Neue Erkenntnisse zu Flamer – Schadcode nutzt neuartige Verbreitungsmethode und Bluetooth
Er ist wohl einer der wenigen Windows-basierenden Schadcodes, der Bluetooth verwendet. Warum die Autoren von Flamer diese Funktion auswählten, ist derzeit noch unklar.
Außerdem haben die Experten herausgefunden, welche Tricks Flamer einsetzt, um von einem auf andere Computer zu gelangen. Der Schadcode selbst verbreitet sich nicht automatisch, sondern nur dann, wenn die Angreifer es ihm befehlen.
Der Schädling Flamer ist extrem groß, so dass die Experten mit weiteren interessanten Tricks und neuen Techniken im Schadcode rechnen.
Die folgenden Verbreitungsmethoden wurden bisher identifiziert. Bis auf das letzte sind alle Verfahren bekannt. Das letzte Verfahren dagegen ist neu, da es symbolische Verknüpfungen nutzt. Weitere Details zu diesem Punkt sind auf diesem Blog zu finden.
* Flamer nutzt Netzwerk-Shares, auf die er mit Hilfe gestohlener Zugangscodes gelangt, beispielsweise die des Domain-Administrators.
* Flamer missbraucht die Schwäche im Printer Spooler von Windows (CVE-2010-2729), die zuvor bereits Stuxnet nutzte.
* Der Schadcode nutzt Wechselmedien, um sich über eine manipulierte automatische Startdatei „autorun.inf“ zu verbreiten. Auch diese Methode hat Stuxnet eingesetzt.
* Der Schadcode setzt außerdem auf ein spezielles Verzeichnis auf Wechselmedien, das er geschickt versteckt. Dieses wird wegen seiner Schwäche in Windows (CVE-2010-2568) automatisch ausgeführt, sobald der Anwender das Wechselmedium anklickt. Auch diese Schwäche wurde bereits von Stuxnet ausgenutzt.
Zu dem Sinn der Bluetooth-Funktion haben die Experten von Symantec auf Basis der technischen Details drei Theorien entwickelt:
1. Der Code könnte alle Bluetooth-fähigen Geräte in der Nähe des infizierten Systems katalogisieren. Die Autoren könnten aus dieser Liste Rückschlüsse auf das soziale oder berufliche Umfeld des PC-Besitzers schließen.
2. Die Bluetooth-Option hilft dabei, die tatsächliche Lokation eines infizierten Rechners zu bestimmen. Die Autoren könnten Rückschlüsse ziehen, ob andere wichtige Ziele in der Nähe sind, seien es weitere Zielsysteme oder -personen.
3. Der Schadcode könnte weitere Bluetooth-Geräte in der Nähe angreifen und dort Informationen stehlen, indem er deren Datenverbindung abhört.
Zum jetzigen Zeitpunkt ist noch unklar, warum der Schadcode mit einer Bluetooth-Verbindung versehen wurde. Diese Szenarien in Verbindung mit der kontrollierten Verbreitungsmethode unterstreichen allerdings, dass Flamer als Spionage-Tool gedacht ist.
Weitere Details können Sie auf dem Security Response Blog finden. Bitte kommen Sie auf uns zu, falls Sie Fragen in einem persönlichen Gespräch mit den Experten von Symantec besprechen wollen.
Die neuesten Informationen von Symantec können Sie auch per Twitter unter Symantec_DACH verfolgen.
Außerdem haben die Experten herausgefunden, welche Tricks Flamer einsetzt, um von einem auf andere Computer zu gelangen. Der Schadcode selbst verbreitet sich nicht automatisch, sondern nur dann, wenn die Angreifer es ihm befehlen.
Der Schädling Flamer ist extrem groß, so dass die Experten mit weiteren interessanten Tricks und neuen Techniken im Schadcode rechnen.
Die folgenden Verbreitungsmethoden wurden bisher identifiziert. Bis auf das letzte sind alle Verfahren bekannt. Das letzte Verfahren dagegen ist neu, da es symbolische Verknüpfungen nutzt. Weitere Details zu diesem Punkt sind auf diesem Blog zu finden.
* Flamer nutzt Netzwerk-Shares, auf die er mit Hilfe gestohlener Zugangscodes gelangt, beispielsweise die des Domain-Administrators.
* Flamer missbraucht die Schwäche im Printer Spooler von Windows (CVE-2010-2729), die zuvor bereits Stuxnet nutzte.
* Der Schadcode nutzt Wechselmedien, um sich über eine manipulierte automatische Startdatei „autorun.inf“ zu verbreiten. Auch diese Methode hat Stuxnet eingesetzt.
* Der Schadcode setzt außerdem auf ein spezielles Verzeichnis auf Wechselmedien, das er geschickt versteckt. Dieses wird wegen seiner Schwäche in Windows (CVE-2010-2568) automatisch ausgeführt, sobald der Anwender das Wechselmedium anklickt. Auch diese Schwäche wurde bereits von Stuxnet ausgenutzt.
Zu dem Sinn der Bluetooth-Funktion haben die Experten von Symantec auf Basis der technischen Details drei Theorien entwickelt:
1. Der Code könnte alle Bluetooth-fähigen Geräte in der Nähe des infizierten Systems katalogisieren. Die Autoren könnten aus dieser Liste Rückschlüsse auf das soziale oder berufliche Umfeld des PC-Besitzers schließen.
2. Die Bluetooth-Option hilft dabei, die tatsächliche Lokation eines infizierten Rechners zu bestimmen. Die Autoren könnten Rückschlüsse ziehen, ob andere wichtige Ziele in der Nähe sind, seien es weitere Zielsysteme oder -personen.
3. Der Schadcode könnte weitere Bluetooth-Geräte in der Nähe angreifen und dort Informationen stehlen, indem er deren Datenverbindung abhört.
Zum jetzigen Zeitpunkt ist noch unklar, warum der Schadcode mit einer Bluetooth-Verbindung versehen wurde. Diese Szenarien in Verbindung mit der kontrollierten Verbreitungsmethode unterstreichen allerdings, dass Flamer als Spionage-Tool gedacht ist.
Weitere Details können Sie auf dem Security Response Blog finden. Bitte kommen Sie auf uns zu, falls Sie Fragen in einem persönlichen Gespräch mit den Experten von Symantec besprechen wollen.
Die neuesten Informationen von Symantec können Sie auch per Twitter unter Symantec_DACH verfolgen.