Look 'n' Stop, Thermite et AWFT.

Discussion in 'LnS French Forum' started by Frederic, Mar 2, 2003.

Thread Status:
Not open for further replies.
  1. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour à tous,

    Un nouveau leaktest appelé Thermite est sorti récemment démontrant les faiblesses de certains firewalls si un troyan utilise des techniques à base de la fonction Windows CreateRemoteThread.

    Quelques informations sur Thermite (en Anglais) se trouvent ici:
    http://www.securityfocus.com/archive/1/312783/2003-02-20/2003-02-26/1

    Il y a une discussion ici (toujours en Anglais):
    http://www.dslreports.com/forum/remark,6071614~root=security,1~mode=flat

    Enfin ce Leaktest Thermite peut être téléchargé ici:
    http://www3.sympatico.ca/oliver.lavery/za-hole.zip

    Ceci n'affecte que les configurations à base de Win2000/XP.

    Un nouveau driver lnsfw1 a donc été créé pour parer à ce genre de fuite.

    Vous pouvez le récéupérer ici:
    http://looknstop.soft4ever.com/Beta/Thermite/LNSFW1.SYS

    Ce driver est expérimental donc quelques précautions doivent être prises pour l'installer:
    - renommer c:\windows\system32\drivers\lnsfw1.sys en lnsfw1.old
    - copier le nouveau driver dans c:\windows\system32\drivers
    - rebooter

    En cas d'écran bleu, vous aurez à revenir sur l'ancien driver en recopiant lnsfw1.old sur lnsfw1.sys. Et dans ce cas merci de m'envoyer le fichier minidump qui se sera créé dans c:\windows\minidump.
    Dans le cas où le nouveau driver est inopérant face à Thermite, merci de m'envoyer les logs du driver de la fenêtre console (case à cocher dans les options et appuyer sur le bouton "driver logs").

    De plus il semble que ce nouveau driver contrecarre également AWFT (http://www.atelierweb.com/awft/index.htm) qui est un testeur de firewalls.

    N'hésitez pas à poster vos commentaires/remarques/problèmes à propos de ce nouveau driver ici.

    Merci,

    Frédéric.
     
  2. Limerick

    Limerick Registered Member

    Joined:
    Feb 23, 2003
    Posts:
    92
    Rebonjour Frédéric,

    Pas top le patch :(

    Alors j'ai remplacé le *.sys et ci joint la première fenêtre que j'ai obtenu

    ...à suivre les autres captures
     

    Attached Files:

  3. Limerick

    Limerick Registered Member

    Joined:
    Feb 23, 2003
    Posts:
    92
    ensuite, j'ai eu ça dans le log :
     

    Attached Files:

  4. Limerick

    Limerick Registered Member

    Joined:
    Feb 23, 2003
    Posts:
    92
    Après, impossibilité de me connecter au réseau (et à Internet), même en remettant l'ancien *.sys.

    Alors, j'ai fait une restauration XP, et si j'arrive de nouveau à me connecter à mon LAN, je n'ai toujours pas l'appli LnS.

    Je poursuis les essais.
     
  5. Limerick

    Limerick Registered Member

    Joined:
    Feb 23, 2003
    Posts:
    92
    Plus exactement, je n'ai pas le filtrage des applis ;)
     
  6. Limerick

    Limerick Registered Member

    Joined:
    Feb 23, 2003
    Posts:
    92
    Ca y est ça remarche

    Mais le seul moyen de retrouver LnS fonctionnel a été de le réinstallé sur lui-même. :)
     
  7. Limerick

    Limerick Registered Member

    Joined:
    Feb 23, 2003
    Posts:
    92
    Bon je poursuis mes analyses :D

    Alors sans le nouveau driver, za-hole ne passe pas avec IE.
    En plus, comme j'utilise CrazyBrowser, il me dit que IE n'est pas lançé et qu'il ne peut faire le test.

    Donc a priori, pas besoin d'update pour ce leaktest.

    En revanche, pour celui de l'Atelier Web, avec ou sans l'update du driver, je me suis pris un 8-2 dans la tête :eek: (y doit y avoir des coeffs :D)

    En effet, seuls les tests 1 et 3 sont bloqués, pour les autres LnS ne voit que du feu.

    Ceci dit, j'ai fait ces tests après avoir changer de *.sys, mais avant d'avoir rebooté. C'est pour cela que je n'avais pas encore eu les erreurs mentionnées plus haut.
    Et après avoir réussi à rcupérer l'accès internet (après la restauration), le résultat était identique.

    Bon courage,
     
  8. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    C'est expérimental donc on est là pour voir les problèmes :)

    J'ai l'impression que lors du tout premier test, le fichier lnsfw1.sys n'était carrément plus présent.
    Les copies d'écran correspondent exactement au cas où lnsfw1.sys est absent.

    Frédéric.
     
  9. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    As-tu fait vraiment le test avec IE lancé ?
    Oui, mais ce qui est fait avec IE peut aussi être fait avec CrazyBrowser.
    L'application Thermite démontre juste les possibilités. Des vrais troyans peuvent essayer de se mettre dans n'importe quelle application qui se connecte.

