Buffer Overflow in C&C-Server
Durch einen Buffer Overflow in der Serversoftware eines bei einem Angriff benutzten Fernsteuer-Toolkits ließ sich Code für eine Backdoor einschleusen und starten.
- Daniel Bachfeld
Der Reverse Engineer Andrzej Dereszowski hat die von einem präparierten PDF-Dokument bei einem Kunden installierte Malware einer genaueren Analyse unterzogen und konkret nach Sicherheitslücken gesucht. Dabei fand er heraus, dass für den Zugriff auf infizierte Systeme die frei verfügbaren "Remote Administration Software" Poison Ivy installiert wurde.
Bei Analysen der dazugehörigen Command&Control-Software fand er einen Buffer Overflow, der sich ausnutzen ließ, um Code für eine eigene Backdoor einzuschleusen und zu starten. Prinzipiell lässt sich diese Erkenntnis zwar für Gegenangriffe verwenden, ob die aber wirklich den richtigen treffen, bleibt offen.
Andrzej Dereszowski, Targeted attacks: From being a victim to counter attacking (dab)
