Leaktest als Shareware

#0
05.12.2002, 19:22
Ajax
zu Gast
#1 Hi,
jetzt haben wir auch einen Leaktest für PFW's als Shareware.
Die verwendete Techniken dürften keine Neuigkeiten beinhalten.
Gegen Code-Injektion kann sowieso keine FW schützen.
Wer das Teil unbedingt testen möchte kann von hier eine Demo downladen:

http://www.atelierweb.com/awft/index.htm

Gruß
Ajax
Seitenanfang Seitenende
06.12.2002, 17:38
Member

Beiträge: 813
#2 Och, ich find's schon recht beeindruckend... "Code-Injection" wurde, soweit ich weiß, bisher in noch keinem (bekannten) Leaktest verwendet.

Könntest du bitte ein paar Sätze zur Funktionsweise und den Unterschieden zwischen den drei Test loswerden, Ajax? ;)
Wenn ich es richtig sehe, ist in Test 1 und 3 jeweils eine dll-Datei beteiligt (die aber, anders als z.B. bei Firehole, nicht injeziert wird.)
Ansonsten unterscheiden sich die Tests "nach außen hin" nur darin, wie bzw. ob der Standard-Browser gestartet wird... kommt das hin?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
06.12.2002, 20:58
Member

Themenstarter
Avatar Ajax

Beiträge: 890
#3 Hi forge77,

selber habe ich AWFT nicht getestet.Abgesehen davon daß ich keine PFW
mehr benutze,fand ich persönlich die Art der Vermarktung dieses
Leaktests unfair.Grundsätzlich wird etwas bewiesen was schon lange
bekannt ist.Die Techniken dürften auch die alten sein ansonsten hätte
man die neue Erfindung stolz in die Welt posaunt.
Mit alte Techniken meine ich Dll-und Code-Injektion.Bei Code-Injektion
wird ein böswilliger Code im Speicherraum (welches in diesem Fall dem I-
Explorer zugeordnet ist) eines Prozesses injiziert.
Daher meine Vermutung daß zumindest in den höheren Stufen letztere Methode verwendet wird.Der Erfolg dürfte 100% garantiert sein.
Dll-Injektion wird (sollte) ja von den neuen FW-Generationen erkannt werden.
Da es hier ja nur um einen (einfachen)Test geht dürfte es nur mit dem
I-Explorer(Standardport:80)funktionieren.Das soll aber nicht heißen
daß man mit etwas mehr Mühe,das Tool nicht so coden könnte,daß es selber
nach alle Anwendungen sucht die sich nach außen verbinden!
Falls Du gerne testet,wäre vielleicht ein Test mit System Safety Monitor
interessant.Dll-Inj.wird er bestimmt erkennen.
Ich habe zwar nicht vor AWFT zu installieren,falls ich aber was näheres darüber erfahre werde ich es posten.

Mit dieser Gelegenheit einen herzlichen Glückwunsch für die neue Seite
die Du zusammen mit Nautilus betreibst.Obzwar noch in Aufbauphase,macht
einen recht guten Eindruck.(Da habt ihr euch was vorgenommen,steckt
wahrscheinlich viel Arbeit dahinter)

Gruß
Ajax
Seitenanfang Seitenende
07.12.2002, 00:28
Member

Beiträge: 813
#4 Hi Ajax,

mit dem "System Safety Monitor" hatte ich schon getestet, weshalb ich ja gerade zu der Erkenntnis gekommen bin, dass bei keinem der Tests eine dll-Injektion stattfindet. ;)
Also stattdessen wohl jedesmal Code-Injektion in den Standard-Browser (also nicht nur in den IE!), gegen die FWs tatsächlich machtlos sind... wie gesagt, ich glaube bisher gab es noch keinen solchen Leaktest, oder?

