Flame-virus verbergt data onzichtbaar op USB-stick
Om toch vertrouwelijke informatie van computers zonder internetverbinding te stelen, verstopte het Flame-virus een database op USB-sticks. Het was al bekend dat het spionagevirus dat op zo'n 400 computers werd aangetroffen een gigantisch hoeveelheid gegevens steelt. In het geval de malware op een systeem terecht is gekomen dat niet over een internetverbinding beschikt, gebruikt het mensen als springplank om de informatie toch te versturen.
Bestandsnaam
Op USB-sticks maakt Flame een bestand genaamd '.' (punt) aan, wat normaliter in Windows niet kan. Flame doet dit door een 'RAW write' in de FAT directory entry te doen. De punt bestandsnaam wordt door Windows Explorer genegeerd, omdat het dit als de huidige directory beschouwt. Daardoor is het bestand onzichtbaar voor eindgebruikers.
Het verborgen bestand op de USB-stick is een versleutelde SQLite database, met onder andere een overzicht van de gebruikte Flame-modules. In het geval de USB-stick in een andere met Flame besmette computer wordt gestopt, wordt vergeleken of de computer zonder internetverbinding nog wel de meeste recente versie van het virus draait.
Als dat niet het geval is, worden de modules op de USB-stick gesynchroniseerd. Hierdoor kan Flame ook besmette computers zonder internetverbinding van de laatste versie van de malware voorzien.
Prioriteit
In het geval de USB-stick vol raakt, geeft Flame prioriteit aan bepaalde documenten en bestanden. Het zal bestanden met een lage prioriteit dan verwijderen. De belangrijkste bestanden zijn docx, doc, pptx, ppt, pps, xlsx en xls. CAD-bestanden hebben een lagere prioriteit en JPEG-afbeeldingen staan helemaal onderaan de lijst. Pas als de USB-stick in een computer met internetverbinding wordt gestopt en verbinding met de Command & Control-server van de aanvallers heeft gemaakt, wordt de database geüpload en alle geüploade bestanden verwijderd, zodat er weer ruimte op de USB-stick is.
Het Roemeense anti-virusbedrijf BitDefender stelt dat het pendelen van de besmette USB-sticks tussen computer met en zonder internetverbinding ook opzettelijk kan gebeuren. "Een mol die bewust de stick van het afgesloten netwerk meeneemt naar een systeem met internetverbinding."
Vorige week donderdag werd bekend dat Flame 'zelfmoord' op besmette computers pleegt.
De suggestie van BitDefender over een mole doet denken aan de manier waarop Stuxnet in Iran naar binnen is gekomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.