Развитие связок

[Ar3s]

Итак товарищи!
Хром большинством был выброшен из трафа.
Сейчас последовала, судя по всему, очередь фаерфокса. Многие в курсе, что сегодня утром FF предложил автоматом отключить JAVA как небезопасное дополнение.
Итого у нас осталась опера и эксплорер. Ну и сафари которым почти никто не пользуется.
Хотелось бы услышать ваше мнение о дальнейшем развитии связок и путей распространения малвари.

p.s. XLT - если java не включат - это будет для тебя огромный удар. Сочувствую.

 

[паук]

Все вернутся к VX кодингу. Заражение будет продлжаться через "скачать кракми" "скачать книгу" .... А отттуда через механизмы заражения PE попадать в другие компьютеры. Больше внимания уделят торент сетям. и всем сервисам где польователь сам скачивает и запускает файл.
Появится больше "багокопателей" в бинарях на предмет Remote Vulnerability.
Все что сейчас было "говнолоадами" подоражает в разы. Увеличится колличество фейков, типа обновления браузера и "ваш компьютер заражен" etc
Уменьшится количество школьников, досящих за то что их обозвали школьниками.

В целом же ситуация не изменится!


(п.с. Интереснейшая тема. К этому все идет)

 

[Ar3s]

паук ты прав. Но только не нравится мне все это. Рынок на самом деле только-только получил стабильность. Лажовую, но все же.
Кидал стало много, говносервисов тоже, но наконец-то мы к этому привыкли. Стали жеще проверять и чаще гарантами пользоваться. Херовая, но стабильность и понятность.
Насчет распространения - кто-нить сканил компы на открытые шары?
Или может напомнить про взлом серверов и подмену реального софта на джойненный.
Интересно, что большинство посетителей конфы отнеслись к этому абсолютно спокойно. Одни сказали "Банки юзают яву. Сапп и FF задолбут и они все вернут как было". Другие понадеялись что обрезаны только бажные версии, и, не факт, что это продолжится. т.е. новые баги под новые версии не будут так же лочиться. Я там про флэш вспоминал. Кто-то нарыл способы использования хрома. В общем кто куда. А в целом - всем стало пофигу. Конверт на фейках и прочей дряни становится не менее выгодным чем лоады. Большинство считает что не пропадем. Вот на этом оптимистическом шаге пожалуй остановлюсь.

 

[Left4Dead]

Торренты, download-трафик, красивые фейки по обновлению браузера с использованием JQuery

 

[greenzy]

если ситуация со связкам ухудшится, то дико подорожают эксплойты
или будет обширная эпидимия нового червя

 

[Ar3s]

А способы распространения червя? Рэмут сплоитов в паблике нет на винды. Соответственно - это опять рассылка по маил-агентам, аськам, вконтакте приглашений посмотреть супер приватную фотку. Убого.

 

[Aels]

Думал кто-то напишет раньше...
Что нужно от типичного зверька, кроме проксей?
- Формграббер, инжект в браузер, ддос.

Что умеет аддон для браузера? все это.
А еще он:
1) имеет дружественный интерфейс инсталла в 2 клика
2) е*ет UAС, все фаерволы, все ав.
3) не требует сплойта, инсталится как кодек, но намного "мягче"
4) грузится прямо из маркета, хранится там же.
5) отлично криптуется, ибо жс. Это реально ДЕШЕГО.
6) прост в написании. Минимальный порог вхождения
7) Неприметен в браузере для простого юзера (назови его flash player update)
8) Автоматический его автоапдейт самим браузером
9) почти решена проблема с хромом.
10) придумайте сами

Я не понимаю почему все уцепились за бинарники. Все идет к тому, что с каждым витком малварь залезает на левел выше. Теперь вот единственное место, где она спокойно живет - аддоны.
И китайцы, и мы, уже давно этим пользуемся.
вливайтесь же) время пришло.

 

[xaf0n]

И выпиливается такое чудо в столько же кликов, в сколько устанавливается. А значит АВ со временем буду контролить установку плагинов в браузер.

 

[shinshil]

Оно будет так же палиться как и бинарники. И самое главное каким образом юзеры будут это инсталлить? Откуда? Как обеспечить хотя бы где то че то рядом загрузов что можно грузить со связки

 

[porky365]

Да мы писали такое чудо, только его в extensionah и pluginov не было видно. То что оно обходит фаеры, это фуфло полное. Только на уровне броузера. Коннест все равно оутпост палит. Это не тот процесс. Плюс экстеншион видно. Есть методы похожие но обеспечивают полную невидимость.

