Flame-malware pleegt zelfmoord
Vlak na de ontdekking van Flame hebben diens makers actieve exemplaren van de spionerende malware een opdracht tot zelfvernietiging gestuurd.
Enkele uren nadat onderzoekers van Kaspersky Lab hun ontdekking van Flame met de wereld deelden, begonnen de command & control servers, die de lakens uitdeelden aan besmette computers, op zwart te gaan.
De Russische beveiliger wist met hulp van domeinbeheerder GoDaddy een aantal van deze domeinen te vervangen door een ‘sinkhole’ wat betekent dat de beveiliger de verdwenen C&C-servers vervangt door eigen domeinen. Zo wist het bedrijf veel informatie los te krijgen over de structuur en werkwijze van het ontstane Flame-botnet.
Symantec meldt echter dat een klein gedeelte van deze kwaadaardige domeinen actief bleef. “De auteurs van Flame hadden de controle behouden over hun accounts voor domeinregistratie, wat ze in staat stelden om deze domeinen over te brengen naar een nieuwe hostprovider.”
Zelfmoordcommando
Deze overgebleven C&C-servers stuurden een nieuw bestand naar specifieke besmette pc’s (browse32.ocx). Dit nieuwe bestand gaf de spionnenkit opdracht al zijn bestanden en mappen te verwijderen en schijflocaties te overschrijven met willekeurige karakters om bestandsherstel te voorkomen.
Opvallend is dat een specifiek tmp-bestand deze kamikaze bespaard bleef. Uit onderzoek (PDF) van het Hongaarse onderzoeksinstituut Cryptography and System Security (CrSyS ) Lab gaat het om een geëncrypteerd bestand dat een SQLite-database bevat met NetBIOS-lookups. In theorie zouden onderzoekers met deze data kunnen zien welke computers Flame kon zien en eventueel besmetten.
Het blijft onduidelijk of de makers van de superspion een constructiefout hebben gemaakt of dat het tmp-bestand met opzet is achtergelaten. Hoe dan ook kan de achterblijver als baken dienen om te bepalen of een computer in het verleden besmet is geweest met Flame.
Het meest merkwaardige aan de hele operatie is, volgens Symantec, dat Flame browse32.ocx helemaal niet nodig had om tot zelfvernietiging over te gaan.
“In Flame-code die we eerder analyseerden, troffen we een component aan met de naam SUICIDE, wat functioneel vergelijkbaar is met browse32.ocx”, schrijft de beveiliger. “Het is ons niet bekend waarom de auteurs besloten hebben niet gebruik te maken van deze functionaliteit, en in plaats daarvan Flame specifieke acties lieten uitvoeren via een nieuwe module.”
Vlak na de ontdekking van Flame hebben diens makers actieve exemplaren van de spionerende malware een opdracht tot zelfvernietiging gestuurd.
Enkele uren nadat onderzoekers van Kaspersky Lab hun ontdekking van Flame met de wereld deelden, begonnen de command & control servers, die de lakens uitdeelden aan besmette computers, op zwart te gaan.
De Russische beveiliger wist met hulp van domeinbeheerder GoDaddy een aantal van deze domeinen te vervangen door een ‘sinkhole’ wat betekent dat de beveiliger de verdwenen C&C-servers vervangt door eigen domeinen. Zo wist het bedrijf veel informatie los te krijgen over de structuur en werkwijze van het ontstane Flame-botnet.
Symantec meldt echter dat een klein gedeelte van deze kwaadaardige domeinen actief bleef. “De auteurs van Flame hadden de controle behouden over hun accounts voor domeinregistratie, wat ze in staat stelden om deze domeinen over te brengen naar een nieuwe hostprovider.”
Zelfmoordcommando
Deze overgebleven C&C-servers stuurden een nieuw bestand naar specifieke besmette pc’s (browse32.ocx). Dit nieuwe bestand gaf de spionnenkit opdracht al zijn bestanden en mappen te verwijderen en schijflocaties te overschrijven met willekeurige karakters om bestandsherstel te voorkomen.
Opvallend is dat een specifiek tmp-bestand deze kamikaze bespaard bleef. Uit onderzoek (PDF) van het Hongaarse onderzoeksinstituut Cryptography and System Security (CrSyS ) Lab gaat het om een geëncrypteerd bestand dat een SQLite-database bevat met NetBIOS-lookups. In theorie zouden onderzoekers met deze data kunnen zien welke computers Flame kon zien en eventueel besmetten.
Het blijft onduidelijk of de makers van de superspion een constructiefout hebben gemaakt of dat het tmp-bestand met opzet is achtergelaten. Hoe dan ook kan de achterblijver als baken dienen om te bepalen of een computer in het verleden besmet is geweest met Flame.
Het meest merkwaardige aan de hele operatie is, volgens Symantec, dat Flame browse32.ocx helemaal niet nodig had om tot zelfvernietiging over te gaan.
“In Flame-code die we eerder analyseerden, troffen we een component aan met de naam SUICIDE, wat functioneel vergelijkbaar is met browse32.ocx”, schrijft de beveiliger. “Het is ons niet bekend waarom de auteurs besloten hebben niet gebruik te maken van deze functionaliteit, en in plaats daarvan Flame specifieke acties lieten uitvoeren via een nieuwe module.”