Пишем собственную связку / Часть I

Приветствую всех читателей ifud.ws
Какой школьник не знает слова "связка" в 2016 году? Какой скрипт-кидди не мечтает прогрузить миллионы ботов на очередной билд скачанного с форума ботнета и наконец-то съехать от мамки или уволиться из ненавистного офиса? Ведь кажется, что может быть проще чем гнать трафик на связку, и сидеть (попутно попивая чай из пакетика) и смотреть как появляются новые боты?

Но в наше время все не так радужно. Браузеры отказываются от NPAPI и сторонних плагинов, обновления Java прилетают как гуси из теплых краев, а подлые операционки все больше пичкаются различными защитами типа ASLR, EMET и прочих. Пробив даже на лучших связках стремительно падает (и составляет в лучшем случае 5-8%)

Поэтому, я ставлю целью развеять мифы о легендарных связках, рассказать в целом об этом рынке и написать цикл статей по разработке собственной связки эксплойтов (поверьте, для человека с IQ выше школьника с RAT'ом электрочайника в этом нет ничего сверхъестественного)

Итак, если цикл будет пользоваться спросом, я хочу затронуть следующие моменты :

1. Матчасть и общие положения (об этом и будет ЭТА статья)
2. Плагиндетект и понятие об эксплойтах и ротации, написание ротатора и плагиндетекта
3. Откуда брать эксплойты если ты идиот? Добавление эксплойта на примере Java
4. Формирование полезной нагрузки и жизненный цикл эксплойта. Процесс пробива и прогруза
5. Чистка сплойтов, защита от ботов и безопасное управление трафом

Часть I - матчасть и общие положения

Наверняка, сейчас все знают как в общих чертах работают связки - наивный планктон так или иначе попадает на вредоносный ресурс, и тут же попадается в цепкие лапки труъ-дельца, который сотнями прогружает ему всяческие трояны, банкеры, фейк-ав и прочую гадость, выгребая тонны денег с ничего не подозревающего гражданина. А краеугольным камнем всего этого конечно являются эксплойты - волшебные программы, выполняющиеся в браузере и приводящие к выполнению вредоносного кода на машине.

BlackHole - связка ставшая легендой не за приватные эксплойты, а за крутой сервис и функциональную админку
​

В принципе - все так и есть. Пользователь посещает ресурс, определяется версия его браузера и плагинов (например Silverlight, Flash, Java) и ему выдается специально сформированная страница, которая обойдя механизмы защиты браузера (именуемой еще isolated environment или sandbox) запустит код на его машине. И этот механизм не меняется годами (еще с появления таких мамонтов как IcePack). И даже уязвимости, которые эксплуатируются зачастую одинаковы - они берутся из последних security bulletin и тематических ресурсов по уязвимостям

Но, вот на этом моменте, пытливый читатель должен был подумать - а почему же связок так много? Ведь механизм прогруза один и тот же, эксплойты одни и те же. Правильный ответ - ничем

Давайте просто посмотрим на занимательную диаграммку

​

Для тех кто плохо понимает английский - оранжевый сегмент это активные связки на рынке (т.е. те которые продаются, на них льется траф итд), а красный сегмент - это НОВЫЕ связки - те, которые вышли менее 6 месяцев назад (относительно точки на диаграмме).

В общих чертах, экосистему сплойт-паков можно обрисовать так :

1. Обнаруживают новую уязвимость поражающую браузер или плагин (например, если посмотреть на 2009 год, это CVE-2009-3867), для нее пишут и публикуют эксплойт.
2. Один-два сплойт-пака (обычно топовые игроки на рынке) добавляют ее в свой состав, повышается пробив, появляется эпидемия того или иного malware
3. Куча псевдо-дельцов видят какие деньги гребут лопатой лидеры рынка и мочат свои связки с аналогичным эксплойтом за сходную цену. Рынок наводняется одним эксплойтом, все грузят через него
4. Эксплойт закрывают везде, включают принудительное обновление и секьюрити-алерты, об этом пишут хабр, ксакеп и прочая пресса, эксплойт 34/34, пробив на нем падает до мизера

Исключая "вспышки" описаные в п. 1-2, обычно все связки держутся на некотором кол-ве стабильных паблик эксплойтов, механика которых отлажена и они стабильно пробивают свой процент

Так к чему же все эти предварительные ласки размышления? Давайте быстренько разберемся в терминологии и в устройстве связки и будем ждать следующую часть статьи приступать к кодингу. Но сначала, как сказано выше - немного терминов

Каждый, кто хочет заиметь собственный сплойт-пак должен знать пару терминов

• Эксплойт / Сплойт - программа, специально написанная для эксплуатации определенной уязвимости - т.е. ее использования в недобрых целях. Основа любого сплойт-пака
• Пробив - процесс загрузки вредоносного ПО на машину пользователя используя эксплойты. Также, пробивом называют соотношение посетителей к успешно "зараженным" посетителям (например если из 100 посетителей эксплойт сработал у 10, то "пробив" будет 10%)
• Плагиндетект - скрипт (зачастую клиентский) для определения версий плагинов, браузера и ОС посетителя. Используется для определения уязвимых посетителей и выдачи им эксплойтов
• Ротатор - скрипт (зачастую серверный), который выдает эксплойты пользователям на основании решения плагиндетекта. Ротатор может выполнять функцию фильтра от АВ и ботов
• Уник / Хост - уникальный посетитель
• Payload / Начинка - вредоносное ПО или его загрузчик, который прогружается эксплойтом

На этом ознакомление с матчастью можно считать оконченным, в следующей части возьмем кайло в руки и попытаемся написать плагиндетект для связки (это при условии, что первая часть хорошо пойдет).

Буду рад выслушать вопросы и предложения

 

Эта статья конечно интересная !
но для развития этой темы нужно хотя бы 1 рабочий сплойт + ротатор
ну и админка

 

ну так ты оглавление-то смотрел? все будет, но не сразу

 

а наработки будут выкладываться ?

 

поддерживаю. читать было интересно. жду еще!