Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Closed TopicStart new topic
> LSP Trojans & Scalable Stealth Trojans
Gast_Nautilus_*
Beitrag 04.10.2003, 15:32
Beitrag #1






Gäste






1.
Kann mir mal bitte jemand verraten, was in der Juni 2003 Ausgabe von Virus Bulletin über Scalable Stealth Trojans steht? Angeblich sind dagegen Firewalls machtlos. Würde gerne wissen, ob es sich dabei um etwas wirklich Neuartiges handelt oder nur ein neuer Name für etwas Bekanntes dahinter steckt.


2.
Im Moment coden wohl alle wie wild an sog. LSP Trojans, die als layered service provider Firewalls tunneln sollen. Backgroundinfo: http://air.knu.ac.kr/reference/COM/layeredservicetop.htm

Kann das klappen? Ich dachte immer, dass normale Personal Firewalls längst auch low level driver usw. filtern oder zumindest erkennen können.

Gruss Nautilus

P.S.: Mache schon wieder Cross-Posting ;-)
Go to the top of the page
 
+Quote Post
JoJo
Beitrag 04.10.2003, 15:38
Beitrag #2



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 546
Mitglied seit: 28.04.2003
Mitglieds-Nr.: 62



zu 1.) Was sind denn Scalable Stealth Trojans ? Gibt es dazu auch irgendwelche Infos ?

zu 2.) Alle ? Also ich kenne da im Moment nur einen RAT Coder der versucht dieses LSP in sein neuestes Projekt einzubinden..mal schauen wie das so wird..bis jetzt habe ich auch nur ein paar Texte und Posts in Boards dazu gelesen. Ich würde auch gerne mal wissen ob dies wirklich möglich ist mit dieser Technik an den Firewalls vorbei zukommen und wie lange es dann dauert bis Firewallentwickler TEchniken entwickeln um diese LSP Geschichten zu verhindern. Schon bei den DLL FWB Sachen hat´s ja lange gedauert.
Go to the top of the page
 
+Quote Post
Gast_Nautilus_*
Beitrag 04.10.2003, 15:43
Beitrag #3


Threadersteller




Gäste






1.

"The scalable stealth Trojan : an upcoming danger" an article by Eyal DOTAN published in anti-virus magazine Virus Bulletin - Juin 2003


The international independent virus & anti-virus magazine Virus Bulletin published in its June 2003 issue an article titled "The scalable stealth Trojan : an upcoming danger". Written by Eyal Dotan, Head of Research and Development at TEGAM International, the technical article describes a new generation of Trojan horses on Windows platforms. Scalable Stealth Trojan horses are invisible to Firewalls and Desktop Firewalls, and they are also capable of being remotely updated, hence rendering Anti-Virus detection significantly less effective. The attack methods described do not rely on vulnerabilities, but rather on concept flaws in today's security programs.

It is not known whether a Trojan horse combining all of the described techniques has been used yet. We do know, however, that most of the described techniques have already been experienced in one malicious program or another. "We expect to see more and more malicious programs using the techniques described in this article, for hiding themselves from protection software. This threat must not be underestimated, as there is no technical solution as of now.", Eyal Dotan said.

The article published in Virus Bulletin June 2003 issue is a shortened version of a confidential report written by Eyal Dotan and TEGAM International in December 2001. Until published in Virus Bulletin, this article was only shown to organizations and government institutions related to Computer Security.

In the field of computer security, Trojan horses are a major threat of data destruction, and especially data theft. Unlike viruses, they allow hackers to choose their target and may stay on the attacked machines during a long period. Usually, damage done by Trojan horses cannot be undone: once information is stolen, it is too late.

Threat anticipation is an essential part of computer security. TEGAM International anticipates threats in order to find preventive solutions, rather than cure."

2.
@JoJo "Alle?" Darauf kann ich nicht vernünftig antworten. Ich weiss nicht, mit wem Du Kontakt hast. Und ich verrate auf keinen Fall, mit wem ich alles gute Kontakte habe ;-)

Gruss Nautilus

Der Beitrag wurde von Nautilus bearbeitet: 04.10.2003, 15:48
Go to the top of the page
 
+Quote Post
JoJo
Beitrag 04.10.2003, 15:54
Beitrag #4



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 546
Mitglied seit: 28.04.2003
Mitglieds-Nr.: 62



Danke für den Text, aber leider sind darin keine Infos enthalten wie nun diese Technik in etwas funktionieren soll. Vielleicht mit dem Release von TDS-4 von Duke Nukem Forever wird es sowas geben smile.gif
Go to the top of the page
 
+Quote Post
Gast_Nautilus_*
Beitrag 04.10.2003, 16:08
Beitrag #5


Threadersteller




Gäste






@JoJo Genau. Deshalb habe ich ja die Frage gestellt. Bislang kann ich auch nur vermuten, dass es evt. um LSP Trojaner oder DLL Trojaner geht. Oder um das Port Cloaking, welches die kommende Hacker Defender Version unterstützen soll. Bin genauso neugierig, wie Du jetzt auch ;-)

Irgendwer muss das Virus Bulletin doch lesen. Seltsam?

