Virenwarnung: Flamer


In den letzten Tagen wurde von uns eine potenziell neue Bedrohung analysiert, die unbemerkt bereits mindestens zwei Jahre lang aktiv war. Wir wurden zu dieser Bedrohung von Crysys kontaktiert. Crysis hat eine eigene Analyse zu dieser Bedrohung veröffentlicht. (Die Bedrohung wird von CrySys als "Skywiper" bezeichnet.) Es gibt zudem Hinweise darauf, dass es sich bei W32.Flamer um dieselbe Bedrohung handelt, die kürzlich vom iranischen Computer Emergency Response Team (CERT) beschrieben wurde. Unsere Analyse der eingegangenen Proben haben gezeigt, dass es sich um komplexen Code handelt, der aus mehreren Komponenten besteht. Auf den ersten Blick erscheint die Programmdatei harmlos. Eingehendere Untersuchungen fördern jedoch raffiniert verborgenen Schadcode zu Tage.

Die Komplexität des Codes innerhalb dieser Bedrohung ist vergleichbar mit der von Stuxnet und Duqu, zweifellos die beiden komplexesten Malware-Bedrohungen, die wir bisher analysiert haben. Wie seine beiden Vorgänger wurde der Code allem Anschein nach nicht von Einzelpersonen, sondern von einer gut organisierten und finanzierten Gruppe unter klaren Vorgaben entwickelt. Bestimmte Dateinamen, die mit der Bedrohung verknüpft sind, sind identisch mit Namen, die im Zusammenhang mit einem Zwischenfall im iranischen Ölministerium beschrieben wurden.

Anhand unserer derzeit laufenden Analysen gehen wir davon aus, dass das Hauptziel das Einsammeln von Informationen und Daten ist. Die ersten Telemetriedaten zeigen, dass sich die Angriffsziele dieser Bedrohung vorrangig in Osteuropa und im Nahen Osten befinden. Zu Industriesektoren oder den Hintergründen individueller Zielpersonen lässt sich aktuell noch nichts Konkretes sagen. Allerdings deuten die ersten Analysen darauf hin, dass nur wenige Opfer aus denselben Gründen angegriffen wurden. Die Angriffe scheinen sich mehr auf das Privatleben der Opfer statt auf das Unternehmen, bei dem sie beschäftigt sind, zu konzentrieren. Symantec erkennt diese Bedrohung als W32.Flamer.

Bedrohungsaktivitäten

Durch Untersuchung der Infektionsberichte zu einer der Hauptkomponenten und der damit verknüpften Konfigurationsdatei können wir die Ziele von W32.Flamer näher bestimmen sowie einen ungefähren Zeitrahmen festlegen. Nach Untersuchung weiterer Infektionsberichte werden sich Zeitrahmen und Ziele jedoch voraussichtlich noch ändern. Es wurden mehreren Komponentendateien identifiziert. Das sind:

  • advnetcfg.ocx
  • ccalc32.sys
  • mssecmgr.sys
  • msglu32.ocx
  • boot32drv.sys
  • nteps32.ocx

Es wurden zwei Varianten der Datei advnetcfg.ocx entdeckt. Die erste Variante stammt vom September 2010. Die zweite Variante trat im Februar 2011 auf. Die Konfigurationsdatei ccalc32.sys weist ebenfalls zwei Varianten auf. Beide Varianten traten ungefähr zur selben Zeit wie die Datei advnetcfg.ocx auf.

Abbildung 1. Zeitraum der Bedrohungsaktivitäten

Zusätzlich zu unseren ersten Telemetriedaten gibt es auch unbestätigte Berichte über Infektionen, die bereits 2007 aufgetreten sind. Wir gehen davon aus, dass es uns möglich sein wird, diese Berichte in den nächsten Tagen zu bestätigen.

Abbildung 2. Verbreitung der Bedrohung

Aufgrund der Zahl der infizierten Computer sind die primären Angriffsziele dieser Bedrohung Rechner in der West Bank in Palästina sowie in Ungarn, dem Iran und dem Libanon. Allerdings liegen uns auch weitere Meldungen über Infektionen in Österreich, Russland, Hongkong und den Vereinigten Arabischen Emiraten vor. Allerdings kann es sich bei diesen zusätzlichen Funden um infizierte Computer handeln, die vorübergehend in einer anderen Region genutzt wurden, beispielsweise um Laptops.  Interessanterweise scheinen – zusätzlich zu den gezielt angegriffenen Unternehmen – die meisten infizierten Systeme private Rechner zu sein, die von zu Hause aus mit dem Internet verbunden waren.

Beschreibung der Bedrohung

Uns liegen eine Reihe von Komponenten vor, die derzeit analysiert werden. Mehrere dieser Komponenten wurden so programmiert, dass sie zunächst nicht als bösartig zu erkennen sind. Es gibt keine Daten mit hohem Informationsgehalt und keine offensichtlich verdächtigen Zeichenfolgen. Der Code an sich ist komplex, was die Analyse erschwert. Die Bedrohung weist einen breiten Funktionsumfang auf: Sie kann Dokumente stehlen, mit Screenshots Bildschirminhalte von Desktops aufzeichnen, sich über USB-Laufwerke verbreiten und Sicherheitsprodukte deaktivieren. Die Bedrohung ist möglicherweise unter bestimmten Bedingungen auch dazu fähig, über mehrere bekannte Sicherheitslücken von Microsoft Windows, für die bereits Patches geschrieben wurden, über das Netzwerk andere Systeme zu infizieren.