Die Kerio3 beta erzielt einen "Glückstreffer" bei Test 1, da sie durch ihre System-Firewall erkennt, wenn ein (mglw. schädliches) Programm (hier: der Leaktest) ein anderes (hier: den Browser) startet.
Bei Test 2 muss der Browser dagegen schon laufen und bei Test 3 wird er durch die Windows-Shell selbst gestartet (nicht durch den Leaktest.)

Also insgesamt ein recht beeindruckender Beweis, dass die Outbound-Protection von PFW's lückenhaft ist.
Dennoch muss angemerkt werden, dass zumindest Backdoor-Trojaner nicht ohne weiteres mit dieser Verbindungs-Richtung (outbound) vereinbar sind.
Bisher kann man die Zahl der tunnelnden ITW-Backdoors jedenfalls noch an einer Hand abzählen.

Zu der Website:
Danke für die Blumen! ;)
Fairerweise muss ich sagen, dass bisher Nautilus fast die gesamte Arbeit hatte...
Es geht uns letztlich darum zu zeigen, dass auch viele AV-Scanner (u.a. der "ewige Testsieger" ;) ) sehr leicht "getunnelt" werden können, und wir möchten diejenigen Hersteller, die sich ernsthaft um das Packer/Crypter-Problem bemühen, mit unserer Aktion unterstützen.

Edit: Selber Glückwunsch... zu deiner endlich(!) erworbenen Board-Mitgliedschaft. ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 07.12.2002 um 00:34 Uhr von forge77 editiert.
Seitenanfang Seitenende
08.12.2002, 22:00
Member

Themenstarter
Avatar Ajax

Beiträge: 890
#5 Hi,

scheinbar geben sich die Leute von Atelier jetzt etwas mehr Mühe.

AWFT 2.0

Changes from release 1.02:

Includes a new test which will attempt to bypass the firewall defenses in cases where there is a ruleset in place for blocking the default browser access to the Internet.

Daß solchähnliche Malware ITW nicht bekannt ist bedeutet nur daß es z.Z keine Scan-Engine erkennen würde.

Gruß
Ajax
Seitenanfang Seitenende
10.12.2002, 00:30
Member

Themenstarter
Avatar Ajax

Beiträge: 890
#6 9th December 2002 Release 2.1

Changes:

* Includes a new test which attempts to use Windows Explorer for
accessing the Internet.

Etwas positives hat das Zeug doch an sich.Es macht allen deutlich daß der so gerne und oft versprochene Schutz eher eine Illusion ist,dafür hat schon
M$ vorgesorgt.Eine Wende wird wohl Palladium bringen können.Da werden wir
wahrscheinlich nach weniger Schutzsoftware Bedürfnis haben,da der Trojaner...
u.U schon im Prozessor schlummern wird.

Gruß
Ajax
Seitenanfang Seitenende
11.12.2002, 15:34
Member

Themenstarter
Avatar Ajax

Beiträge: 890
#7 Also jetzt bin ich mir auch nicht mehr ganz sicher ob da Code-Injection verwendet wird.Jedenfalls gibt es zumindest eine FW die alle 5 Tests übersteht.Atelier hat selber zugegeben daß Look'n'Stop die Probe besteht.In einem früheren Posting hatte ich mal mein Unverständnis geäußert daß über die m.E. gelungenste Desktop-FW z.Z.,so wenig gesprochen wird.Hatte mal die 2.03
kurz getestet und sie hinterließ einen sehr guten Eindruck.Ob man aber eine Desktop-FW unbedingt als Schutz haben muß und man dafür geneigt ist auch zu
zahlen ist eine andere Sache.

Gruß
Ajax
Seitenanfang Seitenende
11.12.2002, 17:36
Member

Beiträge: 813
#8 Komisch... vielleicht schau ich mir mal bei Gelegenheit die Look'n'Stop an, um zu sehen, wie der Leaktest geblockt wird.

