Flame

 

Flame ist ein hochentwickeltes, mehrstufiges Spyware‑/Malware‑Werkzeug, das erstmals 2012 von den Sicherheitsforscher*innen der Kaspersky‑Lab und weiteren Unternehmen entdeckt wurde. Der Trojaner wurde vermutlich im Auftrag staatlicher Akteure entwickelt und zielte vor allem auf Unternehmen, Regierungsbehörden und kritische Infrastrukturen im Nahen und Mittleren Osten ab.

 

Technische Merkmale

  • Multi‑Stage‑Payload: Besteht aus mehreren Modulen (Downloader, Key‑Logger, Screenshots, Audio‑Aufnahme, Dateiexfiltration), die bei Bedarf dynamisch vom C2‑Server nachgeladen werden.
  • Root‑Kit‑Komponente: Versteckt seine Prozesse, Dateien und Registry‑Einträge, um Entdeckung durch Antiviren‑Programme zu erschweren.
  • Verschlüsselter Kommunikations‑Channel: Nutzt TLS/SSL‑Verschlüsselung und proprietäre Protokolle, um Daten mit dem Command‑and‑Control‑Server zu übertragen.
  • Datei‑Infektion: Fügt sich über DLL‑Hijacking, Man‑in‑the‑Middle‑Angriffe oder das Ausnutzen von Schwachstellen (z. B. Adobe Reader, Java) in legitime Prozesse ein.
  • Ausspäh‑Funktionen: Tastatureingaben (Key‑Logging), Screenshots, Mikrofon‑Aufnahmen, Netzwerk‑Sniffing, Datensammlung (E‑Mails, Dokumente, Anmeldeinformationen).
 

Verbreitung

  • Spear‑Phishing‑E‑Mails: Anhänge oder Links, die verschlüsselte Trojaner‑Payloads enthalten.
  • Drive‑by‑Downloads: Durch Exploit‑Kits auf kompromittierten Webseiten.
  • Weitere Malware‑Kombinationen: Oft zusammen mit anderen Spyware‑Familien (z. B. PlugX, Equation Group).
 

Entdeckung und Analyse
Kaspersky & Microsoft veröffentlichten detaillierte Analysen (z. B. „Flame – A New Windows Malware“). Die Analyse zeigte, dass Flame mehr als 10 GB an gestohlenen Daten (Dokumente, E‑Mails, Kreditkarteninformationen) exfiltrierte.

 

Schutzmaßnahmen

  • Patch‑Management: Installieren von Updates für Betriebssystem, Browser, PDF‑Reader und Java.
  • E‑Mail‑Sicherheit: Vorsicht bei Anhängen und Links aus unbekannten Quellen.
  • Endpoint‑Detection‑Response (EDR): Verhaltensbasierte Erkennung von ungewöhnlichen Aktivitäten (z. B. plötzliche Netzwerk‑Ausflüge, unbekannte Prozesse).
  • Network‑Segmentation: Begrenzung des Datenflusses, um mögliche Exfiltration zu erschweren.