1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Связка эксплойтов

Тема в разделе "Чужие", создана пользователем lorenzo, 12 дек 2015.

  1. TopicStarter Overlay
    lorenzo

    lorenzo

    Регистрация:
    5 июн 2015
    Сообщения:
    29
    Симпатии:
    33
    Для начало определения:

    Связка эксплойтов (от англ. exploit pack) - это набор эксплойтов направленный на несколько программ (версий) и/или под разные уязвимости в них. В последних версиях связок производится выбор эксплойта именно под конкретную программу пользователя.

    Принцип работы

    Трафик направляется на связку эксплоитов. Там происходит анализ каждого нового посетителя. Определяется его браузер, версии установленных плагинов, вероятные уязвимости и затем перенаправление на страницу со специально сформированным кодом. Браузер исполняя код подвергается атаке на переполнение и исполняет Шелл-код. Далее Шелл-код загружает на компьютер жертвы исполняемый файл (вирус/лоадер и т.д.) и запускает его.
    Виды связок

    Приват связки - это связки сплоитов разрабатываемые не для продаж. Обычно имеют "на борту" 0day уязвимости (т.е. уязвимости которые или вообще неизвестны разработчикам ПО или не исправленные разработчиками). За счет использования новых и незакрытых уязвимостей дают высокий процент срабатывания (далее "пробив").
    Паблик связки делятся на два типа:
    Платные - это связки которые можно купить. Обычно содержат общедоступный список уязвимостей. Отличаются внешним видом клиентской части (далее "админкой"), некоторой модификацией эксплоитов, криптом (методом сокрытия уязвимости от антивирусных сканеров), и часто шелл-кодом. От общего профессионализма автора зависит какой пробив даст в итоге такая связка.
    Бесплатные - это бывшие платные связки волей случая попавшие для всеобщего скачивания на форумы/сайты, либо изначально открыто разрабатываемые (таких очень мало).

    Показатели пробива

    Зависят от нескольких основных параметров:
    Количества и качества эксплоитов
    Качества Трафика
    Для приватных связок нормальным считается пробив в районе 20-30%. Очень редко слышал о пробиве в 40%.
    Для платных паблик связок нормальным считается пробив в районе 10-25%. На хорошем трафике можно наблюдать пробив в 30%. Но это огромная редкость.
    Для паблик связок пробив считается нормальным в районе 1-10%.

    Крипт

    Это понятие содержит в себе модификацию сплоитов и способа их выдачи браузеру таким образом, при котором антивирусы ничего не заподозрят. От крипта зависит дойдет ли браузер до исполняемого кода или же антивирус остановит загрузку страницы на этапе проверки.
    Крипт связки обычно делается автором связки. Довольно редко крипт делают сторонние сервисы. Криптуют или всю выдачу целиком или отдельные сплоиты в комплекте. Стоимость крипта варьируется в пределах 40-150$. Делается, в зависимости от необходимости, раз в неделю/месяц. Временной интервал зависит от качества крипта и количества пользователей связки.

    Отстук:

    Практически каждая связка показывает сколько было срабатываний сплоитов. (т.е. пробив)
    Но это не значит, что столько же раз сработает ваш исполняемый файл. Для хорошей связки нормальный отстук варьируется в пределах 60-80%. Плохим отстуком считается <55%.
    Читаем так же Отстук

    Стоимость:

    Приватные связки по определению не продаются.
    Полуприват - это так называемые бывшие приватные связки - стоимость варьируется в пределах 3 000 -10 000 $.
    Паблик платные - стоимость варьируется 1000 - 3 000 $.
    Паблик - по определению бесплатные.

    В общем как не остаться обманутым при покупке связки:

    1-)Это очень очень важно если в топике указано что пробив 20% но не сказано что такой пробив только на ие траффе это уже наебка !!
    То есть если пробив чисто на ие траффе 20% то на обычном траффе это около 15% . Автор связки обязан указать два пробива, чтобы люди потом не предъявляли претензий.люди должны знать что покупают и знать пробив на общем траффе и чисто на ие


    2-) очень важный момент на снг траффе пробив можно получить и 30% щяс а если пустить уса трафф то всего 5-7% будет
    тестировать нужно свяхку на микс траффе европа + уса или отдельно уса трафф а потом микс европы и посмотреть на пробив
    на таком и таком траффе


    3-) не в коем случае не лить траффик который предложит продавец В связке продавец очень легко может подделать чтобы русский траф
    определялся как финский например Траффик должен быть ифреймы с сайтов (ведь в 99% случаях лучших пробив объявляют на ифрейм траффе)
    и траффик должен идти только от тебя + ты должен считать сколько уников от тебя траффа ушло и смотреть в его стате сколько пришло
    если продавец предлагает обнулить стату или делает это без спросу знает продавец уже пытается тебя наебать и что-то мутит для поднятия пробива.
    Ты обязательно жолжен вети у себя лог сколько ему траффа отправлено каких стран и какие ип

