Новичку полезно

  • Баннер
  • А знаете ли вы что?

    - по статистике в Интернете около 60% приложений, работающих с различного рода БД, подвержены атакам SQL Injection!


Анализ Эксплойт-паков

Теги: BlackHole, эксплойт, анализ
источник

Всем привет ;) Решил написать статью о тенденции эксплойт-паков. В этой статье я не буду себя вести как малварный аналитик, а скорей всего наоборот, просто у меня появились некоторые идеи, которые могли бы взять на вооружение девелоперы эксплойт-паков.

Greetingzz: BlackHole Kit & Nuclear pack ;)

Предисловие

Прочитав новость на хакере «Антивирусы против топового эксплойт-пака» Я был крайне огорчен, что такой крутой набор экспов как блэкхол потерпел крах и удивлен, как эвристика антивируса срабатывает на подобного рода действия. Поэтому я решил написать статью, дабы хоть как, то помочь девелоперам эксплойт-паков... Вот мои идеи и соображения по этому поводу.

Языки программирования

В большинстве случаев многие связки экспов написаны на PHP, это обусловленно тем, что это сейчас распространенный язык программирования, а в нём не хватает узкоспециализированных библиотек, что к сожаленью очень плохо!!! Смори статью на хакере «Полиморфный эксплой-пак» Но выход есть, предлагаю отказаться от надоедливого PHP и пересеть на Python или Ruby, так как в основу этих языков лежит полиморфизм. Скажем если перенести весь BlackHole c PHP на Python. Актуальность набора сразу возрастет в разы в три. Тем более перенос кода пройдёт гладко, так как эти языки славятся такими качествами как: быстрое прототипирование, быстрая разработка. Так как в питоне и в руби довольно таки достаточно всякого рода библиотек (либ), связанных с ИБ и реверс-инженеринг кодингом, которые в свою очередь открывают новые горизонты и хардкор кодинг: полиморф, метаморм, пермутация и новые методы обфускации кода. Которые помогут справится с детектом пака.

Антивирусы давно не пишутся на одном языке программирования, там целый букет)) Так и должно быть с эксплойт-паками!

Вывод: PHP на помойку — Welcome Python & Ruby + ударный флакон JavaScript кода.

Вкусная начинка

Поговорим теперь о начинке эксплойт-паков, от которой зависит актуальность набора — пробив, инстал, лоад. Как и любой другой эксплойт-пак содержит в себе некоторый набор эксплойтов с помощью которых выполняются сторонние действия — прогруз малвари)) В большинстве эксплойт-паков содержатся доступно публичные эксплойты, это обусловлено, тем что некоторые уязвимости архе-актуальные, т. е. она вроде и старая уязвимость, но заюзать ее еще можно! Ниже приведен список архе-актуальных уязвимостей, которые включены чуть ли не в каждом эксплойт-паке.

• CVE-2006-0003 (Microsoft Data Access Components (MDAC));
• CVE-2006-4704 (WMI Object Broker);

• CVE-2007-5659/2008-0655 (Adobe Reader Collab CollectEmailInfo);

• CVE-2008-2463 (M508-041 MS Access Snapshot Viewer);
• CVE-2008-2992 (Adobe Reader JavaScript Printf Buffer Overflow);
• CVE-2008-4844 (Internet Explorer 7 XML Exploit);
• CVE-2008-5353 (JRECalendar Java Deserialize);

• CVE-2009-0075/0076 (MS09-002-IE7 Memory Corruption);
• CVE-2009-0927 (Adobe Reader Collab GetIcon);
• CVE-2009-1136 (IE OWC Spreadsheet ActiveX control Memory Corruption);
• CVE-2009-3867 (Java GSB);
• CVE-2009-4324 (Adobe Reader doc.media.newPlayer);

• CVE-2010-0188 (Adobe Reader LibTiff);
• CVE-2010-0806 (Internet Explorer DHTML Behaviors Use After Free);
• CVE-2010-0806 (IEPeers Remote Code Execution);
• CVE-2010-0840 (Java OBE);
• CVE-2010-0842 (Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability);
• CVE-2010-0886 (Java Deployment Toolkit Component);
• CVE-2010-1240 (Adobe Reader Embedded EXE Social Engineering);
• CVE-2010-1297 (Adobe Flash Player NewFunction Invalid Pointer Use);
• CVE-2010-1885 (Windows Help and Support Center Protocol Handler Vulnerability);
• CVE-2010-4452 (Java ClassLoader Remote Code Execution);

