[EDIT] @csde_rats: Aber in diesem Thema, hat bisher ja niemand Stellung zu genommen, aber bevor ich in Ungnade falle: lieber trocken
Zunächst ist wichtig welche Firewall und welcher VScan eingesetzt wird. Aufgrund der Leitungsmerkmale werden einige Lösungen nicht laufen.
Der Angreifer muss in diesem Fall verschieden Hürden überwinden bzw. das Ziel sich davor schützen:
Es müssen ausführbare Programme in den Zielcomputer hinein. Hier gibt's schon Probleme, falls die reverse shell Daten über den stdin des remote endpunktes hereinlässt, wäre es einfach.
Die tools müssen individuell sein, damit es keine Virensignaturen gibt, oder Vireschutzprodukte deaktiviert werden, was aufwändig und unsicher wäre.
Desweiteren müssen Sie gestartet werden können, auch hier hindert die Firewall oft durch Überwachung der registry, und gibt Meldungen. Bei einer Programminstallation passiert erfahrungsgemäß folgendes: Der Benutzer klick stumpf auf rlauben, da er dies noch 1000 mal tun muss, oder er schaltet das Ding während der Inst. aus.
Diese gefährliche Situation könnte durch eine Registry oder Verzeichnisüberwachung leider ausgespäht werden, um eingene Keys darunterzumischen.
Eine große Gefahr stellen tcp over dns tunnels dar, da dns das ungeprüfte Kind der meisten Firewalls ist.
In diesem könnte der Angreifer die Daten eines reverse tools verstecken. Ein echo vnc client/Server ist da einfach. |