Neuer Trojaner - Verbindung über port 80 (http) und Proxy möglich

Sonic · 30.01.2001, 15:21

Bestens geeignet zum Missbrauch als Trojaner! Mit Hilfe des Programms TOTALRC können
Systemverwalter - und natürlich auch Hacker - über das Internet die volle Kontrolle über
einen PC übernehmen. Bis hierhin noch nichts neues, das können Netbus und Backorifice
schließlich schon lange. Doch mit TOTALRC funktioniert das auch, wenn der PC durch eine
Firewall vor dem Internet geschützt ist, haben go-net jetzt entdeckt. Selbst wenn der Zugriff
ausschließlich über einen Proxy-Server möglich ist, der direkte Zugriff vom PC über
TCP-Port 80 auf das Internet also nicht möglich ist, kann auf den PC zugegriffen werden.
Das Prinzip ist simpel: Nicht der Angreifer baut die Verbindung vom Internet zu dem
geschützten PC auf, sondern der PC baut von sich aus eine Verbindung zu einem Gateway
im Internet auf. Da der Traffic komplett über HTTP abgewickelt wird und sogar über einen
Proxy funktioniert, können Sicherungssysteme wie Firewall und Proxy dies kaum von einem
gewöhnlichen Webzugriff des Benutzers unterscheiden. Damit ist nun endgültig Schluss mit
dem gefährlichen Irrglauben, Verbindungen vom Unternehmensnetz in Richtung Internet
könnten bedenkenlos freigeschaltet werden. Auf dem Opfer-PC ist vor einem Angriff ein
Programm zu starten, welches sich bei dem Gateway mit einer eindeutigen ID anmeldet.
Der Angreifer braucht nun bloß noch mit einem Standard-Webbrowser auf die Seite des
Gateways zu gehen und die ID einzugeben - schon sieht er in seinem Browserfenster den
Bildschirminhalt seines Opfers. Durch "Features" wie "Starten als Dienst" und Startoptionen
wie "-NOICON" (=sichtbar) deutet sich bereits an, dass sich das Programm bestens für den
Missbrauch durch Hacker eignet. Als Schutzmaßnahme für Unternehmensnetzwerke
empfiehlt go-net, sämtlichen Netzwerkverkehr zu den Adressen 12.98.142.216 bis
12.98.142.223 sowie zu den Domänen totalrc.com und totalrc.net zu sperren. Dabei ist zu
beachten, dass IP-Filter nur dann einen Effekt haben, wenn sie sich zwischen dem letzten
verwendeten Proxy-Server und dem Internet befinden. Unternehmen, die den Proxy-Server
ihres Internet Providers nutzen, können sich ohne spezielle Content Management Systeme
nicht schützen. Weitere wichtige Maßnahmen wie Corporate Security Management,
übergreifende Konzeptionierung und Benutzersensibilisierung sollten allerdings auch ohne
diese Sicherheitslücke für jedes erfolgsorientierte Unternehmen selbstverständlich sein.
Weitere Informationen und eine Beispielkonfiguration für Cisco-Router finden Sie unter
go-net.de. // go-net Security-Info :: [skü].

ROTALARM.DE ist ein CAMRIN NETWORK nachrichtenservice der JRPAMC-WD-IIS
http://www.rotalarm.de

------------------
__________________
|»»»»»SONIC««««««|
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

30.01.2001, 15:21	#1
Sonic Master Registriert seit: 28.03.2000 Alter: 45 Beiträge: 691	Bestens geeignet zum Missbrauch als Trojaner! Mit Hilfe des Programms TOTALRC können Systemverwalter - und natürlich auch Hacker - über das Internet die volle Kontrolle über einen PC übernehmen. Bis hierhin noch nichts neues, das können Netbus und Backorifice schließlich schon lange. Doch mit TOTALRC funktioniert das auch, wenn der PC durch eine Firewall vor dem Internet geschützt ist, haben go-net jetzt entdeckt. Selbst wenn der Zugriff ausschließlich über einen Proxy-Server möglich ist, der direkte Zugriff vom PC über TCP-Port 80 auf das Internet also nicht möglich ist, kann auf den PC zugegriffen werden. Das Prinzip ist simpel: Nicht der Angreifer baut die Verbindung vom Internet zu dem geschützten PC auf, sondern der PC baut von sich aus eine Verbindung zu einem Gateway im Internet auf. Da der Traffic komplett über HTTP abgewickelt wird und sogar über einen Proxy funktioniert, können Sicherungssysteme wie Firewall und Proxy dies kaum von einem gewöhnlichen Webzugriff des Benutzers unterscheiden. Damit ist nun endgültig Schluss mit dem gefährlichen Irrglauben, Verbindungen vom Unternehmensnetz in Richtung Internet könnten bedenkenlos freigeschaltet werden. Auf dem Opfer-PC ist vor einem Angriff ein Programm zu starten, welches sich bei dem Gateway mit einer eindeutigen ID anmeldet. Der Angreifer braucht nun bloß noch mit einem Standard-Webbrowser auf die Seite des Gateways zu gehen und die ID einzugeben - schon sieht er in seinem Browserfenster den Bildschirminhalt seines Opfers. Durch "Features" wie "Starten als Dienst" und Startoptionen wie "-NOICON" (=sichtbar) deutet sich bereits an, dass sich das Programm bestens für den Missbrauch durch Hacker eignet. Als Schutzmaßnahme für Unternehmensnetzwerke empfiehlt go-net, sämtlichen Netzwerkverkehr zu den Adressen 12.98.142.216 bis 12.98.142.223 sowie zu den Domänen totalrc.com und totalrc.net zu sperren. Dabei ist zu beachten, dass IP-Filter nur dann einen Effekt haben, wenn sie sich zwischen dem letzten verwendeten Proxy-Server und dem Internet befinden. Unternehmen, die den Proxy-Server ihres Internet Providers nutzen, können sich ohne spezielle Content Management Systeme nicht schützen. Weitere wichtige Maßnahmen wie Corporate Security Management, übergreifende Konzeptionierung und Benutzersensibilisierung sollten allerdings auch ohne diese Sicherheitslücke für jedes erfolgsorientierte Unternehmen selbstverständlich sein. Weitere Informationen und eine Beispielkonfiguration für Cisco-Router finden Sie unter go-net.de. // go-net Security-Info :: [skü]. ROTALARM.DE ist ein CAMRIN NETWORK nachrichtenservice der JRPAMC-WD-IIS http://www.rotalarm.de ------------------ __________________ \|»»»»»SONIC««««««\| ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)