"Copycat" - neuer Firewall-Leaktest

28.05.2003, 14:20
Member

Beiträge: 813
#1 Der Autor von "System Safety Monitor" (SSM) hat (mal so nebenbei) einen recht netten Leaktest geschrieben, der auf Code Injection basiert und damit an so ziemlich jeder aktuellen Desktop-Firewall "vorbeikommen" sollte.

Link: http://mc.webm.ru

Sein eigener SSM kann die von Copycat vorgestellte FWB-Methode dagegen blocken (wen wundert's... ;) )
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
28.05.2003, 20:15
Member
Avatar Ajax

Beiträge: 890
#2 Wen wundert's wenn aus SSM in Zukunft Shareware wird ;)
Nein,ich habe keine Kristallkugel ;), bloß das hier gelesen:

> All existent versions of SSM 1.9.*, including 1.9.2 beta 2, will stop functioning on June 1, 2003. New version will work until December 1, 2003 <

Gruß
Ajax
Seitenanfang Seitenende
06.06.2003, 01:57
Member

Beiträge: 58
#3 da schreit Kaspersky aber schon beim Downloadversuch,
darf der das?;)
Ich meine, ist ja eigentlich nur ein Leaktest.
Könnt ihr mir sagen ob KAV jetzt nur diesen speziellen Leaktest
erkennt, oder das Prinzip welches dahintersteht?
Letzteres kann eigentlich ja nicht sein, oder etwa doch?
Gruss
Der Zatu
Seitenanfang Seitenende
06.06.2003, 16:49
Member

Themenstarter

Beiträge: 813
#4 KAV erkennt nur den Leaktest, und nicht das Prinzip.
Find ich auch nicht so toll, weil nun viele User von Copycat abgeschreckt werden bzw. gar nicht wissen, wie man das Teil _trotz_ KAV überhaupt runterladen kann...

Ich hoffe, du lässt dich nicht davon abschrecken. ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 06.06.2003 um 16:49 Uhr von forge77 editiert.
Seitenanfang Seitenende
06.06.2003, 20:26
Member

Beiträge: 58
#5 Nönönö, lass ich schon nicht;)
Das Ding ist nur, dass ich zur Zeit gar keine Firewall benutze.
Daher bringt mir auch der Leaktest nix. Hat den schon jemand mit
der neuen Outpost getestet?
Das fänd ich mal interessant.
Der Zatu
Seitenanfang Seitenende
06.06.2003, 20:58
Member

Themenstarter

Beiträge: 813
#6 Outpost 2 hat gegen aktuelle Leaktests leider nicht sehr viel zu bieten. Die neue dll-Authentifizierung hilft zwar gegen ältere Tests wie Firehole oder pcAudit, aber gegen Copycat, Thermite und (teilweise) AWFT ist sie machtlos.

Im Moment ist wohl eine Kombi aus (einfacher) Firewall und SSM am wirksamsten gegen Leaks. ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
07.06.2003, 02:06
Member

Beiträge: 233
#7 Also ich wollte es mir gerade runterladen aber er sagt mir, ich hätte nicht die erforderliche Berechtigung (oder so ähnlich). ;)
Was hat das zu bedeuten ? Ist das ein Fehler auf der Seite oder liegt das an mir ? Wenns bei euch funktioniert ... hat jemand ne Ahnung warum es bei mir nicht klappt ?
__________
Wenn jeder an sich selbst denkt, ist an alle gedacht.
Seitenanfang Seitenende
07.06.2003, 14:45
Member

Themenstarter

Beiträge: 813
#8 Offenbar wurde eine leicht veränderte Version online gestellt, die (noch) nicht von AV-Scannern erkannt wird. ;)
Bei mir klappt der Download - versuch es auch nochmal.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
08.06.2003, 10:43
Member
Avatar Ajax

