Look 'n' Stop, Thermite et AWFT.

Bonjour à tous,

Un nouveau leaktest appelé Thermite est sorti récemment démontrant les faiblesses de certains firewalls si un troyan utilise des techniques à base de la fonction Windows CreateRemoteThread.

Quelques informations sur Thermite (en Anglais) se trouvent ici:
http://www.securityfocus.com/archive/1/312783/2003-02-20/2003-02-26/1

Il y a une discussion ici (toujours en Anglais):
http://www.dslreports.com/forum/remark,6071614~root=security,1~mode=flat

Enfin ce Leaktest Thermite peut être téléchargé ici:
http://www3.sympatico.ca/oliver.lavery/za-hole.zip

Ceci n'affecte que les configurations à base de Win2000/XP.

Un nouveau driver lnsfw1 a donc été créé pour parer à ce genre de fuite.

Vous pouvez le récéupérer ici:
http://looknstop.soft4ever.com/Beta/Thermite/LNSFW1.SYS

Ce driver est expérimental donc quelques précautions doivent être prises pour l'installer:
- renommer c:\windows\system32\drivers\lnsfw1.sys en lnsfw1.old
- copier le nouveau driver dans c:\windows\system32\drivers
- rebooter

En cas d'écran bleu, vous aurez à revenir sur l'ancien driver en recopiant lnsfw1.old sur lnsfw1.sys. Et dans ce cas merci de m'envoyer le fichier minidump qui se sera créé dans c:\windows\minidump.
Dans le cas où le nouveau driver est inopérant face à Thermite, merci de m'envoyer les logs du driver de la fenêtre console (case à cocher dans les options et appuyer sur le bouton "driver logs").

De plus il semble que ce nouveau driver contrecarre également AWFT (http://www.atelierweb.com/awft/index.htm) qui est un testeur de firewalls.

N'hésitez pas à poster vos commentaires/remarques/problèmes à propos de ce nouveau driver ici.

Merci,

Frédéric.

 

Rebonjour Frédéric,

Pas top le patch

Alors j'ai remplacé le *.sys et ci joint la première fenêtre que j'ai obtenu

...à suivre les autres captures

 

ensuite, j'ai eu ça dans le log :

 

Après, impossibilité de me connecter au réseau (et à Internet), même en remettant l'ancien *.sys.

Alors, j'ai fait une restauration XP, et si j'arrive de nouveau à me connecter à mon LAN, je n'ai toujours pas l'appli LnS.

Je poursuis les essais.

 

Plus exactement, je n'ai pas le filtrage des applis

 

Ca y est ça remarche

Mais le seul moyen de retrouver LnS fonctionnel a été de le réinstallé sur lui-même.

 

Bon je poursuis mes analyses

Alors sans le nouveau driver, za-hole ne passe pas avec IE.
En plus, comme j'utilise CrazyBrowser, il me dit que IE n'est pas lançé et qu'il ne peut faire le test.

Donc a priori, pas besoin d'update pour ce leaktest.

En revanche, pour celui de l'Atelier Web, avec ou sans l'update du driver, je me suis pris un 8-2 dans la tête (y doit y avoir des coeffs )

En effet, seuls les tests 1 et 3 sont bloqués, pour les autres LnS ne voit que du feu.

Ceci dit, j'ai fait ces tests après avoir changer de *.sys, mais avant d'avoir rebooté. C'est pour cela que je n'avais pas encore eu les erreurs mentionnées plus haut.
Et après avoir réussi à rcupérer l'accès internet (après la restauration), le résultat était identique.

Bon courage,

 

C'est expérimental donc on est là pour voir les problèmes

J'ai l'impression que lors du tout premier test, le fichier lnsfw1.sys n'était carrément plus présent.
Les copies d'écran correspondent exactement au cas où lnsfw1.sys est absent.

Frédéric.

 

As-tu fait vraiment le test avec IE lancé ?

