Indsigt: Sådan fungerer super-malwaren Flame

Få svar på alle dine spørgsmål om den nye avancerede malware, Flame.

Computerworld News Service: Hvad er Flame helt nøjagtigt og hvad gør den?

Flame er en pakke af angrebsværktøjer, et såkaldt attack toolkit, der er langt mere kompleks end Duqu.

Denne relativt nye skadelige software er en bagdør, en trojaner og har visse orme-lignende egenskaber, der gør den i stand til at replikere i et lokalt netværk og på flytbare medier, hvis den modtager instruktioner om det.

Når et system er inficeret, påbegynder Flame et kompleks sæt af handlinger inklusiv blandt andet at sniffe netværkstrafikken, tage skærmbilleder, optage lyd ved hjælp af computerens mikrofon og aflure indtastninger på tastaturet.

Alle disse data gøres tilgængelige for operatørerne bag malwaren via en forbindelse til Flames såkaldte command-and-control-servere.

Herefter kan operatørerne vælge at uploade yderligere moduler, som giver Flame flere funktioner. Indtil videre kendes der i alt omkring 20 moduler, og man er stadig i gang med at undersøge formålet med de fleste af dem.

Så sofistikeret er Flame
Flame er en enorm pakke af moduler, der til sammen fylder næsten 20 megabyte.

Derfor er denne malware ekstremt vanskelig at analysere.

Grunden til, at Flame fylder så meget, er, at den indeholder mange forskellige biblioteker til ting såsom komprimering (zlib, libbz2, ppmd) og håndtering af databaser (sqlite3) samt en virtuel maskine baseret på LUA.

LUA er et scripting-sprog, der meget let kan udvides og sammenkobles med C-kode.

Mange dele af Flame indeholder højere ordens logik, der er skrevet i LUA (det er usædvanligt at bruge LUA i malware), mens effektive angrebsrutiner og bibliotekerne er kompileret fra C++.

Det er dog en relativt lille del af den samlede kode, der udgøres af LUA-kode.

Mere end 3.000 linier
Kaspersky estimerer, at Flame indeholder over 3.000 linjer LUA-kode, hvilket for en gennemsnitlig programmør ville tage omkring en måned at skrive og fejlrette.

Malwaren indeholder lokale databaser til intern brug med indlejrede SQL-forespørgsler, ligesom den gør brug af adskillige metoder til kryptering, forskellige komprimerings-algoritmer, Windows Management Instrumentation-scripting, batch scripting og andet.

Flames størrelse er overraskende. Det er en taktik, der ikke er set før, at Flame forsøger at skjule sig ved hjælp af en meget stor mængde kode.

Læs også: Her er verdens hidtil allerværste virus.

Sådan inficerer Flame din computer
Flame kan inficere computere via USB-nøgler, lokale netværk, printer-sårbarheder og på andre måder.

Flame har tilsyneladende to moduler til infektion via USB-nøgler ved navn Autorun Infector og Euphoria.

Kaspersky Labs har indtil videre ikke iagttaget, at malwaren udnytter nogen kendte men åbne sårbarheder.

Men da man ved, at ormen har inficeret fuldt ud opdaterede Windows 7-systemer via netværket, kunne det tyde på kritiske sårbarheder, der endnu ikke er offentligt kendt.

Sådan spionerer Flame
Flame er tilsyneladende i stand til at lave lydoptagelser fra tilgængelige mikrofoner tilsluttet eller indbygget i computeren. Lydoptagelserne gemmes i et komprimeret format.

Herefter sendes dataene regelmæssigt til command-and-control-serveren via en skjult SSL-kanal.

Malwaren kan også regelmæssigt tage skærmbilleder og vil interessant nok tage skærmbilleder, når visse "følsomme" applikationer kører såsom instant messaging.

Også skærmbillederne gemmes i et komprimeret format og sendes med et fast interval til command-and-control-serveren på samme måde som lydoptagelserne.

En anden ejendommelig egenskab ved Flame er dens brug af Bluetooth-enheder.

Når Bluetooth er tilgængelig og Flame er konfigureret til det, så vil malwaren indsamle information og opdagede enheder i nærheden af den inficerede maskine.

Afhængig af konfigurationen kan den også lave den inficerede maskine om til et såkaldt beacon og indstille den til at kunne opdages via Bluetooth og udsende generelle informationer om malwarens status indlejret i enhedsoplysningerne.

Disse typer data og oplysninger er angriberne ude efter
Kaspersky udleder fra sin indledende analyse, at motivet bag Flame er at indsamle enhver form for efterretninger - e-mail, dokumenter, instant messaging-beskeder, samtaler der foregår i ellers sikrede omgivelser og så videre.

