Phishing Trojan stuurt data naar huis over ICMP
De meeste trojaanse paarden die uw bankgegevens ontfutselen, versturen de gestolen data via een HTTP POST of GET. Dit is relatief eenvoudig te ontdekken door een gateway of proxy server. Websense ontdekte recentelijk een nieuwe trojan, die gestolen bank informatie naar huis stuurt over ICMP. Dit soort pakketten is lastiger te herkennen voor filters en gateways omdat de data legitiem zou kunnen zijn. De gestolen data wordt "encrypted" (via een simpel XOR mechanisme) verstuurd in de ICMP data sectie.
De workaround: sta geen ICMP toe vanaf het interne netwerk naar het internet. Inmiddels is ook een Snort signature beschikbaar.
Reacties (16)
Erg interessant moet ik zeggen, eindelijks eens wat
vernieuwingen op malware front :) Niet via ping wat iedereen
gelijk maar weer roept, maar gebruikt het "echo" type voor
ICMP verkeer?
vernieuwingen op malware front :) Niet via ping wat iedereen
gelijk maar weer roept, maar gebruikt het "echo" type voor
ICMP verkeer?
10-08-2006, 16:39 door
G-Force
Een protocol dat routers gebruiken om elementaire berichten
uit te wisselen is ICMP. Een ping-commando heeft als gevolg
dat er een ICMP bericht gestuurd wordt
En nu wordt gevraagd om ICMP te blokkeren? Ik wil nog wel
een logvermelding maken voor het geval dat, maar meer ook niet.
uit te wisselen is ICMP. Een ping-commando heeft als gevolg
dat er een ICMP bericht gestuurd wordt
En nu wordt gevraagd om ICMP te blokkeren? Ik wil nog wel
een logvermelding maken voor het geval dat, maar meer ook niet.
10-08-2006, 16:46 door
SirDice
Ping = ICMP type 8. Oftewel ICMP Echo Request.
Er zijn vrij veel ICMP types. Een aantal is zeker aan te
raden om te blokkeren bijv. ICMP Type 5; ICMP Redirect.
ICMP wordt al heel lang als covert channel gebruikt.
Simpelweg omdat veel mensen niet IN de ICMP echo packets
kijken..
Er zijn vrij veel ICMP types. Een aantal is zeker aan te
raden om te blokkeren bijv. ICMP Type 5; ICMP Redirect.
ICMP wordt al heel lang als covert channel gebruikt.
Simpelweg omdat veel mensen niet IN de ICMP echo packets
kijken..
Door Peter.V
Een protocol dat routers gebruiken om elementaire berichten uit te wisselen is ICMP.
Niet echt hoor.. Routers praten niet echt met elkaar. Behalve dan via protocollen als RIP, BGP, OSPF etc. maar dat heeft weer niets met ICMP te maken.Een protocol dat routers gebruiken om elementaire berichten uit te wisselen is ICMP.
10-08-2006, 17:00 door
G-Force
Uit het verhaal maakte ik op dat ze de gehele ICMP
bedoelden, maar nu je zegt dat het type 5 is, heb ik deze al
in de Firewall geblokkeerd (bedankt overigens SirDice).
Vreemd genoeg stond deze vooraf niet geconfigureerd, dus heb
ik maar een nieuwe rule gemaakt.
bedoelden, maar nu je zegt dat het type 5 is, heb ik deze al
in de Firewall geblokkeerd (bedankt overigens SirDice).
Vreemd genoeg stond deze vooraf niet geconfigureerd, dus heb
ik maar een nieuwe rule gemaakt.
10-08-2006, 17:07 door
SirDice
Peter: Je kunt eigenlijk alle ICMP berichten uitzetten. Er
zijn er een paar die misschien noodzakelijk zijn als je
bijv. een VPN verbinding maakt.
Ik zou weer even op moeten zoeken welke dat zijn..
Een paar die je bijv. wel door kan laten.. TTL Expired,
Fragmentation needed but DF set, Destination unreachable en
misschien Source Quench.
http://www.iana.org/assignments/icmp-parameters
zijn er een paar die misschien noodzakelijk zijn als je
bijv. een VPN verbinding maakt.
Ik zou weer even op moeten zoeken welke dat zijn..
Een paar die je bijv. wel door kan laten.. TTL Expired,
Fragmentation needed but DF set, Destination unreachable en
misschien Source Quench.
http://www.iana.org/assignments/icmp-parameters
10-08-2006, 17:38 door
G-Force
ICMP wordt al heel lang als covert channel gebruikt.
Simpelweg omdat veel mensen niet IN de ICMP echo packets
kijken..
Ja, dat wist ik al. Heb eerdere berichten over ICMP gelezen.Simpelweg omdat veel mensen niet IN de ICMP echo packets
kijken..
