1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Пишем собственную связку / Часть I

Тема в разделе "Наши статьи", создана пользователем d1dy0u, 27 авг 2016.

  1. TopicStarter Overlay
    d1dy0u

    d1dy0u

    Регистрация:
    26 июл 2016
    Сообщения:
    66
    Симпатии:
    51
    Приветствую всех читателей ifud.ws
    Какой школьник не знает слова " связка" в 2016 году? Какой скрипт-кидди не мечтает прогрузить миллионы ботов на очередной билд скачанного с форума ботнета и наконец-то съехать от мамки или уволиться из ненавистного офиса? Ведь кажется, что может быть проще чем гнать трафик на связку, и сидеть (попутно попивая чай из пакетика) и смотреть как появляются новые боты?

    Но в наше время все не так радужно. Браузеры отказываются от NPAPI и сторонних плагинов, обновления Java прилетают как гуси из теплых краев, а подлые операционки все больше пичкаются различными защитами типа ASLR, EMET и прочих. Пробив даже на лучших связках стремительно падает (и составляет в лучшем случае 5-8%)


    Поэтому, я ставлю целью развеять мифы о легендарных связках, рассказать в целом об этом рынке и написать цикл статей по разработке собственной связки эксплойтов (поверьте, для человека с IQ выше школьника с RAT'ом электрочайника в этом нет ничего сверхъестественного)

    Итак, если цикл будет пользоваться спросом, я хочу затронуть следующие моменты :
    1. Матчасть и общие положения (об этом и будет ЭТА статья)
    2. Плагиндетект и понятие об эксплойтах и ротации, написание ротатора и плагиндетекта
    3. Откуда брать эксплойты если ты идиот? Добавление эксплойта на примере Java
    4. Формирование полезной нагрузки и жизненный цикл эксплойта. Процесс пробива и прогруза
    5. Чистка сплойтов, защита от ботов и безопасное управление трафом


    Часть I - матчасть и общие положения

    Наверняка, сейчас все знают как в общих чертах работают связки - наивный планктон так или иначе попадает на вредоносный ресурс, и тут же попадается в цепкие лапки труъ-дельца, который сотнями прогружает ему всяческие трояны, банкеры, фейк-ав и прочую гадость, выгребая тонны денег с ничего не подозревающего гражданина. А краеугольным камнем всего этого конечно являются эксплойты - волшебные программы, выполняющиеся в браузере и приводящие к выполнению вредоносного кода на машине.


    [​IMG]
    BlackHole - связка ставшая легендой не за приватные эксплойты, а за крутой сервис и функциональную админку

    В принципе - все так и есть. Пользователь посещает ресурс, определяется версия его браузера и плагинов (например Silverlight, Flash, Java) и ему выдается специально сформированная страница, которая обойдя механизмы защиты браузера (именуемой еще isolated environment или sandbox) запустит код на его машине. И этот механизм не меняется годами (еще с появления таких мамонтов как IcePack). И даже уязвимости, которые эксплуатируются зачастую одинаковы - они берутся из последних security bulletin и тематических ресурсов по уязвимостям

    Но, вот на этом моменте, пытливый читатель должен был подумать - а почему же связок так много? Ведь механизм прогруза один и тот же, эксплойты одни и те же. Правильный ответ - ничем

    Давайте просто посмотрим на занимательную диаграммку

    [​IMG]

    Для тех кто плохо понимает английский - оранжевый сегмент это активные связки на рынке (т.е. те которые продаются, на них льется траф итд), а красный сегмент - это НОВЫЕ связки - те, которые вышли менее 6 месяцев назад (относительно точки на диаграмме).

    В общих чертах, экосистему сплойт-паков можно обрисовать так :
    1. Обнаруживают новую уязвимость поражающую браузер или плагин (например, если посмотреть на 2009 год, это CVE-2009-3867), для нее пишут и публикуют эксплойт.
    2. Один-два сплойт-пака (обычно топовые игроки на рынке) добавляют ее в свой состав, повышается пробив, появляется эпидемия того или иного malware
    3. Куча псевдо-дельцов видят какие деньги гребут лопатой лидеры рынка и мочат свои связки с аналогичным эксплойтом за сходную цену. Рынок наводняется одним эксплойтом, все грузят через него
    4. Эксплойт закрывают везде, включают принудительное обновление и секьюрити-алерты, об этом пишут хабр, ксакеп и прочая пресса, эксплойт 34/34, пробив на нем падает до мизера
    Исключая "вспышки" описаные в п. 1-2, обычно все связки держутся на некотором кол-ве стабильных паблик эксплойтов, механика которых отлажена и они стабильно пробивают свой процент

    Так к чему же все эти предварительные ласки размышления? Давайте быстренько разберемся в терминологии и в устройстве связки и будем ждать следующую часть статьи приступать к кодингу. Но сначала, как сказано выше - немного терминов

    Каждый, кто хочет заиметь собственный сплойт-пак должен знать пару терминов
    • Эксплойт / Сплойт - программа, специально написанная для эксплуатации определенной уязвимости - т.е. ее использования в недобрых целях. Основа любого сплойт-пака
    • Пробив - процесс загрузки вредоносного ПО на машину пользователя используя эксплойты. Также, пробивом называют соотношение посетителей к успешно "зараженным" посетителям (например если из 100 посетителей эксплойт сработал у 10, то "пробив" будет 10%)
    • Плагиндетект - скрипт (зачастую клиентский) для определения версий плагинов, браузера и ОС посетителя. Используется для определения уязвимых посетителей и выдачи им эксплойтов
    • Ротатор - скрипт (зачастую серверный), который выдает эксплойты пользователям на основании решения плагиндетекта. Ротатор может выполнять функцию фильтра от АВ и ботов
    • Уник / Хост - уникальный посетитель
    • Payload / Начинка - вредоносное ПО или его загрузчик, который прогружается эксплойтом

    На этом ознакомление с матчастью можно считать оконченным, в следующей части возьмем кайло в руки и попытаемся написать плагиндетект для связки (это при условии, что первая часть хорошо пойдет).

    Буду рад выслушать вопросы и предложения
     
    • Like Like x 5
  2. seoclab

    seoclab

    Регистрация:
    30 июн 2016
    Сообщения:
    4
    Симпатии:
    0
    Эта статья конечно интересная !
    но для развития этой темы нужно хотя бы 1 рабочий сплойт + ротатор
    ну и админка
     
  3. TopicStarter Overlay
    d1dy0u

    d1dy0u

    Регистрация:
    26 июл 2016
    Сообщения:
    66
    Симпатии:
    51
    ну так ты оглавление-то смотрел? все будет, но не сразу
     
    • Agree Agree x 1
  4. seoclab

    seoclab

    Регистрация:
    30 июн 2016
    Сообщения:
    4
    Симпатии:
    0
    а наработки будут выкладываться ?
     
  5. EEjester

    EEjester hack_the_god

    Регистрация:
    25 окт 2012
    Сообщения:
    1.339
    Симпатии:
    957
    поддерживаю. читать было интересно. жду еще!
     
    • Like Like x 1
    • Agree Agree x 1

Поделиться этой страницей

Загрузка...