Flame ser ud til at være langt, langt mere udbredt end Duqu med sandsynligvis flere tusinde ofre på verdensplan.

Målene er også langt mindre afgrænsede og inkluderer den akademiske verden, private virksomheder, specifikke individer og så videre.

Duqu og Stuxnet
Flame har ingen større ligheder med Stuxnet eller Duqu.

Flame ser ud til at være et projekt, der er kørt sideløbende med Stuxnet og Duqu, og malwaren bruger til forskel fra Duqu ikke platformen Tilded.

Der er dog visse korrelationer mellem Flame og Stuxnet.

Det drejer sig blandt andet om den samme anvendelse af autorun.inf i infektionsmetoden samt udnyttelsen af den samme sårbarhed i print spooler, som blev udnyttet af Stuxnet.

Det er dog muligt, at udviklerne af Flame blot er blevet inspirerede af offentligt tilgængelige oplysninger om Stuxnets distributionsmetoder.

Operatørerne bag Flame holder ifølge Kasperskys analyse manuelt antallet af inficerede systemer på et konstant niveau.

De inficerer et tocifret antal systemer, foretager analyse af data om ofret, hvorpå de afinstallerer Flame fra de uinteressante systemer og efterlader Flame på de mest interessante. Herefter påbegynder de en ny serie af infektioner.

Kan Flame selvreplikere ligesom Stuxnet?
Replikeringen er tilsyneladende styret af operatørerne, ligesom det var tilfældet med Duqu, og desuden styret af bot'ens konfigurationsfil.

De fleste infektionsrutiner har indbyggede tællere, der begrænser antallet af gennemførte angreb.



Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital HowTo: Sikkerhedstrusler

Under corona-krisen er antallet af cybertrusler steget med 33 procent. Det er særligt phishing-angreb, som oversvømmer mange virksomheder i de her dage. Corona-virussen har skabt en ny mulighed for at lokke uopmærksomme internetbrugere til at klikke på inficerede links. Nogle virksomheder oplever at op mod halvdelen e-mails, der sendes til dem, kommer fra it-kriminelle.

19. august 2020 | Læs mere


Digital HowTo: ERP – få optimal udnyttelse af dine store mængder af værdifulde data i den digitale transformation

Få indblik i, hvordan alle virksomheder kan optimere deres kritiske processer og hvordan du realiserer det uforløste potentiale gennem denne procesoptimering. Du får indsigt i forretnings-processer, digital værdiskabelse og teknologi, der har hjulpet mange virksomheder på vej med deres digitale transformation.

20. august 2020 | Læs mere


Digital HowTo: Fremtidens It service management - optimer dit setup med de nyeste teknologier

Det er vigtigere end nogensinde at have styr på kerneopgaverne i virksomhedens it-drift. Fra monitorering af systemerne til udrulning af applikationer, håndtering af service desken og alle udfordringerne med it-sikkerheden. Kom og bliv klogere på mulighederne for automatisering og optimering med ITSM og den nyeste robotteknologi.

21. august 2020 | Læs mere






Premium
Danmarks Statistik skifter fra Oracle og SAS Institute til open source-platforme for at spare på licensbetalinger: "Vi ser et teknologi-landskab, hvor nogle af de store spillere er ved at blive overhalet af nye letvægtsprodukter"
Interview: For at nedbringe udgifterne til de årlige licensbetalinger mindsker Danmarks Statistik forbruget af kerner hos Oracle og SAS Institute for i stedet at bruge open source-platforme. "Vi har haft sindssygt gode resultater med at introducere dem. På de åbne platforme kan vi bygge en del mere selv," siger CIO Annie Stahel. Se platformene her.
Computerworld
NemID ramt af nedbrud
Det er ikke muligt at logge på med NemID i øjeblikket. Nets bekræfter, at der er driftsproblemer. (Opdateret).
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Sådan opbevarer du effektivt og sikkert dine data – også med hybrid cloud
Cloud er her der og alle vegne. Men mange organisationer foretrækker en mere blandet tilgang, hvor dele af virksomhedens workload og it-miljøer sendes i clouden, mens andre dele placeres i andre og ofte lokale datacentre. Det stiller ofte mange forskelligartede krav til behovet for lokal storage. Men med IBM FlashSystem kan du konsolidere dit storage-behov og reducere kompleksiteten. Samtidig er FlashSystem all-flash og hybrid-løsninger bygget på et standardiseret sæt af værktøjer og APIs, som giver dig adgang til enterprise-løsninger uanset størrelsen på din organisation. I dette whitepaper fra Atea og IBM kan du læse om IBMs storeløsninger og de yderligere fordele som du kan opnå med dem.