Hardware Upgrade Forum - View Single Post

nV 25 · 17-04-2008, 18:38

Confesso che era già da un pò che sognavo l'idea di disporre di un qualcosa che consentisse di simulare tecniche usate da real malwares per "dipanare" [

] i Pc invece che costringermi a scaricare di volta in volta direttamente i vari virus da fonti poco raccomandabili...

Un qualcosa, insomma, che fosse specifico per hips/behaviour blocker puri e non fosse sempre il solito LeakTest...

Bè:
questo tool sembrerebbe avermelo fornito giusto ieri Comodo!

(in verità in rete sono reperibili tantissimi altri tool specificamente modellati per gli hips come ad es. l'ormai famoso APT della DiamondCS, spt, AKLT, [...], o il recentissimo bypass hips di un famoso (?) hacker cinese, un certo mj0011 [tool del quale peraltro mi piacerebbe scambiare 2 parole anche con voi]... )

La "bellezza" di questo strumento, allora, è il fatto di simulare sia tecniche di installazione driver abbondantemente impiegate nei rootkit di tipo kernel mode, sia tecniche di process attacks injection...

Il tool è questo:

Per fortuna, abbiamo un descrizione dell'obiettivo che si propone ogni singolo test:
Rootkit Installation 1 - Loads a driver in via ZwSetSystemInformation API. A very old, known and effective way to install a rootkit.

Rootkit Installation 2 - Loads driver by overwriting a standard driver (beep.sys) and starting it with service control manager (e.g. Trojan.Virantix.B).

DLL Injection 1 - Injects DLL into trusted process (svchost.exe) by injecting APC on LoadLibraryExA with "dll.dll" as a param. The string "dll.dll" is not written into process memory, it's from the ntdll.dll export table which has the same address in all processes. The APC is injected into second thread of the svchost.exe which is always in alertable state.

DLL Injection 2 - An old technique. The DLL is injected via remote thread creation in the trusted process, without using WriteProcessMemory.

BITS Hijack - Downloads a file from the internet using "Background Intelligent Transfer Service" which acts from the trusted process (svchost.exe)

LINK:
http://forums.comodo.com/leak_testin...2866#msg152866

ProSecurity:

17-04-2008, 18:38	#1
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	Nuovo set di test da Comodo Confesso che era già da un pò che sognavo l'idea di disporre di un qualcosa che consentisse di simulare tecniche usate da real malwares per "dipanare" [] i Pc invece che costringermi a scaricare di volta in volta direttamente i vari virus da fonti poco raccomandabili... Un qualcosa, insomma, che fosse specifico per hips/behaviour blocker puri e non fosse sempre il solito LeakTest... Bè: questo tool sembrerebbe avermelo fornito giusto ieri Comodo! (in verità in rete sono reperibili tantissimi altri tool specificamente modellati per gli hips come ad es. l'ormai famoso APT della DiamondCS, spt, AKLT, [...], o il recentissimo bypass hips di un famoso (?) hacker cinese, un certo mj0011 [tool del quale peraltro mi piacerebbe scambiare 2 parole anche con voi]... ) La "bellezza" di questo strumento, allora, è il fatto di simulare sia tecniche di installazione driver abbondantemente impiegate nei rootkit di tipo kernel mode, sia tecniche di process attacks injection... Il tool è questo: Per fortuna, abbiamo un descrizione dell'obiettivo che si propone ogni singolo test: Rootkit Installation 1 - Loads a driver in via ZwSetSystemInformation API. A very old, known and effective way to install a rootkit. Rootkit Installation 2 - Loads driver by overwriting a standard driver (beep.sys) and starting it with service control manager (e.g. Trojan.Virantix.B). DLL Injection 1 - Injects DLL into trusted process (svchost.exe) by injecting APC on LoadLibraryExA with "dll.dll" as a param. The string "dll.dll" is not written into process memory, it's from the ntdll.dll export table which has the same address in all processes. The APC is injected into second thread of the svchost.exe which is always in alertable state. DLL Injection 2 - An old technique. The DLL is injected via remote thread creation in the trusted process, without using WriteProcessMemory. BITS Hijack - Downloads a file from the internet using "Background Intelligent Transfer Service" which acts from the trusted process (svchost.exe) LINK: http://forums.comodo.com/leak_testin...2866#msg152866 ProSecurity: Ultima modifica di nV 25 : 19-04-2008 alle 13:15.