[HaBo]

BlackMarvel · 06.02.05, 10:01

Hallo,

ich habe gerade bei den Sternnews gelesen, dass es ein Programm mit Namen "Zecke" gibt, was sich an der Firewall vorbei unbemerkt ins system schleicht. Hat dazu jemand nähere Infos?

Voodoo · 06.02.05, 10:08

http://www.defense.at/archive/1870/thread.html

Btw: Google ist dein Freund

Anzeige

- Anzeige -

Sven · 06.02.05, 10:57

Schadprogramm Zecke stellt Firewalls in Frage
*hust*

mfg
Sven

Voodoo · 06.02.05, 11:03

Lol, ich hab doch gewusst dass ich den Artikel noch woanders gesehen habe

BlackMarvel · 06.02.05, 16:33

upps. Trotzdem besten Dank ;-) Das Tool hat nicht zufallig jemand irgendwie bekommen?

sieben · 08.02.05, 09:03

Zitat:

Original von BlackMarvel
upps. Trotzdem besten Dank ;-) Das Tool hat nicht zufallig jemand irgendwie bekommen?

Nein, Du bekommst es nicht.

Eckbert · 08.02.05, 09:28

Zitat:

Original von sieben

Zitat:

Original von BlackMarvel
upps. Trotzdem besten Dank ;-) Das Tool hat nicht zufallig jemand irgendwie bekommen?

Nein, Du bekommst es nicht.

Jo,jeder hats aber du bekommst es nicht!

Muhararar! :]

silenced · 08.02.05, 11:49

Hmm, also bei mir macht der "Kill World" Befehl nocht Probleme :]

Drager · 08.02.05, 12:14

naja gut dazu muss man aber erstmal programme laufen haben, die anfällig sind, und die auch im netz kommunizieren...

gut es ist trickreich, das keine logs entstehen... aber das ist ja nicht der fehler der firewall.. sondern vielmehr, des programms, dass sich da ausnutzen lässt...(und für den angreifer, die drecksarbeit macht, und somit keine log einträge macht, die als gefährlich einzustufen sind...)

also nichts wirklich neues oder gar erschreckentes...

Crux · 08.02.05, 13:09

@sieben

Bitte, bitte schick mir das tool, will auch herumhax0rn

*joke*

Weis einer wie man sich dagegen schütz? Oder bei welchen Firewall das genau auftriett?

lg Crux

Drager · 08.02.05, 13:47

Zitat:

Original von Crux
Weis einer wie man sich dagegen schütz? Oder bei welchen Firewall das genau auftriett?

schützen.. hm sicherheitupdates, von deinen programmen machen ,die etwas im netz tun (browser etc.)

das hat doch nichts mit einer bestimmten firewall zu tun... so gesehn bei allen, weil wenn ich z.b. deinen internet browser befehle, mir all deine daten zu schicken, dann steht in deiner firewall log , nur das dein browser was gemacht hat... aber da es ja dem browser vertraut, wird das nicht als möglicher angriff gewertet...

also somit , ist das wie ich finde kein fehler der firewall...

tbofh · 09.02.05, 14:15

Hi Forum,

nun die Gelegenheit endlich auch mal was zu schreiben ;o) ...

Ich war ebenfalls auf der IT-Defense und habe Tobi mit seinem Tool live gesehen. Wie Drager schon richtig zusammengefasst hat ist das mehr ein prinzipielles Problem von Firewalls. Mit seinem Exploit auf einen verwundbaren Dienst hat Tobi den Thread, der für die Anfrage des Browsers zuständig war übernommen und weiter im Kontext des Servers ausgeführt. Das weitere Vorgehen, um im speziellen IPS Systeme zu überlisten war es, den Payload und sein Protokoll in das zum Thread gehörende Protokoll einzubetten.

Das eigentlich besondere an der Attacke war, dass sämtliche zum weiteren vorgehen notwendigen Binaries (z.b. cmd.exe, shellserver ....) vom Client injiziert wurden. Deswegen ist auf dem kompromitierten Host kein Festplattenzugriff notwendig geworden, was für die Forensik natürlich fatale Folgen hat ;o).

Grüßle
Andi

ps: Das Tool behält er für sich (was nicht bedeutet, dass es nicht auch andere ähnliche Programme gibt...) und das ist auch gut so. Gottseidank bin ich kein Risk Assessor :p

09.02.05, 17:24

1. Der Congress wurde u.a. von $verlag gesponsort
2. $Verlag verlegt Werke von Tobias Klein
3. Sind verdammt wenig Informationen über Zecker zu erhalten.