Ben er trouwens ook achter gekomen dat de betreffende Trojan een BHO installeert. Ik weet dat het anti-spywareprogramma CounterSpy (en waarschijnlijk ook Windows Defender) het installeren van BHO's kan tegengaan.
Voor zover ik kan lezen ja :
The Trojan BHO captured the information and sent a ping to a
malicious remote server. Below you can view the encoded
contents of the ICMP data section as well as the actual contents
after they were manually decoded.
Interesant, we krijgen dus een leuke wending. ICMP is namelijk iets
wat door de meste FW's niet wordt tegengehouden. Fijn om te
weten dat we dit soort zaken dus ook moeten gaan blokkeren.
The Trojan BHO captured the information and sent a ping to a
malicious remote server. Below you can view the encoded
contents of the ICMP data section as well as the actual contents
after they were manually decoded.
Interesant, we krijgen dus een leuke wending. ICMP is namelijk iets
wat door de meste FW's niet wordt tegengehouden. Fijn om te
weten dat we dit soort zaken dus ook moeten gaan blokkeren.
Met een beetje mazzel komen jullie er over een jaar ook
achter dat je hetzelfde VEEL makkelijker met multicast
pakketjes kunt doen... Sterker nog, je kunt het terugaande
pad, oftewel de backdoor AUTOMATISCH laten configureren via
UPNP...
ICMP is scriptkiddie turf tegenwoordig. Bovendien wordt ICMP
al gedectecteert door de meeste personal firewalls, en
multicast niet (tenminste, ik ken maar 2 personal firewalls
die het detecteren). Waarom niet? Simpel, Microsoft babbelt
ZELF al op die manier. Kun je je meteen afvragen WAAROM,
WAARVOOR enz... En het zal vast niet voor WGA zijn.
achter dat je hetzelfde VEEL makkelijker met multicast
pakketjes kunt doen... Sterker nog, je kunt het terugaande
pad, oftewel de backdoor AUTOMATISCH laten configureren via
UPNP...
ICMP is scriptkiddie turf tegenwoordig. Bovendien wordt ICMP
al gedectecteert door de meeste personal firewalls, en
multicast niet (tenminste, ik ken maar 2 personal firewalls
die het detecteren). Waarom niet? Simpel, Microsoft babbelt
ZELF al op die manier. Kun je je meteen afvragen WAAROM,
WAARVOOR enz... En het zal vast niet voor WGA zijn.
10-08-2006, 22:01 door
G-Force
Ik vrees dat er nog genoeg mogelijkheden over blijven om met pakketjes te
rommelen. Het geeft toch niet, uiteindelijk vallen ze toch door de mand
van het ISC. Zolang de Firewall maar goed te configureren is, is er verder
niets aan de hand.
rommelen. Het geeft toch niet, uiteindelijk vallen ze toch door de mand
van het ISC. Zolang de Firewall maar goed te configureren is, is er verder
niets aan de hand.
11-08-2006, 10:48 door
SirDice
Door Anoniem
ICMP is scriptkiddie turf tegenwoordig. Bovendien wordt ICMP
al gedectecteert door de meeste personal firewalls, en
multicast niet (tenminste, ik ken maar 2 personal firewalls
die het detecteren). Waarom niet? Simpel, Microsoft babbelt
ZELF al op die manier. Kun je je meteen afvragen WAAROM,
WAARVOOR enz... En het zal vast niet voor WGA zijn.
Ehhmm. Nu heb ik jarenlang Windows beheerd. Noem eens ietsICMP is scriptkiddie turf tegenwoordig. Bovendien wordt ICMP
al gedectecteert door de meeste personal firewalls, en
multicast niet (tenminste, ik ken maar 2 personal firewalls
die het detecteren). Waarom niet? Simpel, Microsoft babbelt
ZELF al op die manier. Kun je je meteen afvragen WAAROM,
WAARVOOR enz... En het zal vast niet voor WGA zijn.
wat MS babbelt over multicast?
Door Peter.V
Ben er trouwens ook achter gekomen dat de betreffende Trojan een BHO installeert. Ik weet dat het anti-spywareprogramma CounterSpy (en waarschijnlijk ook Windows Defender) het installeren van BHO's kan tegengaan.
Een "normaal" useraccount (dus zonder administrator rechten) kan ook geen BHO installeren.Ben er trouwens ook achter gekomen dat de betreffende Trojan een BHO installeert. Ik weet dat het anti-spywareprogramma CounterSpy (en waarschijnlijk ook Windows Defender) het installeren van BHO's kan tegengaan.
Door SirDice
Ehhmm. Nu heb ik jarenlang Windows beheerd. Noem eens iets
wat MS babbelt over multicast?
Ehhmm. Nu heb ik jarenlang Windows beheerd. Noem eens iets
wat MS babbelt over multicast?
