ATTAQUE (LOCAL) D'UN PAREFEU
draluorg
Messages postés
625
Date d'inscription
vendredi 23 avril 2004
Statut
Membre
Dernière intervention
25 novembre 2010
-
24 oct. 2005 à 14:06
78zerocool Messages postés 22 Date d'inscription jeudi 13 janvier 2011 Statut Membre Dernière intervention 20 juillet 2011 - 17 déc. 2011 à 14:35
78zerocool Messages postés 22 Date d'inscription jeudi 13 janvier 2011 Statut Membre Dernière intervention 20 juillet 2011 - 17 déc. 2011 à 14:35
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/34323-attaque-local-d-un-parefeu
https://codes-sources.commentcamarche.net/source/34323-attaque-local-d-un-parefeu
17 déc. 2011 à 14:35
EGYDE
Adess00>Tu savais qu'un programme peut n'agir qu'en l'absence de l'utilisateur??
Faux archis faux donne moi tes sources de cet info parsque la ...
adess00
il faudrai également qu'il ne réagisse pas.
Toi ta rien compris ...
le but est que un processus X 100% fud non detecter (le resident) puisse lancé un vilain processus Y (lui detecté ou non le virus ou autre)
de plus un firewall n intercepte aucunement un message ! un firewall sert a bloqué un flus de paquet entrant ou/et sortant et par port !
donc le message d alerte du firewall contrairement a un antivirus n apparai que apres une tentative de connection ... et pas au lancement d un thread ou autre ... c est pour sa qu on a inventer les antivirus eu chargé de détecté au lancement de l appli si elle est dangereuse ou pas ...
5 déc. 2011 à 14:07
genre au lancement Disabled UAC netsh disble firewall ... detection de lemplacement ou windows dit parfeu desactive car utilisé par X firewall et la on obtien le chemin du X par defauts et on lui ferme tt les PID rataché + service et on lance notre fichier en mode lecture seul puis caché et system de la on ouvre une instance critic puis on s inscri dans le registre et on se connect simple nan ?
28 févr. 2006 à 16:33
Sinon c'est vrai que l idée est astucieuse pour bypasser un firewall simplement
28 févr. 2006 à 08:07
28 févr. 2006 à 00:51
Et ils sont payer a faire quoi si on leur donne les solutions ?
De toute facon, il faudrai que l'utilisateur télécharge les deux programmes et en lance un et voyant une fenetre clignoter, il faudrai également qu'il ne réagisse pas.
Autant demandé à l'utilisateur de cliquer sur "Accepter la connexion" en lui disant que c est un jeu en réseau.
Donc je vois pas comment ces deux personnes pourraitent arrivé a quelquechose.
Pour bypasser un firewall la facon que j'utiliserai serait d'intercepter le message que le programme envoie au systeme pour se connecter,lui meme intercepter par le firewall, et de modifier ce message.
3 nov. 2005 à 09:32
Si sur 100 personnes lisant cette source, 2 se trouve une vocation, ce sera toujours 2 ou + spywares ou malwares à supprimer sur chaque poste d'un réseau en sachant combien c'est parfois délicat !
3 nov. 2005 à 09:02
Si quelqu'un veut venir dans votre pc il peut toujours venir chez vous, vous frapper a mort et se mettre devant votre pc ;-)
Dans ce cas la il faut aussi etre armé alors.
Si on passe 80 pourcent de son temps a se protéger ca ne vaut plus la peine d'utiliser un pc pour gagner du temps.
Ceci dit je trouve que c'est tres bien que d'autres personnes perdent leur temps pour moi ;-)
C'est instructif, meme s'il n'y a que 10 poucent des programmeurs qui s'en serviront pour se protéger et non pour attaquer c'est deja ca.
2 nov. 2005 à 10:26
Que les attaques fassent partie d'un réseau public ou underground elle resterons toujours trouvables et utilisables. Il vaut mieux qu'elle fasse partie du réseau public, il y aura plus de personnes tentant de se défendre qui liront ce genre de source.
2 nov. 2005 à 09:19
27 oct. 2005 à 14:00
mais etant omnis present sur des forums de securite, je sais que certains malware arrivent ou arrivaient a s'enregistrer en liste "verte".
Je travail depuis un bon moment now sur un parefeu de la bdr, et quand je vois quelqu'un travailler dans l'autre sens, ca m'interpel, mais je me rends compte que tu es apparement plus du cote de la securite que de l'insecurite, mais c'est pas l'image que le titre de ta source donne... (desole)
Bonne continuation
++
27 oct. 2005 à 10:22
Avec ZoneAlarm, la simulation du clic ne marche pas. Je pense que le programme vérifie ce qui se passe entre les évènements MOUSEEVENTF_LEFTDOWN et MOUSEEVENTF_LEFTUP.
DRALUORG>
Ta déjà reçue une merde (via IE par exemple) qui s'enregistre d'elle-même dans la liste verte? Si c le cas, j'aimerais bien savoir laquelle puisque chez Kerio par exemple, le fichier de config n'est jamais en clair sur le dur (la sauvegarde est cryptée de façon périodique avec une graine pseudo-aléatoire).