    4-) Стата куда будет стучать лоадер должна быть на твоем сервере !!! не в коем случае не на сервере продавца !!!!
    далее если ты видиш что пустил 500 уников траффа а в стате пишет что 700 пришло то продавец тебя наебывает и
    льет еще снг трафф чтобы сделать больше пробив !! Если ты в стате по инсталам видиш что присутствуют страны которых ты не лил или ип которые
    ты не отсылал на эксп - продавец тебя наебывает и чтото мутит с пробивом

    5-) очень важный момент пробив считаеться только по лоадеру никакие методы сниффа не катят это все чуш и наебалово
    если продавец предложит тебе сделать стату по загрузкам лоадера (метод сниффа) Но не по отстукам знай что это полный наеб 100% наеб
    потому что в таком случае эксп стучит на скрипт типа download.php?file=exe который записывает обращение и выдает лоадер на смачивание
    тут прикол в том что нет гарантий что лоадер вообще записался на комп или запустился Это просто обращение. Вариантов много разных
    например лоадер записался на тачку но выполнить его эксп не смог потому что палиться функция запуска фаила нет прав на запись у текущего юзеря .
    В экспе палиться функция сохранения или чтото ее блокирует В общем вариантов куча, то есть обращение экспа на скрипт типа download.php?file=exe
    не дает гарантий попадания экспа на тачку и запуска скорее это уязвимые тачки но многие из них пробить не удастся скажем большинство
    поэтому пробив по сниффу это наебка

    6-)Если пробив маленький и продавец начинает говорить что у тебя куевый трафф и давай любой другой нальем не ведись - он
    пытается тебя наебать и как-то завысить пробив


    7-) очень важный момент это главное на[мат]ово в связках Связка считает пробив только от ие траффа а не от самого траффа
    то есть если ты налил 1000 уников и из них 800 ие юзеры а 200 другие браузеры и у тебя 80 инсталов и связка показывает 10%
    то на общем траффе пробив 8% При покупке связки внимательно смотрите от чего считаться пробив бывает что связка записывает
    заходы с разных браузеров но пробив считаться от ие только !!


    Хочу обратить ваше внимание господа когда в 2х разных связках используются одинаковые экспы а в 1ной связке пробив
    10% а в другого 20% то что-то здесь не то Главное правило помните чудес не бывает !!


    При покупке связки всегда обязательно все тестируйте на своем лоадере и своем траффе
    причем лоадер должен стучать только на ваш сервер не в коем случае не на сервер продавца ! Всегда считайте пробив
    от общего траффа не важно пусть даже связка и под ие


    АНТИВИРУСЫ:
    дело в том что в основном антивирусы палят экспы имено в момент срабатывания, а не проверки фаила, то есть на virustotal может показать, что фаил чистый (сам код), но эксп будет палить 90% антивирусов А все потому, что палятся сами методы срабатывания экспов и их заголовки в 90% случаях эксп вообще спрятать невозможно щас рассмотрим что и как палится.

    ПРО ОБНОВЛЕНИЯ СВЯЗОК:

    АВТОРЫ МНОГИХ СВЯЗОК ПРЕДЛАГАЮТ ПОСТОЯННЫЕ ИХ ОБНОВЛЕНИЯ, НО ОЧЕНЬ ВАЖНО ЗНАТЬ, ЧТО ОБНОВЛЕНИЯ СТАРЫХ ЭКСПОВ ЭТО В 99% СЛУЧАЯХ ПРОСТО
    ИЗМЕНЕНИЕ МЕТОДА КРИПТОВАНИЯ СВЯЗКИ, КОТОРОЕ ПРАКТИЧЕСКИ НЕ ВЛИЯЕТ НА ЕЕ ЧИСТОТУ !!! КАК Я УЖЕ ОБЪЯСНИЛ АНТИВИРУСЫ ОСОБО НА КОД ЭКСПА НЕ СМОТРЯТ, ИХ ИНТЕРЕСУЮТ МЕТОДЫ ОБЪЕКТЫ И Т.Д !!!! ОЧЕНЬ ВАЖНО ЛЮБОЙ НОРМАЛЬНЫЙ АНТИВИРУС РАСШИФРОВЫВАЕТ ЛЮБОЕ КРИПТОВАНИЕ В СЕКУНДЫ С ТАКОЙ ЖЕ СКОРОСТЬЮ, КАК И БРАУЗЕР БЕРЕТ ДАННЫЕ НАПРЯМУЮ С БРАУЗЕРА В МОМЕНТ РАСШИФРОВКИ, НО ЕСТЬ ПРОСТЕНЬКИЕ АНТИВИРИ, КОТОРЫЕ ЭТОГО ДЕЛАТЬ ЕЩЕ НЕ УМЕЮТ.


    И очень важно сейчас все кому не лень делают свои "новые" связки в которых старые говеные экспы и очень много народу покупают их думая что они лучше других, но это не так.

    И помните никаких чудес не бывает пробив в 30-40% это в 99% случаях обман.
     
    • Like Like x 3
    • Agree Agree x 1
    Метки:
  2. sheshe

    sheshe

    Регистрация:
    23 ноя 2015
    Сообщения:
    1
    Симпатии:
    0
    спасибо за статью, пишите еще
     

Поделиться этой страницей

Загрузка...