"Связка эксплойтов" или проникновение через браузер

Areot

Platinum
Joined
Jun 11, 2017
Messages
1,908
Reaction score
291
Age
31
Связка эксплойтов
Связка эксплойтов (от англ. exploit pack) - это набор эксплойтов направленный на несколько программ (версий) и/или под разные уязвимости в них. В последних версиях связок производится выбор эксплойта именно под конкретную программу пользователя.

Принцип работы
Трафик направляется на связку эксплоитов. Там происходит анализ каждого нового посетителя. Определяется его браузер, версии установленных плагинов, вероятные уязвимости и затем перенаправление на страницу со специально сформированным кодом. Браузер исполняя код подвергается атаке на переполнение и исполняет Шелл-код. Далее Шелл-код загружает на компьютер жертвы исполняемый файл (вирус/лоадер и т.д.) и запускает его.

Виды связок
  • Приват связки - это связки сплоитов разрабатываемые не для продаж. Обычно имеют "на борту" 0day уязвимости (т.е. уязвимости которые или вообще неизвестны разработчикам ПО или не исправленные разработчиками). За счет использования новых и незакрытых уязвимостей дают высокий процент срабатывания (далее "пробив").
  • Паблик связки делятся на два типа:
  • Платные - это связки которые можно купить. Обычно содержат общедоступный список уязвимостей. Отличаются внешним видом клиентской части (далее "админкой"), некоторой модификацией эксплоитов, криптом (методом сокрытия уязвимости от антивирусных сканеров), и часто шелл-кодом. От общего профессионализма автора зависит какой пробив даст в итоге такая связка.
    • Eleonore
    • Fragus
    • Katrin exploit pack
    • Black hole
    • Yes exploit system
  • Бесплатные - это бывшие платные связки волей случая попавшие для всеобщего скачивания на форумы/сайты, либо изначально открыто разрабатываемые (таких очень мало).
    • Salo exploit pack
    • Kode exploit
Показатели пробива
Зависят от нескольких основных параметров:

  1. Количества и качества эксплоитов
  2. Качества Трафика
Для приватных связок нормальным считается пробив в районе 20-30%. Очень редко слышал о пробиве в 40%.
Для платных паблик связок нормальным считается пробив в районе 10-25%. На хорошем трафике можно наблюдать пробив в 30%. Но это огромная редкость.
Для паблик связок пробив считается нормальным в районе 1-10%.

Крипт
Это понятие содержит в себе модификацию сплоитов и способа их выдачи браузеру таким образом, при котором антивирусы ничего не заподозрят. От крипта зависит дойдет ли браузер до исполняемого кода или же антивирус остановит загрузку страницы на этапе проверки.
Крипт связки обычно делается автором связки. Довольно редко крипт делают сторонние сервисы. Криптуют или всю выдачу целиком или отдельные сплоиты в комплекте. Стоимость крипта варьируется в пределах 40-150$. Делается, в зависимости от необходимости, раз в неделю/месяц. Временной интервал зависит от качества крипта и количества пользователей связки.

Отстук
Практически каждая связка показывает сколько было срабатываний сплоитов. (т.е. пробив)
Но это не значит, что столько же раз сработает ваш исполняемый файл. Для хорошей связки нормальный отстук варьируется в пределах 60-80%. Плохим отстуком считается <55%.
Читаем так же Отстук

Стоимость
Приватные связки по определению не продаются.
Полуприват - это так называемые бывшие приватные связки - стоимость варьируется в пределах 3 000 -10 000 $.
Паблик платные - стоимость варьируется 1000 - 3 000 $.
Паблик - по определению бесплатные.
 
Top