Gruss Nautilus
Go to the top of the page
 
+Quote Post
Gast_Florian_*
Beitrag 04.10.2003, 16:12
Beitrag #6






Gäste






ZITAT
Im Moment coden wohl alle wie wild an sog. LSP Trojans, die als layered service provider Firewalls tunneln sollen. Backgroundinfo: http://air.knu.ac.kr/reference/COM/layeredservicetop.htm

Kann das klappen? Ich dachte immer, dass normale Personal Firewalls längst auch low level driver usw. filtern oder zumindest erkennen können.


Da halte ich 99.9% der Trojanerprogrammierer schlichtweg für zu inkompetent dafür.
Solange da nichts Opensource rauskommt, wo alle anderen abpinseln können, ist die Gefahr davon IMHO minimal wink.gif

Der Beitrag wurde von Jason bearbeitet: 04.10.2003, 16:13
Go to the top of the page
 
+Quote Post
Gast_Nautilus_*
Beitrag 04.10.2003, 16:46
Beitrag #7


Threadersteller




Gäste






@Jason

Und ich setze noch einen drauf ;-) Das Hauptproblem vieler Trojaner-Coder ist nicht einmal ihre mangelnde Programmierfertigkeit, sondern schlichtweg ihr Unverständnis von der Idee "Trojaner" als solcher.

Das Wichtigste an einem Trojaner ist, dass er "stealth" ist oder es zumindest leicht gemacht werden kann. Unwichtig ist dagegen beispielsweise, ob ein Trojaner vollautomatisch und in Höchstgeschwindigkeit 15 Matrix Chats gleichzeitig initiieren und dabei rhythmisch das CD-Laufwerk wackeln lassen kann.

In diesem Sinne kann mir gerne mal jemand erklären, was die beiden komplett überflüssigen DLLs (Cloaker+Keylog) bei OptixPro in der Resource Section zu suchen haben. *g* Da muss doch jemand die Dummheit mit Löffeln gefressen haben ...

ntl

Der Beitrag wurde von Nautilus bearbeitet: 04.10.2003, 16:47
Go to the top of the page
 
+Quote Post
Gast_Florian_*
Beitrag 04.10.2003, 18:35
Beitrag #8






Gäste






ZITAT
In diesem Sinne kann mir gerne mal jemand erklären, was die beiden komplett überflüssigen DLLs (Cloaker+Keylog) bei OptixPro in der Resource Section zu suchen haben. *g* Da muss doch jemand die Dummheit mit Löffeln gefressen haben ...


Nuja, wahrscheinlich weil sie danach auf Platte "gedropt" (so nennt man das doch oder wink.gif) werden sollen.
Auch daran is wieder n Opensource-Dropper schuld, von dem seitdem alle abpinseln.

Hatte Optix noch kein einziges Mal runtergeladen, kenn mich also nich aus damit, sorry, wenn ich da in die Diskussion nicht tiefer eingreifen kann smile.gif

Der Beitrag wurde von Jason bearbeitet: 04.10.2003, 18:36
Go to the top of the page
 
+Quote Post
Gast_Gladiator_*
Beitrag 05.10.2003, 13:18
Beitrag #9






Gäste






http://www.virusbtn.com/magazine/archives/...2003/200306.pdf
Go to the top of the page
 
+Quote Post
Gast_Nautilus_*
Beitrag 05.10.2003, 13:30
Beitrag #10


Threadersteller




Gäste






Wow. Ist das ein Secret Link? Lt. VB gibt es die neuen doch gar nicht als Archiv und dieser Artikel war auch nicht als frei zugänglich ausgewiesen.

Thx, ntl
Go to the top of the page
 
+Quote Post
wizard
Beitrag 05.10.2003, 13:35
Beitrag #11



Trojaner-Jäger
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 1.156
Mitglied seit: 15.04.2003
Wohnort: Düsseldorf
Mitglieds-Nr.: 23

Betriebssystem:
WinXP, MacOS 10.6, Vista



ZITAT(Nautilus @ 5. October 2003, 14:29)
Wow. Ist das ein Secret Link?

