Gerade bin ich auf heise auf einen interessanten Artikel gestoßen: heise.de

Rahmenhandlung: Ein Reverse Engineer hat in der bekannten Malware Poison Ivy eine Möglichkeit zur Gegenattacke gefunden. Das Konzept basiert dabei auf einem Buffer Overflow, der dem anfänglichen Opfer ermöglichen soll, eigenen (Schad)Code in die Gegenrichtung zu schicken. Auf heise befindet sich auch der Link zu dem sehr ausführlichen und gut geschriebenen Paper von Andrzej Dereszowski.

This paper is an analysis of a common sort of targeted attack performed nowadays against many organizations. As it turns out, publicly available remote administration tools (which we usually call trojans) are frequently used to maintain control over the victim after a successful penetration. The paper does not focus on particular exploitation techniques used in these attacks. Instead, it aims to get a closer look at one of such trojans.
First chapters describe a way to figure out which trojan has been used.
The following chapters describe in brief the architecture, capabilities and techniques employed by developers of the identified trojan, including mechanisms to hide its presence in the system, and to cover its network trace. The paper presents all the techniques used to perform the analysis.
In the final chapters, a quick vulnerability analysis has been performed to show that such intruders could also be an object of an attack. . .

Ich bin gerade noch mitten am Durchlesen, aber die ersten Kapitel waren sehr interessant. Jedem, der halbwegs Begeisterung an RE findet oder sich einfach nur generell darüber informieren will, sei dieses Dokument hiermit ans Herz gelegt.

Originallink zum Paper: signal11.eu
Mirror: buntspecht.us