Phishing Trojan stuurt data naar huis over ICMP
De meeste trojaanse paarden die uw bankgegevens ontfutselen, versturen de gestolen data via een HTTP POST of GET. Dit is relatief eenvoudig te ontdekken door een gateway of proxy server. Websense ontdekte recentelijk een nieuwe trojan, die gestolen bank informatie naar huis stuurt over ICMP. Dit soort pakketten is lastiger te herkennen voor filters en gateways omdat de data legitiem zou kunnen zijn. De gestolen data wordt "encrypted" (via een simpel XOR mechanisme) verstuurd in de ICMP data sectie.
De workaround: sta geen ICMP toe vanaf het interne netwerk naar het internet. Inmiddels is ook een Snort signature beschikbaar.
vernieuwingen op malware front :) Niet via ping wat iedereen
gelijk maar weer roept, maar gebruikt het "echo" type voor
ICMP verkeer?
uit te wisselen is ICMP. Een ping-commando heeft als gevolg
dat er een ICMP bericht gestuurd wordt
En nu wordt gevraagd om ICMP te blokkeren? Ik wil nog wel
een logvermelding maken voor het geval dat, maar meer ook niet.
Er zijn vrij veel ICMP types. Een aantal is zeker aan te
raden om te blokkeren bijv. ICMP Type 5; ICMP Redirect.
ICMP wordt al heel lang als covert channel gebruikt.
Simpelweg omdat veel mensen niet IN de ICMP echo packets
kijken..
Een protocol dat routers gebruiken om elementaire berichten uit te wisselen is ICMP.
bedoelden, maar nu je zegt dat het type 5 is, heb ik deze al
in de Firewall geblokkeerd (bedankt overigens SirDice).
Vreemd genoeg stond deze vooraf niet geconfigureerd, dus heb
ik maar een nieuwe rule gemaakt.
zijn er een paar die misschien noodzakelijk zijn als je
bijv. een VPN verbinding maakt.
Ik zou weer even op moeten zoeken welke dat zijn..
Een paar die je bijv. wel door kan laten.. TTL Expired,
Fragmentation needed but DF set, Destination unreachable en
misschien Source Quench.
http://www.iana.org/assignments/icmp-parameters
Simpelweg omdat veel mensen niet IN de ICMP echo packets
kijken..
Ben er trouwens ook achter gekomen dat de betreffende Trojan een BHO installeert. Ik weet dat het anti-spywareprogramma CounterSpy (en waarschijnlijk ook Windows Defender) het installeren van BHO's kan tegengaan.
The Trojan BHO captured the information and sent a ping to a
malicious remote server. Below you can view the encoded
contents of the ICMP data section as well as the actual contents
after they were manually decoded.
Interesant, we krijgen dus een leuke wending. ICMP is namelijk iets
wat door de meste FW's niet wordt tegengehouden. Fijn om te
weten dat we dit soort zaken dus ook moeten gaan blokkeren.
achter dat je hetzelfde VEEL makkelijker met multicast
pakketjes kunt doen... Sterker nog, je kunt het terugaande
pad, oftewel de backdoor AUTOMATISCH laten configureren via
UPNP...
ICMP is scriptkiddie turf tegenwoordig. Bovendien wordt ICMP
al gedectecteert door de meeste personal firewalls, en
multicast niet (tenminste, ik ken maar 2 personal firewalls
die het detecteren). Waarom niet? Simpel, Microsoft babbelt
ZELF al op die manier. Kun je je meteen afvragen WAAROM,
WAARVOOR enz... En het zal vast niet voor WGA zijn.
rommelen. Het geeft toch niet, uiteindelijk vallen ze toch door de mand
van het ISC. Zolang de Firewall maar goed te configureren is, is er verder
niets aan de hand.
ICMP is scriptkiddie turf tegenwoordig. Bovendien wordt ICMP
al gedectecteert door de meeste personal firewalls, en
multicast niet (tenminste, ik ken maar 2 personal firewalls
die het detecteren). Waarom niet? Simpel, Microsoft babbelt
ZELF al op die manier. Kun je je meteen afvragen WAAROM,
WAARVOOR enz... En het zal vast niet voor WGA zijn.
wat MS babbelt over multicast?
Ben er trouwens ook achter gekomen dat de betreffende Trojan een BHO installeert. Ik weet dat het anti-spywareprogramma CounterSpy (en waarschijnlijk ook Windows Defender) het installeren van BHO's kan tegengaan.
Ehhmm. Nu heb ik jarenlang Windows beheerd. Noem eens iets
wat MS babbelt over multicast?
Installeer maar eens een goede firewall, McAfee, Symantec, AVG, en al die
andere meuk ziet ze gewoon NIET... Maar wanneer je een echte
(zelfgeschreven) sniffer gebruikt, dan schrik je wat voor rommel zo'n 'off-the-
shelf' windhoos doos babbelt. Ik vraag me dan ook WAAROM detecteren
die producten van McAfee enzo dat niet... Of is dat AFGESPROKEN dat ze
niet gedetecteerd worden... De adressen waar naartoe gebabbeld wordt
zijn overigens Microsoft, Akamai en het ministerie van Defensie van de
USA.
achter dat je hetzelfde VEEL makkelijker met multicast
pakketjes kunt doen... Sterker nog, je kunt het terugaande
pad, oftewel de backdoor AUTOMATISCH laten configureren via
UPNP...
provider in nederland is die multicast naar de eindgebruiker aanbied
(m.u.v. een deel van SURFNet, een testje bij xs4all en de IPTV 'wolk' van
3play aanbieders)
Thuis is dus nog geen multicast ondersteuning te krijgen en al zou je zo
een pakketje over jouw DSL lijn naar de DSLAM van je provider krijgen dan
beland ie daar in dev0/bittenbak omdat multicast routing default uit staat in
de routers.
Mocht iemand het tegendeel bewijzen (ISP met Multicast support op de
internet PVC) dan stap ik meteen over!
Marcel
Leuk, maar zonder admin rechten kan ik al geen virusdefinities ophalen (heb ik administrator rechten voor nodig!) is zelfs het configureren van een Firewall en ook een Spamfilter niet toegestaan, kun je alleen nog maar navelstaren als iets niet gedownload kan worden (formulieren die je nodig hebt) alleen maar omdat de juiste "rechten"ontbreken....
Nee, dat werkt niet. Is wel goed voor een internetcafé (aanbevolen), maar meer ook niet...
Bij het blokkeren van ICMP type 5 bleek dat ik geen traceroute meer kon
uitvoeren. Vervelend, want ik heb laatst een verbindingsprobleem gehad
dat juist via een traceroute gevonden kom worden. Ik heb daarom maar
ICMP weer toegelaten en opnieuw in de FW geconfigureerd.
Een week geleden bleek mijn internetvebinding opeens enorm vertraagd.
De helpdesk van de ISP vroeg om een traceroute uit te voeren via: uitvoeren....cmd. In de tabel stonden (tot mijn verbazing) IP-adressen en domeinnamen die er niet in thuishoorden. Door de zaak te flushen was ik weer direct verbonden met mijn ISP in 5 hops en niet meer via een rare omweg. Alles bij elkaar duurde de hele operatie 50 minuten om het probleem te vinden en op te lossen.
ICMP uitgaand verkeer wordt daarom maar weer toegelaten.
op je @HOME en CHELLO aansluiting, dat na een poos je
netwerkverbinding verbroken werd en ook je modem over de wap
ging... Schijnbaar hebben die kabelboeren een lekke firewall
nodig om jou internet te kunnen bieden.
nodig om jou internet te kunnen bieden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.