Dans tous les cas, puisque tu connais maintenant la faille, fais moi signe quand tu auras terminé la programmation de ton propre parefeu ;-)
Pour ceux qui voudraient explorer d'autres pistes, je suis tombé par hasard sur un document plutôt bien fait. Plusieurs attaques simples (et surtout, des solutions pour les prévenir) sont présentées :
http://madchat.org/coding/win32/defeating_windows_personal_firewalls.pdf
26 oct. 2005 à 15:27
Eh wai su on veut MadM@tt, moi perso si je trouve une faille dans la plupart des parefeu, je serais plus vite tenter d'en faire un qui ne contient pas cette faille plutot que de m'amuser a exploiter cette faille....
Sinon il y a une autre methode, c'est d'enregistrer le soft qu'on veut lancer dans la liste verte du parefeu ou autivirus....
++
26 oct. 2005 à 14:27
Regardons le coté positif ;)
PS : mais pour votre histoire de fenetre "immaterielles", c'est à dire qu'on est obligé de cliquer avec la souris, il suffit de connaitre les coordonées du bouton "Autoriser" dans la fenetre et après on déplace la souris et on simule le clic... Non ?
25 oct. 2005 à 15:36
- Jetico Personal Firewall (v1.0.1.86)
- Kerio (v.4.1.3)
- Look'N'Stop (v2.05)
- Norton Personal Firewall (v.8.0.0.6.4)
- Sygate Personal Firewall (v5.6 build 2808)
- ZoneAlarm (v.6.0.667)
25 oct. 2005 à 10:41
Ce qui est généralement le cas me diras-tu, vu que la plupart des utilisateurs sont admins de leurs machine.
draluorg -> pareil, pour arréter le pare-feu il faut avoir les droits de le faire... avec la même remarque que précédement.
PS : on peut très bien travailler et même développer sans être admin de son poste
24 oct. 2005 à 20:46
@+
24 oct. 2005 à 19:34
Pour le changement de nom des fenêtres, c justement un des pts faibles (actuel) (voir explications finales).
24 oct. 2005 à 17:35
car apres ya tout un tas de trucs a surveiller !
Cacher son programme dans task view
cacher son prog des api d'enumeration de processus
il restera un clignotement entre le temp d'affichage de la
fenetre et le moment ou on envoi le message d'acceptation
Si Kerio change le nom de ces fenetre alors le prog ne sert plus a rien.
Il serait encore plus simple d'ibnjecter du code dans un programme qui a toute les autorisations .... genre explorer, iexplore ou mediaplayer !
@+
24 oct. 2005 à 17:01
(d'où le fait que j'ai mis ton code comme louche egyge).
Bien entendu, il n'est pas louche du tout, mais ce sont ce qu'il est possible de faire avec qui peut être louche, un peu comme les logiciels peer-to-peer en quelque sorte, ca part d'une bonne idée, mais on sait déjà qui seront les premiers intéressés... ;)
DarK Sidious
24 oct. 2005 à 15:39
j'ai volontairement restreint le projet au lancement de Notepad qui, avec Kerio, génère une demande d'autorisation du même genre que la demande d'autorisation de connexion entrante/sortante. EWF (moyennant quelques modifs peut-être) peut donc bel et bien permettre à un programme quelconque de communiquer vers l'extérieur.
En outre, comme tu l'as remarqué toi-même, ZoneAlarm n'est pas sujet à la faille du 'clic_on_me' mise en oeuvre ici. Apparement, le programme n'accepte le focus qu'après un certain temps (en cliquant sur la fenêtre d'alerte tout en laissant le bouton appuyé, on s'apperçoit que le focus n'est accepté qu'après environ 1s...). Comme je le disais dans la description, il existe toutefois d'autres moyens à peine plus compliqué ;-)
24 oct. 2005 à 15:10
Pour moi, un Parefeu protège les communications vers l'extérieur. Il ne protège pas l'exécution d'un programme. Bien sûr, quand un programme tente de communiquer avec l'extérieur, la fenêtre d'approbation apparait et les données de protection sont associées à ce programme, mais rien ne t'empèche de lancer le programme (qui ne pourra pas communiquer, c'est tout).
Donc, NotePad n'ayant aucune raison d'aller communiquer à l'extérieur du PC, je ne vois pas comment il pourrait déclencher une alerte de sécurité du parefeu.
Ton idée a surement dûe être exploitée car ZoneAlarm a changé la technique de validation/refus des alertes, les fenêtres sont devenues 'immatérielles', c'est bizarre, mais aucun programme ne peut cliquer, seulement la souris. Faites l'essai avec VNC : On ne peut pas cliquer à distance sur les boutons Accepter ou Refuser de ces fenêtres.
D'autre part, quand vous voulez stopper ce genre d'utilitaires (firewall ou antivirus), il y a toujours une fenêtre qui demande confirmation derrière pour être sûr que cette action est volontaire.
24 oct. 2005 à 14:32
Eh bin un sercice c'est comme un processus ca s'arrete a la demande...
Par exemple tape dans Cmd:
Net stop alg '(sous XP)
ou
Net stop "Spooler d'impression"
24 oct. 2005 à 14:24
Ceci dit, un parefeu s'installe en général en tant que service. Tu ne peux pas, à ma connaissance, terminer le processus comme tu le suggère.
24 oct. 2005 à 14:06
Hum si je comprends bien, on part du principe que l'utilisateur a deja accepter et executer le fichier ? (EWF)
Dans ce cas je ne sais pas pourquoi autant de prise de tete!
Pourquoi pas un simple TerminateProcess ou un "net stop" sur le parefeu et ou l'antivirus ?