    Finalement as-tu réussi à faire tourner Look 'n' Stop en ayant changé le driver lnsfw1.sys ?
    Si oui, quel était le résultat des logs du driver ?

    Merci,

    Frédéric.
     
  10. Limerick

    Limerick Registered Member

    Joined:
    Feb 23, 2003
    Posts:
    92
    Oui pas de problème pour le patch, j'ai bien saisi tout l'intérêt des tests :)

    Pour ce qui est de la présence du *.sys, c'est bien ce que j'ai pensé également et j'ai tout de suite vérifié sa présence.

    Et je l'ai même réinstallé par dessus pour être sûr (45,8 Ko au lieu de 42 environ), mais le résultat était identique.

    Ce qui ma surpris, c'est qu'après la restauration, j'ai retrouvé une partie des fonctionnalités 5filtrage internet), mais pas le filtrage des applis. Toujours avec la fen^tre disant que le driver était introuvable.

    Et que penser des leaktests en eux-mêmes ?
     
  11. Limerick

    Limerick Registered Member

    Joined:
    Feb 23, 2003
    Posts:
    92
    oops, on s'est croisé.

    Oui bien sûr avec IE lancé.

    Pour CrazyBrowser, effectivement je suis surpris puisque c'est le même noyau.

    Non je n'ai pas réussi à faire tourner LnS avec lnsfw1.sys (cf mon post précédent).
     
  12. MickeyTheMan

    MickeyTheMan Security Expert

    Joined:
    Feb 9, 2002
    Posts:
    1,016
    Salut Frederic, effectivement le nouveau driver contrecarre ce nouveu test ainsi que celui d'Atelier du moins pour mon sys.
     
  13. Limerick

    Limerick Registered Member

    Joined:
    Feb 23, 2003
    Posts:
    92
    Ah ben c'est que ça marche alors.

    Je m'en vais réessayer derechef :D
     
  14. MickeyTheMan

    MickeyTheMan Security Expert

    Joined:
    Feb 9, 2002
    Posts:
    1,016
  15. Limerick

    Limerick Registered Member

    Joined:
    Feb 23, 2003
    Posts:
    92
    Ah ben mince alors ! :( :eek:

    Moi je me prends 8-2.

    C'est pas le gardien qui est en cause ( ;) :D) mais l'attaque qui est pas au point :D

    Je vais reprendre l'entraînement ;)
     
  16. Limerick

    Limerick Registered Member

    Joined:
    Feb 23, 2003
    Posts:
    92
    Ca y'est moi aussi je lui mets la pâtée au portugaiheeeuu :D :D :p :cool:

    Vive la France, Vive le Quebec libre et Vive LnS !!!! :D

    Petit moment de délire passager, veuillez ne pas m'en tenir rigueur :rolleyes:
     

    Attached Files:

  17. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Il y avait un bug dans mon post, il manquait le répertoire "Drivers" pour le swap des fichiers.
    Le post a été mis à jour.

    Merci à Limerick.

    Frédéric.
     
  18. Dave.RaceR

    Dave.RaceR Registered Member

    Joined:
    May 5, 2003
    Posts:
    31
    Location:
    Essonne (91)
    Salut à tous...!!!

    J'ai effectue le test après avoir installé le patch....
    Look'n stop passe le test avec succès: tentative de connection détectée (Themite.exe)

    Apres avoir refusé l'acces, j'ai eu le message suivant: SOCKET ERROR "can't connect to security focus" :cool:

    OBservation: test non effectué avec l'ancien driver....!!!!
     
  19. tontonfrancky

    tontonfrancky Registered Member

    Joined:
    Jan 11, 2003
    Posts:
    45
    De mon côté il marche nickel !

    Non seuleument pas de pb d'installation, mais il arrête bien ces deux tests!

    Bravo!

    :cool:
     
  20. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    C'est bien le résultat normal et attendu.

    Le problème d'erreur de socket anormal était mis en évidence avec MailWasher et avec la première version du patch du driver, mais la différence est que MailWasher faisait partie des applications autorisées.
    Quand une application est interdite, on peut s'attendre, selon les cas, à des messages d'erreur divers et variés, selon ce que décide l'application sur une erreur lors de l'ouverture d'une Socket.

    Frédéric
     
  21. Jadawin

    Jadawin Guest

    Avant le nouveau drivers : 3/10 a AWFT et Thermite passe.
    Apres le nveau drivers : 10/10 et Thermite ne passe plus.

    Rq : Aucun message du firewall dans le cas de Thermite. Il ne passe pas mais le firewall ne m informe pas de la tentative de sortie (ni de son action de blocage).

    Rq2 : Avant update, aucun message du firewall pour AWFT. Apres update, un message pour bloquer ou non AWFT (que je bloque evidemment).

    Felicitation, ca marche tres bien !
     
  22. Blade

    Blade Guest

    Hi all,
    je suis en cours de test de thermite...
    MAis ma question porte su la capture d'ecran de la console
    Comment faire pour y avoir acces? :p
    merci d'avance
     
  23. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    C'est dans la page des options, il y a une case à cocher qui ouvre cette fenêtre

    Frédéric.
     
Thread Status:
Not open for further replies.