Die Technik Firewalls zu durchtunneln ist keineswegs neu. Selbst LOKI hatte schon eben diese rudimentären Techniken und ist _sehr_ alt.
Desweiteren spielen sich ja wohl BO Angriffe meistens im Speicher ab, nech? Und das einzige was meist bleibt sind ggf. logs über diverse crashs. Zudem ist das eigentliche Konzept der klassischen BufferOverflow Angriffe auch hinlänglich bekannt.

Zweifelsohne ist das Programm ein feines Stück Handwerksarbeit aber man sollte beachten das der Weg keinesfallfs neu ist.
In jedem Fall wird Zecke einer Menge Leute dienlich sein die Ihr Geld mit dem Verkauf von "hardware Firewalls" verdienen

mfg

tbofh · 09.02.05, 17:40

Werbung für Firewalls ist das bestimmt nicht .... und im Falle von Tobias meinst
Du sicherlich $Sicherheitsfirma mit einschlägigen Produkten und weniger $Verlag.

Grüße

09.02.05, 19:05

Die conference wurde (u.A.) vonm Dpunkt Verlag gesponsort.
Und Tobias Klein hat 2 Bücher vom DPunkt Verlag verlegen lassen.

1) Buffer Overflows und Format-String-Schwachstellen: Funktionsweise, Exploits und Gegenmaßnahmen.
2) Linux-Sicherheit. Security mit Open-Source-Software - Grundlagen und Praxis .

Und in diesem Artikel:
http://www.tomsnetworking.de/index.p...ficeimport_pi1[page]=2&cHash=14e88f1b25
wird eben auch auf eine mächtigere FW aus dem Hause Zyxel verwiesen.
Wobei die Aussage stark zu wünschen übrig lässt.

Und zudem erscheint auch noch Herr Stefan Strobel als Veranstaltungsleiter und zufällig auch Geschäftsführer der Firma cirosec. Was nicht weiter verwunderlich ist, denn sie ist der 2. Sponsor des congress.

Whatever...it-security sells.

Aber was mich interessieren würde ist: Wurden die genauen Funktionsweisen anhand von Code oder flowcharts (auch für Programmierer befriedigend) detailliert erklärt?

Deine Aussage, da Du ja da warst, wäre willkommen

mfg

Anzeige

- Anzeige -

06.02.05, 10:01	#1 (permalink)
BlackMarvel Registriert seit: 17.03.04 Likes: 0	nicht nachweisbarer Angriff Anzeige Hallo, ich habe gerade bei den Sternnews gelesen, dass es ein Programm mit Namen "Zecke" gibt, was sich an der Firewall vorbei unbemerkt ins system schleicht. Hat dazu jemand nähere Infos?

06.02.05, 10:57	#3 (permalink)
Sven Member of Honour Registriert seit: 14.09.03 Likes: 34	Schadprogramm Zecke stellt Firewalls in Frage hust mfg Sven __________________ Mein Portfolio Meine Fotogalerie best view with open eyes

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
(D)DOS Angriff simulieren	Majestix87	Webmaster-Security	1	17.12.08 04:18
Angriff auf IntelCPU	sw33tlull4by	News & Ankündigungen	7	16.07.08 17:55
IP identifizieren bei Angriff	Thommylein	(In)security allgemein	8	21.04.08 15:56
Doppelpost: Angriff auf 2. PC	FleaZ	Doppelte Beiträge	1	24.06.07 20:52
PHP-Angriff	Xalon	(In)security allgemein	2	10.12.05 21:39

06.02.05, 10:08	#2 (permalink)
Voodoo Senior Member Registriert seit: 21.01.04 Likes: 0	http://www.defense.at/archive/1870/thread.html Btw: Google ist dein Freund

06.02.05, 11:03	#4 (permalink)
Voodoo Senior Member Registriert seit: 21.01.04 Likes: 0	Lol, ich hab doch gewusst dass ich den Artikel noch woanders gesehen habe

06.02.05, 16:33	#5 (permalink)
BlackMarvel Themenstarter Registriert seit: 17.03.04 Likes: 0	upps. Trotzdem besten Dank ;-) Das Tool hat nicht zufallig jemand irgendwie bekommen?

08.02.05, 11:49	#8 (permalink)
silenced Senior Member Registriert seit: 23.12.03 Likes: 0	Hmm, also bei mir macht der "Kill World" Befehl nocht Probleme :]

08.02.05, 12:14	#9 (permalink)
Drager Registriert seit: 03.05.04 Likes: 0	naja gut dazu muss man aber erstmal programme laufen haben, die anfällig sind, und die auch im netz kommunizieren... gut es ist trickreich, das keine logs entstehen... aber das ist ja nicht der fehler der firewall.. sondern vielmehr, des programms, dass sich da ausnutzen lässt...(und für den angreifer, die drecksarbeit macht, und somit keine log einträge macht, die als gefährlich einzustufen sind...) also nichts wirklich neues oder gar erschreckentes...

