image

Lek Trojaans paard laat slachtoffer aanvaller hacken

woensdag 21 april 2010, 14:47 door Redactie, 2 reacties

Een beveiligingslek in een veel gebruikt Trojaans paard, zorgt ervoor dat slachtoffers hun aanvaller kunnen hacken. Poison Ivy is een Remote Access Trojan die bij verschillende aanvallen wordt gebruikt, waaronder bij de gerichte aanvallen van de GhostNet operatie.

Onderzoeker Andrzej Dereszowski onderzocht een gerichte aanval waarbij Poison Ivy werd toegepast. Het Trojaanse paard is gratis te downloaden, maar gebruikers die een versie willen die niet door virusscanners gedetecteerd wordt, moeten hiervoor betalen. Poison Ivy werkt in een client-server mode, waarbij de server een remote agent is die op de computer van het slachtoffer wordt geïnstalleerd. De 6KB grote server ontvangt aanvullende code op verzoek van de client.

Tegenaanval
Veel van de code van Poison Ivy is geobfusceerd, maar Dereszowski wist die te deobfusceren. Vervolgens gebruikte hij een programma om een deel van de code te reverse engineeren. Uiteindelijk ontdekte de onderzoeker een beveiligingslek waar hij een exploit voor schreef. Wegens beveiligingsredenen heeft Dereszowski die niet in zijn paper opgenomen.

De exploit veroorzaakt een buffer overflow die het slachtoffer willekeurige code op het systeem van de aanvaller uitvoeren. "Ironisch genoeg kan het shellcode van Poison Ivy zelf zijn, die op de client van de aanvaller wordt geïnstalleerd. Dat betekent het bespioneren van de spion met zijn eigen techniek", aldus Dereszowski. "Er is geen software zonder beveiligingslekken. En zoals dit paper bewijst, kunnen zelfs aanvallers het doelwit van een tegenaanval worden door een lek in de door hun gebruikte malware te misbruiken."

Reacties (2)
21-04-2010, 15:32 door Anoniem
Leuk zo krijgt de aanvaller een koekje van eigen deeg.
Wie een kuil graaft voor een ander valt er zelf in,dus zo ook bij dit trojaans paard.
21-04-2010, 15:47 door Anoniem
Alleen de meeste mensen die een trojan op hun pc hebben staan hebben geen verstand van deze zaken . de mensen die de exploit kunnen gebruiken zullen er veel plezier aan hebben
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.