Beiträge: 890
#9 Tja,das mit dem Erkennen ist sachte ausgedrückt eher symbolisch.KAV hat zwar auch bei mir anfangs gemeckert,nach der Dateiumbenennung war's dann vorbei ;)
Ich erwarte ja nicht vom KAV daß er mir Leaktests erkennt aber diese Art von Erkennung könnten sich die Leute von KAV ersparen.Sicherheit vorzutäuschen und Effekthascherei sollte KAV besser anderen überlassen die dafür bekannt sind ;) (siehe forge's Seite über Scheinsicherheit)
Habe aus Neugierde das Teil ausprobiert,ohne FW (spielt eh keine Rolle ob mit oder ohne ;) ) Mit der Grundeinstellung passierte erstmals nichts ;) als ich dann bestimmte PIDs eingab ging's aber.

SSM ist zwar eine feine Sache aber wenn mal so ein ausgereiftes Teil in einer Software geschickt eingebunden ist so wird die Warnmeldung möglicherweise wenig nützen da der User im guten Glauben den Prozess erlauben wird ;)
Kann übrigens jemand die Meldung bestätigen daß alle SSM v.1.9.* bis 1.9.2beta2 inklusive nur bis 01.06.03 fuktionieren? Auf die Schnelle habe ich leider keinen DL-Link für eine ältere 1.9.* Version gefunden.

Gruß
Ajax
Seitenanfang Seitenende
08.06.2003, 13:48
Member

Themenstarter

Beiträge: 813
#10

Zitat

KAV hat zwar auch bei mir anfangs gemeckert,nach der Dateiumbenennung war's dann vorbei
Echt? ;)
Nee, also das kann ich nicht bestätigen. Ich hab hier inzwischen drei verschiedene Copycat-Versionen, von denen KAV aber grundsätzlich nur eine (die nicht mehr downloadbar ist) erkennt - egal unter welchem Namen (hätte mich auch _sehr_ gewundert... ;) )


Zitat

SSM ist zwar eine feine Sache aber wenn mal so ein ausgereiftes Teil in einer Software geschickt eingebunden ist so wird die Warnmeldung möglicherweise wenig nützen da der User im guten Glauben den Prozess erlauben wird
Stimmt, wenn der User mit den Warnmeldungen einer 'Firewall' (egal ob Network- oder System-) nix anfangen kann, wird ihm dieses Schutztool eher wenig nützen, keine Frage.
Allerdings sind die SSM-Warnmeldungen, die ein Leaktest wie Copycat provoziert, schon ziemlich signifikant, sprich: ein 'normales' Programm möchte i.d.R. keinen 'remote thread' in einem fremden Prozess erstellen oder öffnen... ;)

Mit der begrenzten Laufzeit von SSM hast du wohl recht. Die dezeit aktuelle Version ist imho bis Dezember lauffähig...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 08.06.2003 um 13:49 Uhr von forge77 editiert.
Seitenanfang Seitenende
08.06.2003, 22:46
Member
Avatar Ajax

Beiträge: 890
#11 @forge
"Nee, also das kann ich nicht bestätigen."

Deine Aussage bezüglich KAV beruigt zwar aber ich kann mir nicht vorstellen warum das bei mir nicht so war.Danach habe ich KAV extra mit ein paar Viecher gefüttert aber da war alles ok.
Den Test mit Copycat kann ich nicht wiederholen da ich das Teil gelöscht habe und die neue Version wird nicht erkannt.Sicherheitshalber hab ich KAV neu installiert.

Copycat hab ich noch paarmal getestet und bin auf ein merkwürdiges Ergebnis gekommen.
Na vielleicht bin ich wieder der einzige mit diesem Ergebnis;) :
Copycat meldet ohne Internetverbindung >

This file was d/l from http://mc.webm.ru/1.txt
You may take a look at http://maxcomputing.narod.ru/ssme.html?lang=en now

