Een beveiligingslek in een veel gebruikt Trojaans paard, zorgt ervoor dat slachtoffers hun aanvaller kunnen hacken. Poison Ivy is een Remote Access Trojan die bij verschillende aanvallen wordt gebruikt, waaronder bij de gerichte aanvallen van de GhostNet operatie.

Onderzoeker Andrzej Dereszowski onderzocht een gerichte aanval waarbij Poison Ivy werd toegepast. Het Trojaanse paard is gratis te downloaden, maar gebruikers die een versie willen die niet door virusscanners gedetecteerd wordt, moeten hiervoor betalen. Poison Ivy werkt in een client-server mode, waarbij de server een remote agent is die op de computer van het slachtoffer wordt geïnstalleerd. De 6KB grote server ontvangt aanvullende code op verzoek van de client.

Tegenaanval
Veel van de code van Poison Ivy is geobfusceerd, maar Dereszowski wist die te deobfusceren. Vervolgens gebruikte hij een programma om een deel van de code te reverse engineeren. Uiteindelijk ontdekte de onderzoeker een beveiligingslek waar hij een exploit voor schreef. Wegens beveiligingsredenen heeft Dereszowski die niet in zijn paper opgenomen.

De exploit veroorzaakt een buffer overflow die het slachtoffer willekeurige code op het systeem van de aanvaller uitvoeren. "Ironisch genoeg kan het shellcode van Poison Ivy zelf zijn, die op de client van de aanvaller wordt geïnstalleerd. Dat betekent het bespioneren van de spion met zijn eigen techniek", aldus Dereszowski. "Er is geen software zonder beveiligingslekken. En zoals dit paper bewijst, kunnen zelfs aanvallers het doelwit van een tegenaanval worden door een lek in de door hun gebruikte malware te misbruiken."