Gauss: Kaspersky Labs bitten um Mithilfe bei der Analyse

**Annika_Kremer** · 15. 08. 2012, 12:45

Die Analysten des IT-Sicherheitsunternehmens Kaspersky rufen alle IT-Sicherheits- und Kryptographie-Experten auf, sich an der Analyse des Spionage-Trojaners "Gauss" zu beteiligen. Insbesondere die verschlüsselte Nutzlast der Schadsoftware, der "Sprengkopf", stellt die Analysten vor ein Rätsel und soll mit Hilfe eines Expertenteams analysiert werden.

zur News

**DaTaCrAsH** · 15. 08. 2012, 13:44

Muss doch höllen Spaß machen wenn mans drauf hat, dem Geheimnis auf die Spur zu kommen, mein Horizont ist leider viel zu beschränkt für sowas

**JSONdecrypt** · 15. 08. 2012, 13:51

Zitat von DaTaCrAsH

mein Horizont ist leider viel zu beschränkt für sowas

Dafür braucht man sich vermutlich nicht zu schämen, in der Theorie komme ich zwar noch mit, das war's dann aber auch. Die schreiben nicht umsonst "if you are a world class cryptographer" vor die Mail, denn das Ding hat es in sich.
Ich bezweifle also, dass das von einem Staat kommt, wenn doch, hat Deutschland mit den DigiTask-Skiddies schlechte Karten im Cyberwar.

**Rob_ert** · 15. 08. 2012, 16:46

Also versteh ich das richtig: Das Programm versucht Sachen die es selber mitgebracht hat zu entschlüsseln? Und ausserdem sind die Sachen die er ausprobiert systemspezifisch. Das führt mich zu zwei Schlussfolgerungen:

1. Es ist für einen ganz speziellen Rechner gebaut (ja programmiert).
oder
2. Der Mensch der das Programm geschrieben hat kennt das Passwort (oder wie auch immer der Schlüssel aussieht) selber nicht und versucht es einfach per BruteForce über alle Rechner.

Ausserdem wären noch nen paar Hintergründe interessant. Wo kommt der Kram her(wo gefunden), seit wann bekannt u.ä..

Aber geile Detektivstory

.

**EinsteinXXL** · 15. 08. 2012, 17:32

Ich wette, dass das Teil wieder ein Projekt der USA und Israel ist. Beschimpft mich von mir aus als VT-ler, aber was Stuxnet und Duqu angeht hatte ich wohl recht. Die Zeit wird es zeigen.

NACHTRAG:

Ich habe mal diese Analyse des Trojaners überflogen. Das Teil is defenitiv mit Stuxnet und Duqu verwandt. Damit ist für mich die Sache klar. Auch die geographische Verteilung von Gauss spricht für USRAEL als Urheber. Was ich ausserdem nicht verstehe ist, wieso MS die Lücken nicht schliesst, welche Stuxnet und Duqu schon ausnutzten und nun auch Gauss? Ich unterstelle mal MS Beihilfe.

**JSONdecrypt** · 15. 08. 2012, 17:40

Zitat von Rob_ert

Also versteh ich das richtig: Das Programm versucht Sachen die es selber mitgebracht hat zu entschlüsseln?

Ja, es ist ein Payload enthalten, der komplett verschlüsselt ist. Das "Programm" selbst kennt den Schlüssel dazu nicht, kann ihn aber erzeugen, wenn eine bestimmte Bedingung erfüllt ist. (Hier: Ein bestimmter Pfad vorhanden)
Und nach diesem Pfad wird nun gesucht, damit man den Payload entschlüsseln kann und dessen Zweck und Methoden untersuchen.

**FlySoft** · 15. 08. 2012, 18:23

Zitat von Rob_ert

Also versteh ich das richtig: Das Programm versucht Sachen die es selber mitgebracht hat zu entschlüsseln? Und ausserdem sind die Sachen die er ausprobiert systemspezifisch.
1. Es ist für einen ganz speziellen Rechner gebaut (ja programmiert).
oder

Ja, das ist die Vermutung, die Kaspersky auch hat. Um genau zu sein: Es müssen 2 Programme in der Path-Variable eingetragen sein - daher muss der Rechner, damit der Payload ausgeführt wird, 2 Einträge in der PATH-Systemvariable haben, damit der Programmteil ausgeführt wird.

(Die Einträge der Path-Variable müssen auf 2 Verschiedene Einträge im Programm-Ordner zeigen, die mit einem Zeichen > z anfangen ({}~ oder ein anderes Alphabet)

Mithilfe dem Hash von diesen Variablen wird dann der Inhalt von 3 Datenbereichen über eine Windows-Funktion entschlüsselt, und eine davon ausgeführt.

Meine Meinung: Das ist ein verdammt Professioneller und gezielter Angriff - die Leute, die sowas schreiben, wissen, was sie tun.

**Stread** · 15. 08. 2012, 18:32

Also macht das Teil bei 99% der Computer nichts, weil diese beiden PATH fehlen? Wenn die fehlen ist der "Container" verschlüsselt und führt nichts aus?

**EinsteinXXL** · 15. 08. 2012, 19:53

Zitat von Stread

Also macht das Teil bei 99% der Computer nichts, weil diese beiden PATH fehlen? Wenn die fehlen ist der "Container" verschlüsselt und führt nichts aus?

Nö. das ist nen Trugschluss. Das Teil sammelt auch ohne den verschlüsselten Teil Infos. Liest Banktransaktionen aus und stiehlt Passwörter von sozialen Netzwerken, E-Mails und Instant-Messaging-Services, sammelt Infos über Hard- und Softwarekonfiguration und sendet sie an die C&C Infrastruktur. Zwar scheint es Gauss speziell auf das libanesische Online-Bankensystem abgesehen zu haben, aber trotzdem ist der Trojaner auch für dich nicht harmlos, wenn man seinen allgemeinen Funktionsumfang betrachtet.