Installeer maar eens een goede firewall, McAfee, Symantec, AVG, en al die
andere meuk ziet ze gewoon NIET... Maar wanneer je een echte
(zelfgeschreven) sniffer gebruikt, dan schrik je wat voor rommel zo'n 'off-the-
shelf' windhoos doos babbelt. Ik vraag me dan ook WAAROM detecteren
die producten van McAfee enzo dat niet... Of is dat AFGESPROKEN dat ze
niet gedetecteerd worden... De adressen waar naartoe gebabbeld wordt
zijn overigens Microsoft, Akamai en het ministerie van Defensie van de
USA.
Met een beetje mazzel komen jullie er over een jaar ook
achter dat je hetzelfde VEEL makkelijker met multicast
pakketjes kunt doen... Sterker nog, je kunt het terugaande
pad, oftewel de backdoor AUTOMATISCH laten configureren via
UPNP...
Met een beetje massel kom jij er binnen een jaar achter dat er nog niet 1 achter dat je hetzelfde VEEL makkelijker met multicast
pakketjes kunt doen... Sterker nog, je kunt het terugaande
pad, oftewel de backdoor AUTOMATISCH laten configureren via
UPNP...
provider in nederland is die multicast naar de eindgebruiker aanbied
(m.u.v. een deel van SURFNet, een testje bij xs4all en de IPTV 'wolk' van
3play aanbieders)
Thuis is dus nog geen multicast ondersteuning te krijgen en al zou je zo
een pakketje over jouw DSL lijn naar de DSLAM van je provider krijgen dan
beland ie daar in dev0/bittenbak omdat multicast routing default uit staat in
de routers.
Mocht iemand het tegendeel bewijzen (ISP met Multicast support op de
internet PVC) dan stap ik meteen over!
Marcel
12-08-2006, 03:04 door
G-Force
Een "normaal" useraccount (dus zonder administrator rechten) kan ook geen BHO installeren.
Leuk, maar zonder admin rechten kan ik al geen virusdefinities ophalen (heb ik administrator rechten voor nodig!) is zelfs het configureren van een Firewall en ook een Spamfilter niet toegestaan, kun je alleen nog maar navelstaren als iets niet gedownload kan worden (formulieren die je nodig hebt) alleen maar omdat de juiste "rechten"ontbreken....
Nee, dat werkt niet. Is wel goed voor een internetcafé (aanbevolen), maar meer ook niet...
12-08-2006, 03:34 door
G-Force
***UPDATE***
Bij het blokkeren van ICMP type 5 bleek dat ik geen traceroute meer kon
uitvoeren. Vervelend, want ik heb laatst een verbindingsprobleem gehad
dat juist via een traceroute gevonden kom worden. Ik heb daarom maar
ICMP weer toegelaten en opnieuw in de FW geconfigureerd.
Een week geleden bleek mijn internetvebinding opeens enorm vertraagd.
De helpdesk van de ISP vroeg om een traceroute uit te voeren via: uitvoeren....cmd. In de tabel stonden (tot mijn verbazing) IP-adressen en domeinnamen die er niet in thuishoorden. Door de zaak te flushen was ik weer direct verbonden met mijn ISP in 5 hops en niet meer via een rare omweg. Alles bij elkaar duurde de hele operatie 50 minuten om het probleem te vinden en op te lossen.
ICMP uitgaand verkeer wordt daarom maar weer toegelaten.
Bij het blokkeren van ICMP type 5 bleek dat ik geen traceroute meer kon
uitvoeren. Vervelend, want ik heb laatst een verbindingsprobleem gehad
dat juist via een traceroute gevonden kom worden. Ik heb daarom maar
ICMP weer toegelaten en opnieuw in de FW geconfigureerd.
Een week geleden bleek mijn internetvebinding opeens enorm vertraagd.
De helpdesk van de ISP vroeg om een traceroute uit te voeren via: uitvoeren....cmd. In de tabel stonden (tot mijn verbazing) IP-adressen en domeinnamen die er niet in thuishoorden. Door de zaak te flushen was ik weer direct verbonden met mijn ISP in 5 hops en niet meer via een rare omweg. Alles bij elkaar duurde de hele operatie 50 minuten om het probleem te vinden en op te lossen.
ICMP uitgaand verkeer wordt daarom maar weer toegelaten.
vroeger was het zo, dat wanneer je een firewall installeerde
op je @HOME en CHELLO aansluiting, dat na een poos je
netwerkverbinding verbroken werd en ook je modem over de wap
ging... Schijnbaar hebben die kabelboeren een lekke firewall
nodig om jou internet te kunnen bieden.
op je @HOME en CHELLO aansluiting, dat na een poos je
netwerkverbinding verbroken werd en ook je modem over de wap
ging... Schijnbaar hebben die kabelboeren een lekke firewall
nodig om jou internet te kunnen bieden.
13-08-2006, 17:27 door
G-Force
Schijnbaar hebben die kabelboeren een lekke firewall
nodig om jou internet te kunnen bieden.
Ja, daar lijkt het wel op.nodig om jou internet te kunnen bieden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
