audiodatstream
Download 128 Kbit/s (~27 MB)
Download 32 Kbit/s (~7 MB)
RSS Feed (Audiocast, letzte 5 Sendungen)
RSS Feed (Audiocast, alle Sendungen)

Druckversion Impressum Haftungsausschluss