08.02.05, 13:09	#10 (permalink)
Crux Registriert seit: 26.09.02 Likes: 0	@sieben Bitte, bitte schick mir das tool, will auch herumhax0rn joke Weis einer wie man sich dagegen schütz? Oder bei welchen Firewall das genau auftriett? lg Crux

09.02.05, 14:15	#12 (permalink)
tbofh Registriert seit: 09.02.05 Likes: 0	Hi Forum, nun die Gelegenheit endlich auch mal was zu schreiben ;o) ... Ich war ebenfalls auf der IT-Defense und habe Tobi mit seinem Tool live gesehen. Wie Drager schon richtig zusammengefasst hat ist das mehr ein prinzipielles Problem von Firewalls. Mit seinem Exploit auf einen verwundbaren Dienst hat Tobi den Thread, der für die Anfrage des Browsers zuständig war übernommen und weiter im Kontext des Servers ausgeführt. Das weitere Vorgehen, um im speziellen IPS Systeme zu überlisten war es, den Payload und sein Protokoll in das zum Thread gehörende Protokoll einzubetten. Das eigentlich besondere an der Attacke war, dass sämtliche zum weiteren vorgehen notwendigen Binaries (z.b. cmd.exe, shellserver ....) vom Client injiziert wurden. Deswegen ist auf dem kompromitierten Host kein Festplattenzugriff notwendig geworden, was für die Forensik natürlich fatale Folgen hat ;o). Grüßle Andi ps: Das Tool behält er für sich (was nicht bedeutet, dass es nicht auch andere ähnliche Programme gibt...) und das ist auch gut so. Gottseidank bin ich kein Risk Assessor :p

09.02.05, 17:24	#13 (permalink)
Gulliver Guest Likes:	1. Der Congress wurde u.a. von $verlag gesponsort 2. $Verlag verlegt Werke von Tobias Klein 3. Sind verdammt wenig Informationen über Zecker zu erhalten. Die Technik Firewalls zu durchtunneln ist keineswegs neu. Selbst LOKI hatte schon eben diese rudimentären Techniken und ist _sehr_ alt. Desweiteren spielen sich ja wohl BO Angriffe meistens im Speicher ab, nech? Und das einzige was meist bleibt sind ggf. logs über diverse crashs. Zudem ist das eigentliche Konzept der klassischen BufferOverflow Angriffe auch hinlänglich bekannt. Zweifelsohne ist das Programm ein feines Stück Handwerksarbeit aber man sollte beachten das der Weg keinesfallfs neu ist. In jedem Fall wird Zecke einer Menge Leute dienlich sein die Ihr Geld mit dem Verkauf von "hardware Firewalls" verdienen mfg

09.02.05, 17:40	#14 (permalink)
tbofh Registriert seit: 09.02.05 Likes: 0	Werbung für Firewalls ist das bestimmt nicht .... und im Falle von Tobias meinst Du sicherlich $Sicherheitsfirma mit einschlägigen Produkten und weniger $Verlag. Grüße

09.02.05, 19:05	#15 (permalink)
Gulliver Guest Likes:	Die conference wurde (u.A.) vonm Dpunkt Verlag gesponsort. Und Tobias Klein hat 2 Bücher vom DPunkt Verlag verlegen lassen. 1) Buffer Overflows und Format-String-Schwachstellen: Funktionsweise, Exploits und Gegenmaßnahmen. 2) Linux-Sicherheit. Security mit Open-Source-Software - Grundlagen und Praxis . Und in diesem Artikel: http://www.tomsnetworking.de/index.p...ficeimport_pi1[page]=2&cHash=14e88f1b25 wird eben auch auf eine mächtigere FW aus dem Hause Zyxel verwiesen. Wobei die Aussage stark zu wünschen übrig lässt. Und zudem erscheint auch noch Herr Stefan Strobel als Veranstaltungsleiter und zufällig auch Geschäftsführer der Firma cirosec. Was nicht weiter verwunderlich ist, denn sie ist der 2. Sponsor des congress. Whatever...it-security sells. Aber was mich interessieren würde ist: Wurden die genauen Funktionsweisen anhand von Code oder flowcharts (auch für Programmierer befriedigend) detailliert erklärt? Deine Aussage, da Du ja da warst, wäre willkommen mfg

[HaBo]

nicht nachweisbarer Angriff