Oui, mais ce qui est fait avec IE peut aussi être fait avec CrazyBrowser.
L'application Thermite démontre juste les possibilités. Des vrais troyans peuvent essayer de se mettre dans n'importe quelle application qui se connecte.

Finalement as-tu réussi à faire tourner Look 'n' Stop en ayant changé le driver lnsfw1.sys ?
Si oui, quel était le résultat des logs du driver ?

Merci,

Frédéric.

 

Oui pas de problème pour le patch, j'ai bien saisi tout l'intérêt des tests

Pour ce qui est de la présence du *.sys, c'est bien ce que j'ai pensé également et j'ai tout de suite vérifié sa présence.

Et je l'ai même réinstallé par dessus pour être sûr (45,8 Ko au lieu de 42 environ), mais le résultat était identique.

Ce qui ma surpris, c'est qu'après la restauration, j'ai retrouvé une partie des fonctionnalités 5filtrage internet), mais pas le filtrage des applis. Toujours avec la fen^tre disant que le driver était introuvable.

Et que penser des leaktests en eux-mêmes ?

 

oops, on s'est croisé.

Oui bien sûr avec IE lancé.

Pour CrazyBrowser, effectivement je suis surpris puisque c'est le même noyau.

Non je n'ai pas réussi à faire tourner LnS avec lnsfw1.sys (cf mon post précédent).

 

Salut Frederic, effectivement le nouveau driver contrecarre ce nouveu test ainsi que celui d'Atelier du moins pour mon sys.

 

Ah ben c'est que ça marche alors.

Je m'en vais réessayer derechef

 

http://pages.infinit.net/carbo1/files/awfttest.gif

 

Ah ben mince alors !

Moi je me prends 8-2.

C'est pas le gardien qui est en cause ( ) mais l'attaque qui est pas au point

Je vais reprendre l'entraînement

 

Ca y'est moi aussi je lui mets la pâtée au portugaiheeeuu

Vive la France, Vive le Quebec libre et Vive LnS !!!!

Petit moment de délire passager, veuillez ne pas m'en tenir rigueur

 

Il y avait un bug dans mon post, il manquait le répertoire "Drivers" pour le swap des fichiers.
Le post a été mis à jour.

Merci à Limerick.

Frédéric.

 

Salut à tous...!!!

J'ai effectue le test après avoir installé le patch....
Look'n stop passe le test avec succès: tentative de connection détectée (Themite.exe)

Apres avoir refusé l'acces, j'ai eu le message suivant: SOCKET ERROR "can't connect to security focus"

OBservation: test non effectué avec l'ancien driver....!!!!

 

De mon côté il marche nickel !

Non seuleument pas de pb d'installation, mais il arrête bien ces deux tests!

Bravo!

 

C'est bien le résultat normal et attendu.

Le problème d'erreur de socket anormal était mis en évidence avec MailWasher et avec la première version du patch du driver, mais la différence est que MailWasher faisait partie des applications autorisées.
Quand une application est interdite, on peut s'attendre, selon les cas, à des messages d'erreur divers et variés, selon ce que décide l'application sur une erreur lors de l'ouverture d'une Socket.

Frédéric

 

Avant le nouveau drivers : 3/10 a AWFT et Thermite passe.
Apres le nveau drivers : 10/10 et Thermite ne passe plus.

Rq : Aucun message du firewall dans le cas de Thermite. Il ne passe pas mais le firewall ne m informe pas de la tentative de sortie (ni de son action de blocage).

Rq2 : Avant update, aucun message du firewall pour AWFT. Apres update, un message pour bloquer ou non AWFT (que je bloque evidemment).

Felicitation, ca marche tres bien !

 

Hi all,
je suis en cours de test de thermite...
MAis ma question porte su la capture d'ecran de la console
Comment faire pour y avoir acces?
merci d'avance

 

Bonjour,

C'est dans la page des options, il y a une case à cocher qui ouvre cette fenêtre

Frédéric.