Also wie es Copycat schafft ohne Internetverbindung ein File downzuladen wird wohl ein Geheimnis bleiben;) Das einzige was es schafft war den Browser(wenn ich den PID eingebe) auf einen local port zu bemühen wo aber kein Dienst lauscht ;)
Bin sicher daß bei einer Standardkonfiguration alles klappen würde.
Übrigens hat auch AWFT wohl aus ähnliche Gründe versagt.Thermite bemängelte daß kein Standardbrowser eingerichtet ist.Bin mal gespannt wann der erste Leaktest kommt der sämtliche Konfigurationsprobleme überlistet und zusätzlich nicht wie die meisten Trojaner eine aufallende Größe hat.
Seitenanfang Seitenende
09.06.2003, 00:17
Member

Themenstarter

Beiträge: 813
#12

Zitat

Na vielleicht bin ich wieder der einzige mit diesem Ergebnis :
Zuerst wollte ich dich daran erinnern, die 'exploited.txt' von früheren Testdurchläufen auch wieder zu löschen ;) ... bis mir eben gerade was ganz ähnliches aufgefallen ist ...

(Test mit Opera als Standardbrowser): Nachdem ich Copycat einmal durchgelassen hatte, wurde beim nachfolgenden zweiten Versuch (ohne den Browser neu zu starten) die 'exploited.txt' auch dann 'platziert', wenn Opera keinen Internet-Zugriff hatte. ;)

Allerdings deutet sonst nichts auf irgendein geartetes Schummeln hin (Copycat kann definitiv Firewalls tunneln), weshalb ich denke, dass irgendeine Cache-Geschichte dahinter steckt. Darauf deutet z.B. auch hin, dass sich nach einem Copycat-Run in den 'Temporary Internet Files' (obwohl der IE nicht im Spiel ist!) ein Eintrag zu der 'exploited.txt'-URL befindet... ;)

Tja, wie gesagt: ganz ausgereift ist das Teil wirklich nicht... ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 09.06.2003 um 00:18 Uhr von forge77 editiert.
Seitenanfang Seitenende
09.06.2003, 12:22
Member
Avatar Ajax

Beiträge: 890
#13 @forge77

Den Cache von Opera hatte ich zwar gelöscht an den IE habe ich aber nicht gedacht.
Nun ist es mit dem Spuk von offline Downloads glaube ich zumindest vorbei;)
Das Teil ist tatsächlich noch nicht ausgereift aber es funktioniert.
Unabstellbare Windowsdienste bieten dabei gute Möglichkeiten ;)
Mit dieser Angelegenheit habe ich mir nach längerer Zeit SSM wieder angeschaut und war angenehm überrascht.(auch ein paar bekannte Namen gesehen;) )
Sooo einfach ist die Erkennung eines Schädlings doch nicht.Im Falle Cpycat warnt zwar SSM beim Starten,das eigentliche code injection wird aber dann nicht mehr wahrgenommen.
Jedenfalls blieb bei mir SSM nach der Eingabe der PID und die darauffolgende Verbindung stumm.
Habe den Eindruck daß code injection auch von SSM (noch) nicht richtig erkannt wird.
Seitenanfang Seitenende
09.06.2003, 12:48
Member

Themenstarter

Beiträge: 813
#14 Jaaa, endlich eine Bestätigung! ;)
Ich dachte, es läge wieder mal nur an meinem Rechner... frag mich nicht wieso, aber die neueste der drei Copycat-Versionen wird von SSM nicht richtig 'erkannt' (bei den anderen beiden kommt erwartungsgemäß eine 'NT_open_thread'-Warnung) - sprich: der Autor von SSM trickst sein eigenes Produkt aus!
Sehr merkwürdig... mal sehen, ob er sich dazu bald äußert (z.B. im Wilders-Board)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 09.06.2003 um 12:48 Uhr von forge77 editiert.
Seitenanfang Seitenende
09.06.2003, 22:47
Member

Themenstarter

Beiträge: 813
#15 So, Bug gefixt. ;)
Bis eine neue Version von SSM bereitsteht, kann man die alte 'mchooknt.dll' mit der neuen überschreiben (SSM vorher beenden): http://mc.webm.ru/mchooknt.dll
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: