Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties
Bron: ZDNet

Op ZDNet is te lezen dat er een nieuwe techniek is die programma's die zijn bedoeld om bedrijfsnetwerken te kraken, kan camoufleren. Deze techniek werd door hacker 'K2' aan het publiek getoond. De techniek is erop gericht de patroonherkenning-intelligentie die veel Intrusion Detection Systems (IDS'en) normaal gesproken gebruiken in de war te brengen.

De reactie van beveiligingsexperts was verdeeld. Sommigen vatten het op als het zoveelste scenarion in de strijd tussen aanvallers en verdedigers. Andere beveiligingsexperts maken zich daarentegen wel zorgen. Gedurende de tijd die ze nodig hebben om de IDS'en aan te passen kunnen online vandalen hun gang gaan. Hieronder een gedeelte uit het artikel van ZDNet:

Als een er een gat in de beveiliging van een bedrijfsnetwerk is gevonden, vinden hackers meestal verschillende manieren om dat uit te buiten. Om de aanvallen te beheersen passen de makers van de IDS'en voortdurend hun software aan om nieuwe varianten op een bekend thema bij te houden. Volgens K2 is de balans nu verstoord. Met de nieuwe techniek kunnen hackers de structuur van hun code op zo'n manier wijzigen, dat ze de IDS'en voor de gek kunnen houden.
Moderatie-faq Wijzig weergave

Reacties (18)

Ik denk eerder dat dit een manier is om bestaande aanvallen, of varianten daarvan, op zo'n manier te versturen zodat ze veel en veel meer lijken op "normaal" netwerk verkeer, op die manier moet men de IDS systemen zeer scherp afstellen waardoor bij ieder http 404 bij wijze van spreke ene allert gegenereerd wordt. Op die manier zie je door de tientallen (honderden,duizenden?) "gewone" errors de attacks niet meer.. DIt kan dus zeker wel een gevaar opleveren!
dit is niets nieuws.

er was al z'n tool uit onder de naam stick.
http://www.eurocompton.net/stick/

waar het op neer komt is dat je een IDS 'flood' met signatures waardoor ie over de zeik gaat.

door de overvloed aan signatures (die gematched worden door de IDS) kan een attacker zijn echte aanval maskeren. that's all. princiepe was allang bekend.
Het verschil is dat dit geen virus is maar een methode van hacken. Het verschil tussen een virus en een hack-poging is dat een hack-poging op afstand gedaan wordt en een virus locaal draait.

Een virus zou bv dmv van E-Mail binnen moeten komen en vervolgens via een bug in OE zichzelf kunnen starten. Vervolgens kan het virus zijn pay-load uitvoeren.

Een hack-poging is het dmv van een bug/fout in de beveiliging binnendringen in een systeem en dan kan een hacker doen wat ie wil (meestal met een paar beperkingen maar niet altijd). Dus de payload is niet van tevoren bepaald.

Dit bericht betreft een nieuwe methode om een hack-poging te doen.
ik vind dit nu niet echt supergevaarlijk klinken. een hacker vind altijd een gaatje en maakt er gebruik van, nu gaat hij gewoon iets anders te werk.
de experts ontwikkelen weer iets dat dit moet voorkomen en zo gaan we nog wel ff door.

* 786562 sharkyOnline

ik behoor overigens ook niet echt tot de doelgroep van hackers.
Dat jij het niet gevaarlijk vind klinken is omdat het (zoals je het zelf al aangeeft) niet meteen tegen jou gericht zal zijn. Maar zodra er een script van te krijgen is zullen de scriptkiddies dat ook te pakken vinden, en of jouw beveiliging dan nog blijft staan moet je nog maar afwachten.
Het is toch een kat en muis spelletje, er is nu weer een nieuwe techniek bedacht die ervoor zorgt dat de software makers weer even goed moeten nadenken.

* 786562 TheGhostInc
Met het noemen van het woord "scriptkiddies" sla je de plank i.m.h.o. helaas mis. We hebben het hier over technieken om IDS-en, Intrusion Detection Systems, te omzeilen. Dingen zoals firewalls en packet filters worden dus door het slim in elkaar zetten van TCP-ip pakketjes voor de gek gehouden.

Een van de gesiteerde personen in het artikel, Martin Roesch, is de maker van Snort, een pakketje waarmee je kan kijken wat voor een verdacht verkeer je netwerk binnenkomt op tcp-ip pakket niveau. Is beschikbaar in zowel *nix als windows smaken, en zeker de moeite van het bekijken waard. En is GNU-opensource ;)
Als ik me niet vergis gaat het bij dit virus om de camouflage wat inhoud dat het moeilijk buiten te houden is omdat het gewoonweg niet gevonden wordt.

Het polymorph echter heeft de leuke eigenschap te veranderen in iets wat op zijn beurt wel weer makkelijk gevonden wordt.
(zwaar iritant als dit vaak gebeurt is want de naam moet natuurlijk wel bij de verdediging bekend zijn)

// IMPORTANT //
mijn excuses voor het foutief plaatsen van dit bericht dit bericht is een reactie op de gebruiker Aaargh!
// IMPORTANT //
er bestaan toch ook al stealth virussen? Dit is gewoon eenzelfde idee alleen dan is het ontwerp 1 niveau hoger uitgewerkt. Lijkt me...?
Dit is gewoon eenzelfde idee alleen dan is het ontwerp 1 niveau hoger uitgewerkt
Of juist een niveau lager. Een IDS is meestal een soort aangeklede packetsniffer die het netwerkverkeer analyseert en bij een 'verdacht' patroon alarm slaat. Je let dus niet op de vorm van het programma, maar op de vorm van het dataverkeer.

Als dit verzinsel in staat is om een aanval te laten lijken op 'gewoon' dataverkeer dan kun je een behoorlijk probleem hebben.

Kijk eens op http://www.snort.org voor wat meer informatie over een implementatie van een IDS.
Dit is niet een hack-programma/script of een virus. Dit is hooguit een methode om een hack-prog/script te verbergen voor het slachtoffer.

Gevaarlijk? Voor een gebruiker die geen services draait imo sowieso niet, die kan z'n firewall domweg zo instellen dat je alleen verkeer krijgt waar je om gevraagt hebt (heb je wel een statefull firewall nodig).

Voor iemand die wel services draait.. tsja.. 't is geen hack op zich, maar geeft de hacker wel veel tijd om ongestoord je systeem proberen te hacken..
Gevaarlijk? Voor een gebruiker die geen services draait imo sowieso niet, die kan z'n firewall domweg zo instellen dat je alleen verkeer krijgt waar je om gevraagt hebt (heb je wel een statefull firewall nodig).


wat heeft statefull zijn van een firewall ermee temaken dat een gebruiker alleen verkeer wilt waar hij om vraagt...

statefull inspection is niets anders dan rekening houden met al bestaande sessies (dus je rules worden toegepast op het initieele pakket, waarna je de rest van de pakketjes (in de betreffende sessie) niet nog eens hoeft te controleren), zodat er bij het processen minder overhead is waardoor een statefull inspection meestal sneller is dan een normale packet filter.
Dat werkt net als bepaalde visrusscanners die ook naar een patroon zoeken die vinden ook weleens virussen die er niet zijn.
Leuk is natuurlijk dat de nieuwe updates voor de IDS-en dit wel weer zullen detecteren. Net als virusscanners dus.
Dus als je als sysadmin netjes bijblijft met je updates...... :)
Dit riekt naar abuse door scriptkiddies..
Dat is natuurlijk wel erg gevaarlijk. Denk je dat je je hebt beschermd tegen een gevaarlijk hacker programma komt hetzelfde programma je gewoon weer om je oren slaan! Incognito!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True