• CVE-2011-0558 (Adobe Flash Player Integer Overflow);
• CVE-2011-0559 (Adobe Flash Player Memory Corruption);
• CVE-2011-0611 (Adobe Flash Player Embedded .swf file);
• CVE-2011-2462 (Adobe Reader U3D Object Memory Corruption);
• CVE-2011-3521 (Java Update);
• CVE-2011-3544 (Java Rhino Script Engine);

• CVE-2012-0507 (Java Atomic)

Это список далеко не полный и он подпитывается)) Ну с пабликом все понятно, все берется с багтраков вроде http://exploit-db.con или http://1337day.com или же черпается из Metasploit. К чему я клоню? Если подойти к делу с умом и набрать архе-актуальных уязвимостей, то актуальность набора будет колебаться от 9~15% пробива при хорошем ифрайме, что очень даже не плохо.

Что касается 0-day уязвимостей — они сравнимы с кассетными бомбами, токо в место бомбо-метания местности, поражаем целые участки сети интернета. Да это конечно хорошо, когда в арсенале наборе есть парочка нульдей эксплойтов. Но тут, есть одно, НО! Антивирусные аналитики постоянно мониторят разного рода вредоносы и замечают, как новый малварь приобретает новый функционал. Вспомним историю o 0-day уязвимости в Java, которая сразу была включена в набор BlackHole. Как только, аналитики заметили подозрительную активность, они сразу забили тревогу. И предлагали всем отключить на время джаву, дабы обезопасить себя от заражения. Вкоре после чего вышел экстренный патч.

Вывод: 0-day эксплойты повышают пробив, не больше, чем на 7-12 процентов.

Получается, что zero-day эксплойты не очень, так уж и актуальны! Тогда вы спросите, а как тогда быть? Юзать паблик, который детектится? При постоянной обфускации кода? Да , но это еще не все! Предлагая всем девелоперам эксплойт-паков переходить на 1-day эксплойты, которые по настоящему несут в себе колоссальный урон, больше чем zero-day. 1-day сплойт например CVE-2006-0003 (Microsoft Data Access Components (MDAC)) даст больше прогрузов, чем скажем новая 0-day уязвимость в Java.

Вывод: 1-day эксплойт актуальней, чем 0-day. При желании можно организовать
в наборе 3 трека эксплойтов: Publick Track, Zero-Day Track, One-Day Track, в совокупности и при правельной ротации экспов, они дадут извените за выражение ахуенный пробив — финансовый траф картона и другого рода стаф ;)

Экзотическая начинка

Что осталось за кадром? Я забыл упомянуть о хардварных уязвимостях. Их тоже можно включать в наборы, но только в совокупности с хардварными малварями. Естественно тут есть много нюансов и тонкостей. Помимо, того что у нас будет грузится скажем трой, например Win32/TrojanDownloader.Carberp.AH будет еще и грузится хардварный малварь, получается двойной прогруз — двойной стаф!!! Сразу встаёт вопрос как нарыть этих хардварных уязвимостей? Дам маленькую подсказку, фреймворк Metasm с возможностью рекомпиляции открывает такой простор действий, что гуляй прям не хочу xDDD Не стоит искать новые уязвимости, достаточно рекомпилировать всякого рода эрреты от интела или амд, микро-патчи! Опять же получается 1-day эксплойт, но только уже хардварный)) Хеллоу TDL4.
Так же можно взломать и украсть мануалы у интела и амд, которые не доступны простым смертным — Welcome Hardware Malware!

Смотри статью на хакере «Чёрные дыры под Белыми пятными»

Общий вывод: Выход есть всегда, надо лишь оглянутся по сторонам. Надеюсь, что девелоперы эксплойт-паков будут юзать 1-day эксплойты в своих наборах и переедут с пхп на питон или руби ;) Да и если, что-то сказал не так, прошу по голове не бить))))

P.S. Так же в эксплойт-паках можно реализовать ручную эксплуатацию уязвимостей где можно поработать ручками, вроде Metasploit, в каждой связке ведется учет юзеров которые не были пробиты. Вот с этим списком и будем работать, тобишь в админке пака должна присутствовать, веб-консоль для эксплуатации и конпрометации машин – не кто не уйдёт живым! Для особого инсталла))

С уважением rudvs.ru

Добавить комментарий


Обновить