Re: [Hackmeeting] advanced evasion tecniques

Delete this message

Reply to this message
Author: $witch
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] advanced evasion tecniques
On Wed, 03 Nov 2010 14:57:15 +0100, vecna <vecna@???> wrote:


> non sapevo di questa "ricombinabilita' inter-layer", cos'è ?


una cazziatella, se ci pensi : adottando una tecnica di evasione diciamo a
layer 3 come la frammentazione ed una a layer 7, diciamo l'encoding di
caratteri % in queries SQL, metto in croce l'IDS. se poi e' consentito
l'uso di, che so, netbios allora posso creare frammenti IP che NON fanno
scattare nulla ma che trasportano pkts netbios che nascondano al loro
interno le istruzioni per poi far giungere al sistema target (nel caso un
server sql) una query malformata.

il grosso delle tecniche e' relativo a windows ed i suoi protocolli, ma
una parte e' generica, diciamo che una discreta "preview" la trovi in
"nessus" il tool di scansione di vulnerabilita'.

insomma, nulla di trascendentale, solo che invece di fare come si e'
sempre fatto usando i layers come separati, li usano in modo "costruttivo"
per evadere gli IPS.

>
> ora abbiamo in chiusura la 0.4, ed abbiamo inserito un qualche genere di
> bug usando i plugin, ma tecniche per fare sniffing evasion/IDS evasion,
> sono implementate, da 2 anni e sotto GPL, qui:
> http://www.delirandom.net/sniffjoke


me ricordo la tua presentazione ad un talk (credo in "fallimenti
promettenti" - Pisa)

non c'e' davvero nulla di nuovo se non l'impostazione mentale :

il preconcetto che un attacco applicativo venisse veicolato direttamente
all'applicativo e' solo un concetto di comodo che si e' dimostrato non
vero.

chi fa' hacking "professionale" usa delle tecniche per non farsi rilevare
e le singole tecniche, sommate e combinate in un ampio ventaglio di modi
diversi, rende intrattabile il problema computazionale ai dispositivi che
le debbano riconoscere/contrastare.

e' tutto abbastanza semplice da creare problemi veri, suppongo.

>
> per la nuova release, se avete richieste di feature particolari,
> proponetele, o se qualcuno volesse collaborare al bugfixing, collaborare
> al sito, o a scriverci un articolo ...
> https://github.com/vecna/sniffjoke


ahahahah.

mi hai chiavato, adesso sono obbligato a documentarmi davvero....... :D

>
> P.S. la versione presete ora segfaulta,


hei, man!

la regola numero 1 del networking dice esplicitamente che "it has to work"

per generare segfault ti posso dare 1001 suggerimenti....... :D

ciao


$witch



--
"If 386BSD had been available when I started on Linux, Linux would
probably never had happened." Linus Torvalds


"It's hard to exploit a sysadmin by social engineering because he hardly
has any friends." Polytropon