Abbildung 3 beschreibt, wie die bisher identifizierten Bedrohungskomponenten zusammenwirken. Allerdings können die Dateinamen bei anderen Infektionen variieren.

Abbildung 3. Bedrohungskomponenten

Die Datei advnetcfg.ocx lädt und entschlüsselt Konfigurationsdaten aus einer Datei mit dem Namen ccalc32.sys.  Die Datei ccalc32.sys ist mit einem 128-Bit-Schlüssel per RC4 verschlüsselt. Wenn die Bedrohung die Datei ccalc32.sys erstellt, ändert sie nachträglich den Zeitstempel der Datei, so dass er mit dem Zeitstempel der Datei kernel32.dll – einer Windows-Systemdatei – übereinstimmt. So soll vermieden werden, dass Benutzer die Datei bemerken. Die Datei advnetcfg.ocx übernimmt auch die Verarbeitung von Befehlen, die von einer dritten Komponente ausgegeben werden. Die Analyse der restlichen Komponenten hat bisher noch nicht ergeben, welche Komponente für die Kommunikation mit advnetcfg.ocx zuständig ist.

Die Datei injiziert sich automatisch mithilfe einer komplexen Methode in die Datei winlogon.exe, in Prozesse von Sicherheitsprodukten sowie in weitere ausgewählte Prozesse. Dabei werden mehrere Codeblöcke eingeschleust und nach Bedarf aufgerufen. Darüber hinaus kann auch shell32.dll (eine nicht infizierte Windows System-DLL) geladen werden. Doch sobald diese DLL geladen ist, wird sie im Arbeitsspeicher durch eine schädliche DLL ersetzt. Die Datei advnetcfg.ocx kann zudem Screenshots aufzeichnen und bestimmte Tricks ausführen, die eine Fehlerbehebung verhindern.

Die mssecmgr.ocx ist sehr umfangreich und enthält einen breiten Funktionsumfang (siehe Abbildung 4).

Abbildung 4. In mssecmgr.ocx identifizierte Komponenten

Die Datei enthält einen LUA-Interpreter, SSH-Code und SQL-Funktionalität. Durch die Implementierung eines LUA-Interpreters ist diese Komponente hochgradig flexibel und konfigurierbar. Angreifer können darüber sehr schnell und effizient aktualisierte Befehle und Befehle bereitstellen. Die Datei kann auch in der Registrierung eingetragen sein:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"Authentication Packages" = "mssecmgr.ocx"

Darüber hinaus enthält die Datei mssecmgr.ocx mehrere weitere Module (siehe Diagramm).

Die Datei mssecmgr.ocx ist besonders interessant, da die darin enthaltenen Funktionen auf eine Datei mit dem Namen ~DEB93D.tmp verweisen. Die Datei ~DEB93D.tmp wurde von anderen Virenforschern mit einem "Wiper"-Virus in Verbindung gebracht, der dazu geführt hat, dass mehrere Ölterminals im Iran vom Internet abgekoppelt wurden. Der "Wiper"-Virus wurde so benannt, da er angeblich Daten von Festplatten gelöscht hat.

Die Aufgabe der Datei nteps32.ocx ist primär die Aufzeichnung von Screenshots. Die Datei lädt Konfigurationsdaten aus der Datei boot32drv.sys. Die mit 0xFF verschlüsselten Konfigurationsdaten legen fest, wie die Funktion arbeitet. So bestimmen sie beispielsweise, wie häufig Screenshots aufgezeichnet werden.

Die Datei msglu32.sys enthält Code, der es ihr ermöglicht, Daten aus allen Arten von Dokumenten, Bildern, Bildern mit GPS-Daten, Präsentationen, Projektdateien und technischen Zeichnungen zu öffnen und zu entwenden. Ähnlich wie mssecmgr.sys enthält auch diese Datei SQL-Funktionen. Interessanterweise enthält dieses Modul mehrere Verweise auf die Zeichenfolge "JIMMY" mit Meldungen wie "Jimmy Notice: failed to convert error string to unicode". Jimmy ist möglicherweise der Codename für dieses Modul.

Innerhalb des von uns bisher analysierten Codes gibt es zudem mehrere Verweise auf die Zeichenfolge "FLAME". Diese Zeichenkette bezieht sich möglicherweise auf bestimmte Angriffe, die von verschiedenen Teilen des Codes ausgeführt werden (Injektionen, Angriffe usw.), oder aber auf den Projektnamen, unter dem die Malware entwickelt wurde. Bisher wurden keine weiteren Beobachtungen gemacht, die dabei helfen könnten, den Ursprung der Malware festzustellen.

Der modulare Aufbau dieser Malware ist ein Hinweis darauf, dass ein Entwicklerteam damit ein Ziel verfolgt: die Bedrohung über einen langen Zeitraum in Umlauf zu halten, möglicherweise zusammen mit weiteren Einzelpersonen, die die Malware nutzen. Die Architektur von W32.Flamer ist so aufgebaut, dass die Autoren die Funktionalität und Verhaltensweise innerhalb einer Komponente ändern können, ohne die anderen Module, die von den Kontrolleuren der Malware eingesetzt werden, überarbeiten zu müssen bzw. diese überhaupt zu kennen. Änderungen können als Funktions-Upgrades, Fehlerbehebungen oder einfach zur Umgehung von Sicherheitsprodukten hinzugefügt werden.

Die verschiedenen Komponenten werden weiter analysiert und untersucht. Zusätzliche detaillierte technische Informationen sowie Angriffsinformationen werden in Kürze veröffentlicht.

 

Quelle: Symantec Security Response