.NET Rootkits im kommen? Es gibt ein PDF plus Demo Source Code! Es geht um die Verseuchung von .NET Frameworks und das verstecken von Rootkits. Sehr interessante Lektüre.


Original Message:
.NET Framework Rootkits - This whitepaper covers various ways to develop rootkits for the .NET framework, so that every EXE/DLL that runs on a modified Framework will behave differently than what it's supposed to do. Code reviews will not detect backdoors installed inside the Framework since the payload is not in the code itself, but rather it is inside the Framework implementation. Writing Framework rootkits will enable the attacker to install a reverse shell inside the framework, to steal valuable information, to fixate encryption keys, disable security checks and to perform other nasty things as described in this paper.

http://packetstormsecurity.org/papers/attack/dotnetrookits.pdf

Ivan

Wenn wir in die Logs von unserem Webserver schauen fallen uns ab und zu Web Sessions auf, die von Web Mail Clients her stammen. Diese übermitteln die Session als Referer Header. Möchte man als Privatperson verhindern, dass die Referer des Browsers an den Server geschickt werden (Damit weiss die neue Seite nicht mehr, von welchem Link einer anderen Seit man auf die neue Seite gelangt), kann man ein Zusatzplugin für Firefox installieren.

http://www.stardrifter.org/refcontrol/

Ich finde das Plugin noch ganz nützlich, wenn ich die Referer gänzlich blockieren will. Das will ich immer dann, wenn ich möglichst wenig Spuren hinterlassen will und ein Webseiten Betreiber möglichst wenig Informationen erhalten soll, von wo ich herkomme.

Ivan

Die Deutsche Telekom liefert neu einen eigenen E-Banking Client für Windows aus um der drohenden Gefahr von Man in the Browser und ähnlichen Hacker Tricks entgegenzuwirken. Stefan Kanthak hat sich die Client Software etwas genauer angeschaut und diverse Schwachstellen in Full Disclosure publiziert

• Alte OpenSSL Version
• Alte LibCurl Bibliothek
• Alte ZLib Bilbiothek
• Abgelaufenes Zertifikate

So hat sich die deutsche Telekom das sicher nicht vorgestellt.

Link: http://packetstormsecurity.org/0811-advisories/tonline-multi.txt

Ivan

Gemäss einem abgehörten Schreiben sollen geheime IP Adressen des Bundesnachrichtendienstes publiziert worden sein. Ob die IP Adressen wirklich echt sind entzieht sich meiner Kenntnisse. Einige Stichproben bei Whois haben mir jedoch gezeigt, dass die Ranges zu T-Systems gehören 8-)

http://packetstormsecurity.nl/filedesc/bnd-networks.pdf.html


Grüsse
Ivan

Ein neues Tool für Windows SMB Man in the Middle Attacken ist erschienen.  Früher benützte ich smbrelay für NTLM crypto downgrade Attacken. Doch das neue Tool SMBRealy3 macht einen viel besseren Eindruck. Vor allem erlaubt es auch das Downgrading auf NTLM mit HTTP, IMAP oder anderen Protokollen die SMB als Authentisierung verwenden. Meines Erachtens ist das Tool wirklich gut!

http://www.tarasco.org/security/smbrelay/index.html

Übrigens: Die Seite von Tarasco macht auch sonst einen guten Eindruck. Sicherlich ein Bookmark wert, wenn man mal wieder einen Exploit oder ähnliches braucht 8-)

Ivan

Parent Domain Traversal ist eine relativ alte Technik, die man im Web Umfeld bereits länger kennt. Dabei geht es grundsätzlich darum, dass ein JavaScript von www.csnc.ch auch auf Cookies von csnc.ch zugreifen kann, wenn beim Set-Cookie der csnc.ch Webseite das Domain Attribut auf "csnc.ch" gesetzt wurde.

Beispiel:
Der Webserver unter csnc.ch setzt ein Cookie
Set-Cookie: jsessionid=123; domain=csnc.ch


Wenn nun ein JavaScript von www.csnc.ch geladen wird, dann kann dieses Skript grundsätzlich auf das jsessionid zugreifen.

Diesen Umstand kann man nun für Drive-by Infection ausnützen. Ein Hacker betreibt einen eigenen DNS Server. Unter der "echten" IP läuft der Server www.hack.er. Der Angreifer konfiguriert jedoch typische ADSL IP Adressen, wie zum Beispiel 192.168.100.1 auf hack.er.

Das folgende PDF erläutert den Sachverhalt.

Grüsse
Ivan

Das Wargame in Furtwangen ist vorüber. Es war ein toller Event mit ca. 130 Teilnehmern. Am Fr/Sa haben wir in der Uni der FH Furtwangen ein zweitätiges Hacking Lab aufgestellt wo sich Studenten und IT Security Interessierte tummeln konnten. Die Leute haben teilweise die Aufgaben extrem schnell gelöst. Das Niveau war hoch. Unser Team hatte alle Hände voll zu tun mit Betreuung und Organisation. Am Abend wurde dann gefeiert. Wir haben auch einen Teilnehmer von Stuttgart wieder getroffen, der hoffentlich bald ein Compass Mitarbeiter sein wird. Wow - es war einfach toll. Zudem haben wir die neue Anwendung "Wall of Sheep" getestet, das analog zur DefCon die Plaintext Passworte snifft und an die Leinwand pinnt. Natürlich sind die Passworte etwas "verschleiert".



Mehr Info's und Bilder gibts auf www.hacking-lab.com

Danke allen Beteiligten!

Ivan

Morgen Donnerstag reisen wir von Rapperswil nach Furtwangen bei Freiburg (D), um an der Uni Furtwangen ein zweitätiges Wargame durchzuführen. Gemäss Uni Vertretern werden 150 bis 200 Studenten erwartet. Wir werden von Seite Compass mit 5 Personen anreisen, welche die Aufgaben für den Aufbau und Betreuung während den Wargames wahrnehmen.

Ich freue mich sehr. Wird sicher ein toller Event werden.

Bis bald

Ivan