 

[Aels]

porky365
я не знаю как вы шлете, но по-хорошему нужно в dom документа добавлять свой внешний рисунок\скрипт\лист стилей и уже на него цеплять все данные. Тогда проходит без задоринки.
В списке аддонов видно, спору нет. Но какой средний юзер туда смотрит?

То что оно обходит фаеры, это фуфло полное. Только на уровне броузера

ну ээ.... как бы оно нам и надо. Слать все браузером. Потому фаер и молчит.

 

[GrandSoft]

2 Aels. По аддонам интересное направление, но на сколько я понимаю оно нас ограничивает маркетом? Точнее что я хочу сказать: что это не то что можно использовать для ифрейм траффа, поправь меня если я ошибаюсь, хотелось бы знать подробнее по этому вопросу.
В целом же по направлению ифрейм трафа, в первую очередь всем (селлерам), давно уже пора задумать о таком методе отнимании траффа как ифрейм. АВ при виде нулевого фрейма лишний раз напрягают эврестики, что не есть хорошо, да и всякие адблоки помойму могут блочить фреймы. Фреймы имхо уже неактуальны.
Чем плох прогруз связки хотя бы с помощью вставки <script src="http://sploit"> ?
Я думаю это адекватная замена ифрейму.
Ну по ФФ зря все напряглись. Они блокнули яву, но блокнули только до версии 1.6.30. т.е. 31 версия работает. (тоже самое было с JDT) так что, это не постоянная тенденция по блоку явы, а лишь их "разовое" решение проблемы.
Я думаю все понимают чем обусловлено их столь резкое решение блокнуть старые версии, будем надеятся, что это будет уроком для всех нас.
По поводу флеша. Флеш уже теперь в песочнице.

 

[Aels]

GrandSoft
ну как сказать ограничено...
Если грузить не из маркера (вернее не с хоста из списка доверенных), то будет лишнее окошко "вы уверены что доверяете источнику" или что-то подобное. (и в нем кнопка "нет" выделена по-умолчанию, тоесть конверт падает)

В опере с этим все просто. Там приложение просто лежит как файл, и отлично качается по статичной ссылке.
В фоксе аналогично, но с подковыркой.
В хроме ни*дец - пост-запрос с защитой от csrf. С ним сейчас волохаюсь.
+ в хроме сильно урезали права аддона с последним апдейтом (но это уже обошли, ныне полупаблик)

Резюмируя - подргужать из фрейма их можно. Хром и тут впереди планеты всей по безопасности.

Почему все используют фреймы - потому что поставщики трафа и связочники - разные люди.
В текущем своем виде, связки не разборны.

Ну а те, кто сам себе и связка и трафф - те давно просто суют апплет под проверку, прямо на страницу сайта.

П.С. из 3.2к заинсталенных оперных аддонов, за месяц умерло 28шт. За месяц. Без единого апдейта.

 

[Nightmarе]

delete

 

[DeusEx]

П.С. из 3.2к заинсталенных оперных аддонов, за месяц умерло 28шт. За месяц. Без единого апдейта.

как вы определяли умер аддон или жив ?

 

[паук]

Стучит - жив, Перестал - мертв. Че тут думать то

Как говорил мой преподаватель по ПТЦА: "Это же очевидно"

 

[DeusEx]

тоесть целый месяц все аддоны отстукивали ежедневно ?

 

[Aels]

DeusEx
не, в среднем раз в 3-4 дня. Отстук формальный - грузил с себя картинку, и устаревание у нее в неделю ставил.

кстати.
http://habrahabr.ru/post/142521/

судя по всему, тут у людей "позаимствовали" учетки от гугл-стора. И вообще, мне не понятно, зачем сделали через попу...
У них: "сообщение" - 3 редика, левый сайт, -> смс
Надо: "подтвердите номер телефона" -> смс

Профит был бы в разы выше.

 

[TrueUser]

Все молчат про мобильные девайсы, а их все больше и больше становится...
Всякие говнопланшеты можно купить за копейки, а юзать их в быту проще. Вопрос в профите с них...

 

[Aels]

TrueUser
ну жсм-модуль и возможность слать смс, в реалиях россии, по-моему бесцена)
однако ж, там все вертится на разрешении устанавливать неподписанные приложения.
И если просто хоть краем глаза глянуть на рекламу, которая крутится для ру-юзеров - там 99% - ссылки на малварь под видом "бесплатных игр", скайпа, и прочей лабуды.
я еще ниодного банера _не_ на малварь, со своего девайся не видел. =\
тоесть.... связки там пока не нужны)