Неспешно, педики из group-ib, обитая где-то на закрытых бордах, нашли тему о продаже одея для пдф, и сразу же решили себя пропиарить:
http://www.group-ib.com/index.php/7-novost...d-in-adobe-x%22
Видео работы, которое они выклянчили у панча (у него ли?)
http://www.youtube.com/watch?v=uGF8VDBkK0M&feature=youtu.be
Что видно на видео:
1) Домен для тестов: http://antarez.com. У него в хуизе указан город Odessa =]
2) Исходный пдф отличается от показанного на видео на 10389 байт.
3) Как все могли заметить, Js в ридере выключен, и автор особо акцентирует на этом внимание.
4) calc запускается не после закрытия ридера, а после выгрузки из него документа.
5) При запуске не через плагин, а непосредственно из акробата, кальк запускается дважды. От акробата, и его окна с документом. Я считаю, что это не из-за "повторного" запуска сплойта, а просто шк дергается дважды.
6) дропается rund11.exe, имя лишь говорит, что его много кто использует.
7) В процессе работы сплойта, нагрузка на проц почти не шевелится.
А теперь что я думаю...
1) Врятли автор заморачивался с криптом демки, поэтому 10кб - это или размер шк, или размер сплойта.
Вопрос к вам: Сколько весит стандартный качай-пускай-шеллкод?
2) Врятли баг - повреждение памяти. Ибо песочница проблем доставит.
3) Мне кажется что:
Баг в неправильной загрузке ресурсов. Например, при попытке дропа на диск, не проверяется наличие \ / , и появляется возможность выйти из temp, и записаться в другое место. Тогда нужно писаться туда, откуда можно будет скорее выполнится. Из туевой хучи мест можно выполнится после ребута (что бесполезно чуть более чем полностью, т.к половина пк не ребутится месяцами), и автор нашел другое место. Это или dll (маловероятно), запускающаяся после выгрузки документа, или акробатовский js, который (насколько мне известно) стартует при запуске акробата с привилегиями юзера (а вот похоже, что не только при запуске), и настройки js для документов на него не распространяются.
Ребят.
Тут многие из вас потрошили спецификации пдф.
Кому-то из вас наверняка попадались упоминания запуска пользовательского js при выгрузке документов.
Так же, давайте перетрем все-все случаи, когда акробат дампит подгружаемые ресурсы на диск, с задаваемым именем (например, при распаковке xdp, включенного в себя).
Возможно, есть смысл перенести тему в закрытый раздел.
п.с. жаба моя мертва пока что.
http://www.group-ib.com/index.php/7-novost...d-in-adobe-x%22
Видео работы, которое они выклянчили у панча (у него ли?)
http://www.youtube.com/watch?v=uGF8VDBkK0M&feature=youtu.be
Что видно на видео:
1) Домен для тестов: http://antarez.com. У него в хуизе указан город Odessa =]
2) Исходный пдф отличается от показанного на видео на 10389 байт.
3) Как все могли заметить, Js в ридере выключен, и автор особо акцентирует на этом внимание.
4) calc запускается не после закрытия ридера, а после выгрузки из него документа.
5) При запуске не через плагин, а непосредственно из акробата, кальк запускается дважды. От акробата, и его окна с документом. Я считаю, что это не из-за "повторного" запуска сплойта, а просто шк дергается дважды.
6) дропается rund11.exe, имя лишь говорит, что его много кто использует.
7) В процессе работы сплойта, нагрузка на проц почти не шевелится.
А теперь что я думаю...
1) Врятли автор заморачивался с криптом демки, поэтому 10кб - это или размер шк, или размер сплойта.
Вопрос к вам: Сколько весит стандартный качай-пускай-шеллкод?
2) Врятли баг - повреждение памяти. Ибо песочница проблем доставит.
3) Мне кажется что:
Баг в неправильной загрузке ресурсов. Например, при попытке дропа на диск, не проверяется наличие \ / , и появляется возможность выйти из temp, и записаться в другое место. Тогда нужно писаться туда, откуда можно будет скорее выполнится. Из туевой хучи мест можно выполнится после ребута (что бесполезно чуть более чем полностью, т.к половина пк не ребутится месяцами), и автор нашел другое место. Это или dll (маловероятно), запускающаяся после выгрузки документа, или акробатовский js, который (насколько мне известно) стартует при запуске акробата с привилегиями юзера (а вот похоже, что не только при запуске), и настройки js для документов на него не распространяются.
Ребят.
Тут многие из вас потрошили спецификации пдф.
Кому-то из вас наверняка попадались упоминания запуска пользовательского js при выгрузке документов.
Так же, давайте перетрем все-все случаи, когда акробат дампит подгружаемые ресурсы на диск, с задаваемым именем (например, при распаковке xdp, включенного в себя).
Возможно, есть смысл перенести тему в закрытый раздел.
п.с. жаба моя мертва пока что.