Interessiert mich jetzt doch sehr. ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
15.12.2002, 13:42
Member

Themenstarter
Avatar Ajax

Beiträge: 890
#9 Fazit:
Damit Look'n'Stop den Test besteht muß man sehr trickreiche Einstellungen vornehmen.Erstens würde das den Durchschnittsuser total überfordern und zeitens wird damit dieser Test zwar umgangen aber die Verwundbarkeit bleibt.Look'n'Stop erkennt keine Dll-Injektion,soll später mal implementiert werden.Grundsätzlich wird von dieser FW auch nur Test:1 bestanden.

Gruß
Ajax
Seitenanfang Seitenende
15.12.2002, 13:50
Member

Beiträge: 813
#10 Könntest du bitte mal schreiben, in welche Richtung diese "trickreichen Einstellungen" gehen?
Ich bin nämlich noch nicht dazu gekommen, L&S auzuprobieren.
Und was genau bei AWFT passiert, weiß ich auch noch nicht...

Als eingeschränkter User (also Nicht-Admin) kann man offenbar mehrere Tests (auch ohne FW ;) ) bestehen, was doch wieder auf Code-Injektion hindeuten würde...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
15.12.2002, 14:18
Member

Themenstarter
Avatar Ajax

Beiträge: 890
#11 Am besten ich gebe Dir gleich den Link zum ganzen Thread.Auch wenn nicht alle beteiligte unbedingt Sympathien erwecken, so ist die Diskussion doch nicht ganz
uninteressant:

http://www.morelerbe.com/cgi-bin/ubb-cgi/ultimatebb.cgi?ubb=get_topic&f=38&t=000080&p=

Gruß
Ajax
Seitenanfang Seitenende
15.12.2002, 16:22
Member

Beiträge: 813
#12 Danke für den Link, ich glaube ich sehe jetzt klarer... ;)

"Echte" Code-Injection in einen bestehenden Prozess wird wohl nur in den Tests 2 und 3 durchgeführt (einmal in den Browser und einmal in den Win-Explorer).

Die Tests 4 und 5 basieren prinzipiell darauf, dass der Win-Explorer normalerweise andere Programme starten darf (z.B. Standard bei Kerio3).
Das Patchen der "trusted" Application erfolgt hier aber irgendwie VOR dessen Start.

Nur Test 1 kann demnach von einer normal konfigurierten System-Firewall geblockt werden, da hier der AWFT selbst den Browser startet.

Diese Erkenntnisse, die im Prinzip aus der AWFT-Hilfe stammen, decken sich mit meinen Beobachtungen. ;)

Interessant ist aber, dass nur Test 1 unter einem eingeschränkten Benutzerkonto funktioniert. Eigentlich wäre zu erwarten gewesen, dass nur die Tests 2 und 3 nicht gehen...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
16.12.2002, 20:29
Member

Themenstarter
Avatar Ajax

Beiträge: 890
#13 Wer die "trickreiche Einstellungen" selber testen möchte(sie sind zwar auf Look'n'Stop bezogen dürften aber genausogut mit der Kerio 3 funzen),hier die genauere Beschreibung(sorry,in englisch):

http://www.morelerbe.com/ubb/ultimatebb.php?ubb=get_topic;f=35;t=000452

Gruß
Ajax
Seitenanfang Seitenende
16.12.2002, 20:35
Member

Beiträge: 1516
#14 Weiß jemand ob die Tiny 4 das blockt??
Also mit Tiny 2.4 und als Benutzer übersteh ich alles
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Dieser Beitrag wurde am 16.12.2002 um 20:43 Uhr von spunki editiert.
Seitenanfang Seitenende
16.12.2002, 21:29
Member

Beiträge: 23
#15 Bei mir hat es die Tiny 4 geblockt. Ausserdem kann man die Filenamen vertrauenswürdiger Anwendungen, für die FW-Freigaben bestehen, umbenennen (siehe das Posting von Phant0m) sowie ein eingeschränktes Konto verwenden.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: