Look 'n' Stop, Thermite et AWFT.

[Frederic]

Bonjour à tous,

Un nouveau leaktest appelé Thermite est sorti récemment démontrant les faiblesses de certains firewalls si un troyan utilise des techniques à base de la fonction Windows CreateRemoteThread.

Quelques informations sur Thermite (en Anglais) se trouvent ici:
http://www.securityfocus.com/archive/1/312783/2003-02-20/2003-02-26/1

Il y a une discussion ici (toujours en Anglais):
http://www.dslreports.com/forum/rema...ty,1~mode=flat

Enfin ce Leaktest Thermite peut être téléchargé ici:
http://www3.sympatico.ca/oliver.lavery/za-hole.zip

Ceci n'affecte que les configurations à base de Win2000/XP.

Un nouveau driver lnsfw1 a donc été créé pour parer à ce genre de fuite.

Vous pouvez le récéupérer ici:
http://looknstop.soft4ever.com/Beta/Thermite/LNSFW1.SYS

Ce driver est expérimental donc quelques précautions doivent être prises pour l'installer:
- renommer c:\windows\system32\drivers\lnsfw1.sys en lnsfw1.old
- copier le nouveau driver dans c:\windows\system32\drivers
- rebooter

En cas d'écran bleu, vous aurez à revenir sur l'ancien driver en recopiant lnsfw1.old sur lnsfw1.sys. Et dans ce cas merci de m'envoyer le fichier minidump qui se sera créé dans c:\windows\minidump.
Dans le cas où le nouveau driver est inopérant face à Thermite, merci de m'envoyer les logs du driver de la fenêtre console (case à cocher dans les options et appuyer sur le bouton "driver logs").

De plus il semble que ce nouveau driver contrecarre également AWFT (http://www.atelierweb.com/awft/index.htm) qui est un testeur de firewalls.

N'hésitez pas à poster vos commentaires/remarques/problèmes à propos de ce nouveau driver ici.

Merci,

Frédéric.

[Limerick]

Rebonjour Frédéric,

Pas top le patch

Alors j'ai remplacé le *.sys et ci joint la première fenêtre que j'ai obtenu

...à suivre les autres captures

[Limerick]

ensuite, j'ai eu ça dans le log :

[Limerick]

Après, impossibilité de me connecter au réseau (et à Internet), même en remettant l'ancien *.sys.

Alors, j'ai fait une restauration XP, et si j'arrive de nouveau à me connecter à mon LAN, je n'ai toujours pas l'appli LnS.

Je poursuis les essais.

[Limerick]

Quote:

quoting: Limerick link=board=37;threadid=7680;start=0#50481 date=1046616110]
je n'ai toujours pas l'appli LnS.

Plus exactement, je n'ai pas le filtrage des applis

[Limerick]

Ca y est ça remarche

Mais le seul moyen de retrouver LnS fonctionnel a été de le réinstallé sur lui-même.

[Limerick]

Bon je poursuis mes analyses

Alors sans le nouveau driver, za-hole ne passe pas avec IE.
En plus, comme j'utilise CrazyBrowser, il me dit que IE n'est pas lançé et qu'il ne peut faire le test.

Donc a priori, pas besoin d'update pour ce leaktest.

En revanche, pour celui de l'Atelier Web, avec ou sans l'update du driver, je me suis pris un 8-2 dans la tête (y doit y avoir des coeffs )

En effet, seuls les tests 1 et 3 sont bloqués, pour les autres LnS ne voit que du feu.

Ceci dit, j'ai fait ces tests après avoir changer de *.sys, mais avant d'avoir rebooté. C'est pour cela que je n'avais pas encore eu les erreurs mentionnées plus haut.
Et après avoir réussi à rcupérer l'accès internet (après la restauration), le résultat était identique.

Bon courage,

[Frederic]

Quote:

quoting: Limerick link=board=37;threadid=7680;start=0#50479 date=1046615937]
Pas top le patch

C'est expérimental donc on est là pour voir les problèmes

J'ai l'impression que lors du tout premier test, le fichier lnsfw1.sys n'était carrément plus présent.
Les copies d'écran correspondent exactement au cas où lnsfw1.sys est absent.

Frédéric.

[Frederic]

Quote:

quoting: Limerick link=board=37;threadid=7680;start=0#50488 date=1046617689]
Alors sans le nouveau driver, za-hole ne passe pas avec IE.

As-tu fait vraiment le test avec IE lancé ?

Quote:

En plus, comme j'utilise CrazyBrowser, il me dit que IE n'est pas lançé et qu'il ne peut faire le test.
Donc a priori, pas besoin d'update pour ce leaktest.

Oui, mais ce qui est fait avec IE peut aussi être fait avec CrazyBrowser.
L'application Thermite démontre juste les possibilités. Des vrais troyans peuvent essayer de se mettre dans n'importe quelle application qui se connecte.

Quote:

En revanche, pour celui de l'Atelier Web, avec ou sans l'update du driver, je me suis pris un 8-2 dans la tête (y doit y avoir des coeffs )
Ceci dit, j'ai fait ces tests après avoir changer de *.sys, mais avant d'avoir rebooté. C'est pour cela que je n'avais pas encore eu les erreurs mentionnées plus haut.
Et après avoir réussi à rcupérer l'accès internet (après la restauration), le résultat était identique.

Finalement as-tu réussi à faire tourner Look 'n' Stop en ayant changé le driver lnsfw1.sys ?
Si oui, quel était le résultat des logs du driver ?

Merci,

Frédéric.

[Limerick]

Oui pas de problème pour le patch, j'ai bien saisi tout l'intérêt des tests

Pour ce qui est de la présence du *.sys, c'est bien ce que j'ai pensé également et j'ai tout de suite vérifié sa présence.

Et je l'ai même réinstallé par dessus pour être sûr (45,8 Ko au lieu de 42 environ), mais le résultat était identique.

Ce qui ma surpris, c'est qu'après la restauration, j'ai retrouvé une partie des fonctionnalités 5filtrage internet), mais pas le filtrage des applis. Toujours avec la fen^tre disant que le driver était introuvable.

Et que penser des leaktests en eux-mêmes ?

[Limerick]

oops, on s'est croisé.

Oui bien sûr avec IE lancé.

Pour CrazyBrowser, effectivement je suis surpris puisque c'est le même noyau.

Non je n'ai pas réussi à faire tourner LnS avec lnsfw1.sys (cf mon post précédent).

[MickeyTheMan]

Quote:

quoting: Frederic link=board=37;threadid=7680;start=0#50469 date=1046600689]
De plus il semble que ce nouveau driver contrecarre également AWFT (http://www.atelierweb.com/awft/index.htm) qui est un testeur de firewalls.

N'hésitez pas à poster vos commentaires/remarques/problèmes à propos de ce nouveau driver ici.

Merci,

Frédéric.

Salut Frederic, effectivement le nouveau driver contrecarre ce nouveu test ainsi que celui d'Atelier du moins pour mon sys.

[Limerick]

Ah ben c'est que ça marche alors.

Je m'en vais réessayer derechef

[MickeyTheMan]

http://pages.infinit.net/carbo1/files/awfttest.gif

[Limerick]

Ah ben mince alors !

Moi je me prends 8-2.

C'est pas le gardien qui est en cause ( ) mais l'attaque qui est pas au point

Je vais reprendre l'entraînement

[Limerick]

Ca y'est moi aussi je lui mets la pâtée au portugaiheeeuu

Vive la France, Vive le Quebec libre et Vive LnS !!!!

Petit moment de délire passager, veuillez ne pas m'en tenir rigueur

[Frederic]

Il y avait un bug dans mon post, il manquait le répertoire "Drivers" pour le swap des fichiers.
Le post a été mis à jour.

Merci à Limerick.

Frédéric.

[Dave.RaceR]

Salut à tous...!!!

J'ai effectue le test après avoir installé le patch....
Look'n stop passe le test avec succès: tentative de connection détectée (Themite.exe)

Apres avoir refusé l'acces, j'ai eu le message suivant: SOCKET ERROR "can't connect to security focus"

OBservation: test non effectué avec l'ancien driver....!!!!

[tontonfrancky]

De mon côté il marche nickel !

Non seuleument pas de pb d'installation, mais il arrête bien ces deux tests!

Bravo!

[Frederic]

Quote:

quoting: Dave.RaceR link=board=37;threadid=7680;start=15#59375 date=1052484956]
Apres avoir refusé l'acces, j'ai eu le message suivant: SOCKET ERROR "can't connect to security focus"

OBservation: test non effectué avec l'ancien driver....!!!!

C'est bien le résultat normal et attendu.

Le problème d'erreur de socket anormal était mis en évidence avec MailWasher et avec la première version du patch du driver, mais la différence est que MailWasher faisait partie des applications autorisées.
Quand une application est interdite, on peut s'attendre, selon les cas, à des messages d'erreur divers et variés, selon ce que décide l'application sur une erreur lors de l'ouverture d'une Socket.

Frédéric

Avant le nouveau drivers : 3/10 a AWFT et Thermite passe.
Apres le nveau drivers : 10/10 et Thermite ne passe plus.

Rq : Aucun message du firewall dans le cas de Thermite. Il ne passe pas mais le firewall ne m informe pas de la tentative de sortie (ni de son action de blocage).

Rq2 : Avant update, aucun message du firewall pour AWFT. Apres update, un message pour bloquer ou non AWFT (que je bloque evidemment).

Felicitation, ca marche tres bien !

Hi all,
je suis en cours de test de thermite...
MAis ma question porte su la capture d'ecran de la console
Comment faire pour y avoir acces?
merci d'avance

[Frederic]

Bonjour,

C'est dans la page des options, il y a une case à cocher qui ouvre cette fenêtre

Frédéric.