Spionage-Trojaner: So konnte Flame Microsofts Updatefunktion missbrauchen

Flame konnte sich über Microsofts Updatefunktion verbreiten. Die Spezialisten von Symantec haben nun erklärt, wie die Angreifer vorgegangen sind, um das Updatesystem von Microsoft auszutricksen.

Artikel veröffentlicht am ,
Flame-Verbreitung über Microsoft-Update
Flame-Verbreitung über Microsoft-Update (Bild: Symantec)

Symantec hat in einem Blogeintrag detailliert geschildert, wie der Spionage-Trojaner Flame vorgegangen ist, um sich über Microsofts Updatesystem zu verteilen. Die Flame-Macher haben sich dazu angeschaut, wie der Internet Explorer in lokalen Netzwerken nach Proxy-Servern sucht. Microsofts Browser tut dies beim Programmstart über das Web Proxy Auto-Discovery Protocol (WPAD).

Wenn der Browser dann eine Konfigurationsdatei für Proxy-Server (wpad.dat) findet, übernimmt er die Einstellungen. Diese müssen zum Domainnamen des Computers passen. Zur Ermittlung der IP-Adressen wird der DNS-Server befragt. Wenn dieser keine passenden Einträge hat, geht es weiter über Wins oder Netbios.

Snack gibt sich als WPAD-Server aus

Auf dem infizierten System wartet die Schadkomponente Snack auf solche Anfragen. Snack beantwortet die Netbios-Anfrage und gaukelt dem Browser vor, es handele sich um einen WPAD-Server, indem es eine präparierte wpad.dat versendet. In dieser Datei ist als Proxy-Server ein Computer der Angreifer aufgeführt, über den dann der gesamte Datenverkehr abgewickelt wird. Eine solche Attacke über Netbios ist nicht so unüblich und als Angriffsmöglichkeit bekannt. Sie ist in vielen Hackertools enthalten.

  • Flame-Verbreitung über Microsoft-Update (Quelle: Symantec)
Flame-Verbreitung über Microsoft-Update (Quelle: Symantec)

Über den zu Flame gehörenden Proxy-Server Munch laufen dann alle Internetzugriffe. Die meisten Abfragen leitet der Proxy-Server nur durch, damit der Attackierte von dem Angriff nichts bemerkt. Aber auch Abfragen zum Microsoft-Update laufen künftig über Munch, die dieser an die wiederum zu Flame gehörende Komponente Gadget umleitet. Diese wiederum täuscht gegenüber dem System vor, es gebe ein Update für die Gadget-Funktion in Windows, um das Opfer so dazu zu bringen, die Flame-Komponente Tumbler eigenhändig zu installieren.

Tumbler tarnt sich als Windows-Update

Tumbler wird als vertrauenswürdiges Update erkannt, weil es mit einem Microsoft-Zertifikat markiert ist. Auf diese gefälschten Zertifikate hat Microsoft erst kürzlich hingewiesen.

Selbst nach der Installation von Tumbler ist das System noch immer nicht mit Flame infiziert. Tumbler lädt Flame später vom Munch-Server herunter und installiert die Schadsoftware, ohne dass der Anwender davon etwas bemerkt. Vorher überprüft Tumbler noch, ob auf dem System Sicherheitsanwendungen installiert sind.

Nach dem Sicherheitsupdate von dieser Woche wegen der gefälschten Zertifikate will Microsoft auch die eigene Updateroutine besser absichern. Details dazu will Microsoft aber erst später verraten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Intel Core i9-14900KS
Intel ist wahnsinnig geworden - zum Glück!

Um den Core i9-14900KS zur schnellsten Allround-CPU zu machen, hat Intel den Weg der Vernunft scheinbar vollständig verlassen. Doch dahinter stecken gute Neuigkeiten für Intel-Kunden.
Ein IMHO von Martin Böckmann

Intel Core i9-14900KS: Intel ist wahnsinnig geworden - zum Glück!
Artikel
  1. Streaming: Twitch verbietet Popos als Leinwand
    Streaming
    Twitch verbietet Popos als Leinwand

    Auf Hinterteile projizierte Streams sind auf Twitch künftig verboten: Der zu Amazon gehörende Dienst geht gegen einen absurden Trend vor.

  2. 20 Jahre Far Cry: Das deutsche Grafikwunder
    20 Jahre Far Cry
    Das deutsche Grafikwunder

    Mit Far Cry feierte der deutsche Entwickler Crytek 2004 ein viel beachtetes Debüt. Kann der Südsee-Shooter auch 20 Jahre später noch beeindrucken?
    Von Benedikt Plass-Fleßenkämper

  3. Truth Social: Warum Trumps kleines Netzwerk Milliarden wert wurde
    Truth Social
    Warum Trumps kleines Netzwerk Milliarden wert wurde

    Donald Trumps verlustbringender Twitter-X-Klon Truth Social wird nach seinem Börsengang mit 9 Milliarden US-Dollar bewertet. Es ist eine Spekulationsblase - und eine Investition in eine potenzielle Trump-Präsidentschaft.
    Ein Bericht von Achim Sawall

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Palit 4070 Super 579,95€ • Xbox-Controller ab 39,99€ • AVM Fritzbox + Repeater -30% • DVDs & Blu-rays -31% • EA -75% • Ubisoft -50% • MindStar: AMD Ryzen 9 7900 339€, MSI RTX 4080 Super Ventus 3X OC 1.099€ • Gratis-Zugaben PS5 Slim & Nintendo Switch OLED beim TV-Kauf [Werbung]
    •  /