Nein. Alle paar Monate spendiert VB alte Ausgaben als PDF. In den letzten Tagen sind Juni und Juli 2003 dazugekommen. smile.gif

wizard


--------------------
wizardRESEARCH - Malware Research & Analysis since 1989
Go to the top of the page
 
+Quote Post
Gast_Nautilus_*
Beitrag 06.10.2003, 18:28
Beitrag #12


Threadersteller




Gäste






Herr Dotan spricht in seinem Artikel in der Tat LSP Trojaner (als Untergruppe des von ihm kreierten Begriffes "Scalable Stealth Trojan") an.

"Another way of performing PIDF [Ann.: Process ID Falsification] is through a layer called WinSock's Service Provider Interface (SPI). SPI, also called LSP (Layered Service Provider), is an interface for hooking all socket operations within the system. In other words, whenever any program accesses the Internet, the SPI hook (the Trojan's DLL in this case) is called as if it were loaded by that program. Any I/O request that is performed from within the SPI hook will be seen by the system (and by the personal firewall) as having come from the legitimate program that initiated an Internet operation. So, in addition to falsifying process IDs, SPI allows the Trojan to be launched at the machine?s startup, with no easily detectable traces. Neither does SPI execute any process ? SPI is merely a DLL that is loaded by any and all trusted Internet programs on the machine. Hence, it is not visible in the task list either."

Das Ganze scheint mir relativ einleuchtend zu sein. Sobald irgendein Programm ins Internet geht, "reisst" es den Trojaner quasi mit und startet ihn. Eine Firewall schlägt allenfalls dann Alarm, wenn sie portgenau konfiguriert ist UND die Trojaner-DLL nicht als REVERSE Trojan fungiert. Abhilfe dürfte somit wohl eher durch System Safety Monitor oder die TPF Sandbox möglich sein.

ntl

Der Beitrag wurde von Nautilus bearbeitet: 06.10.2003, 18:32
Go to the top of the page
 
+Quote Post
wizard
Beitrag 06.10.2003, 18:53
Beitrag #13



Trojaner-Jäger
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 1.156
Mitglied seit: 15.04.2003
Wohnort: Düsseldorf
Mitglieds-Nr.: 23

Betriebssystem:
WinXP, MacOS 10.6, Vista



ZITAT(Nautilus @ 6. October 2003, 19:27)
Abhilfe dürfte somit wohl eher durch System Safety Monitor oder die TPF Sandbox möglich sein.

... naja und als nebeneffekt hat man ein super instabiles Windows. Nein danke, aber "Sandboxing" unter Windows ist IMHO kaum empfehlenswert - mal abgesehen davon, dass ein Normaluser mit einer "Sandbox" kaum zurecht kommen würde.

wizard


--------------------
wizardRESEARCH - Malware Research & Analysis since 1989
Go to the top of the page
 
+Quote Post
Gast_Nautilus_*
Beitrag 06.10.2003, 19:08
Beitrag #14


Threadersteller




Gäste






Wizard, Du hast Recht damit, dass viele User mit diesen beiden Sandboxen Probleme haben. Bei mir laufen sie aber inzwischen beide stabil & problemlos.

Ausserdem kommen ansonsten ja nicht viele Alternativen in Betracht. AV/AT Scanner? Hmm...die werden von erfahrenen Angreifern inzwischen mit an Sicherheit grenzender Wahrscheinlichkeit ausgetrickst und können somit nur noch ein Baustein eines umfassenden Sicherheitskonzeptes sein.
Go to the top of the page
 
+Quote Post
wizard
Beitrag 06.10.2003, 19:59
Beitrag #15



Trojaner-Jäger
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 1.156
Mitglied seit: 15.04.2003
Wohnort: Düsseldorf
Mitglieds-Nr.: 23

Betriebssystem:
WinXP, MacOS 10.6, Vista



ZITAT(Nautilus @ 6. October 2003, 20:07)
Bei mir laufen sie aber inzwischen beide stabil & problemlos.

'Sandboxing' unter Windows wird nie problemlos funktionieren, es sei denn Microsoft entschliest sich diese Technik in Windows zu implemtieren und alle Hersteller bieten entsprechende Updates ihrer Programme an.

Du brauchst nur ein Programm zu haben, dass sich mit diesen 'Sandbox'-Programmen nicht verträgt und Du bist ******....

Letztendlich führt alles wieder auf die gute alte Regel zurück, dass man keine Software aus unseriösen Quellen installieren sollte und in Zukunft noch mehr/verstärkt darauf achtet was man an Programmen installiert/startet.

wizard


--------------------
wizardRESEARCH - Malware Research & Analysis since 1989
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.03.2024, 10:08
Impressum