Styx Sploitpack 4.0

[ikar]

Уважаемые пользователи!

Мы проделали достаточно большой объем работы, чтобы объявить о новой версии Styx Sploit Pack 4.0 с суффиксом High Performance.

Доработки по сравнению с версиями 3.0 и 2.0:

Мультисерверная работа: связка может быть расположена на нескольких серверах, все обновления идут с мастер-сервера;
Полностью переписан на компилируемом языке, что позволило избавиться от РНР чуть более, чем полностью;
Дополнительные фильтры для защиты трафика: блокировка повторных заходов, без рефереров, боты гугля, кравлеры;
Ротатор доменов: позволяет задавать домены либо сабдомены пачками, постепенно ротируя их в зависимости от ситуации; уникальный URL для слива трафика - един, он ведет на текущий домен для слива;
Чекер доменов (позволяет проверять домены на нашем сервисе GhostBusters в автоматическом режиме);
Чекер файлов (позволяет следить за чистотой файлов на нашем сервисе Captain Checker);
Service Desk для оперативной работы с тикетами (с поддержкой работы и нотификаций через Jabber);
Доработан API: полностью все фукнции продублированы в API, что позволяет добавить новый уровень автоматизиции;
Экспорт статистики: простой и удобный - позволяет экспортировать статистику в человеко-читаемом формате, страны, браузеры, общая статистика и т.д.;
Нотификации на Jabber или e-mail о текущей ситуации в системе: детект домена, файла, загрузка файла с нового URL и т.д.;
Собственный плагин-детект: позволяет пробивать только тех, кто пробивается;
Обратная выдача трафика: если по заданным критериям трафик отфильтровался как реджект, он будет слит на указанный вами Back URL, что позволяет не терять трафик;
Черные списки рефереров и юзерагентов с поддержкой масок;
Заливка файла с URL: теперь есть три варианта работы с файлами: загрузить файл на сервер, указать URL для периодической загрузки файла или вовсе грузить файл напрямую с указанного URL, минуя загрузки на сервер связки;
Система весов для АВ, которая позволяет гибко настроить связку под ваш трафик (например, ротировать домен только в том случае, если имеются детекты Kaspersky и Spamhouse, в других случях - не ротировать);
Возможность установить продукт на VPS с минимальной конфигурацией;
Новые и актуальные свежие и чистые сплойты, сердце связки;

Разумеется, как всегда - если у вас есть какая-либо актуальная для вас фича, мы готовы выслушать и реализовать данную возможность для вас.

Русская версия: https://styx-crypt.com/ru/read/styx-pack.xml
Английская версия: https://styx-crypt.com/en/read/styx-pack.xml

ОБЩЕЕ ОПИСАНИЕ ПРОДУКТА

Наша команда около трех лет разрабатывала и тестировала продукт, качество которого не заставит усомниться самых требовательных пользователей, поскольку разработан и протестирован он на наших же продкутах в связке с обфускатором.

Мы провели достаточное время, работая в частном режиме для себя, но теперь и вы можете насладиться всеми преимуществами, которые предоставляет Styx Sploit Pack:

✈ Обновления через GIT с мастер-сервера по детекту любого сплойта;
✈ Отсутствует привязка к доменам: вы можете задавать любое количество доменов без ребилдов;
✈ Отсутствуют ограничения по трафику. Лейте столько трафика, сколько выдержат каналы вашего сервера и его аппаратные мощности;
✈ Скорость. Продукт способен обработать столько соединений, сколько MIPS у вашего процессора.
✈ Работа с сабаккаунтами: привязывайте свои потоки трафика к различным сабаккаунтам, разделяйте файлы, следите за более качественным трафиком;
✈ Гибкая статистика: выборки из NoSQL-хранилища MongoDB по сабаккаунтам, браузерам, странам, ОС, времени;
✈ Два варианта работы: связка на вашем сервере либо на нашем.
✈ Инсталляционный пакет. Ставится на ваши серверы одним скриптом за две минуты.
✈ Динамическая генерация линков выдачи. Каждый линк, на который льется трафик, является уникальным.Таким образом нет возможности детектировать URL сигнатурно. Лишь домен.
✈ Поддержка загрузки файлов с удаленных хостов по времени. Можно загружать файлы для сабаккаунтов удаленно.
✈ Наличие гибкого API для всех типов операций: каждая операция, доступная через административный интерфейс, является командой и продублирована в API;
✈ Проверка IP / Доменов на наличие в блэк-листах через дружественный сервис GhostBusters;
✈ Тихая работа: подобно падающему с дерева цветку сакуры, связка работает тихо;
✈ Ну и конечно же, достойный пробив и обновления, за счет чего обеспечивается качество. Кроме того, мы открыты к замечаниям и предложениям.

Ответы на часто задаваемые вопросы:

Q: Что такое Styx Sploit Pack 2.0?
A: Это современная набор для стресс-тестирования браузеров на уязвимости, написанный нами с нуля и проверенный в боевых условиях на протяжении полутора лет.

Q: Чем это отличается от BH, Sweet Orange, Сакуры?
A: Наш продукт более профессионален тем, что мы сами писали сплойты, нам не нужны ребилды, у нас быстрые очистки, адекватная поддержка, система тикетов, и пакет "All inclusive", в который входит все: поддержка, чистки, настройки и консультации.

У нас нет понятия "ребилд под домен", "сколько стоит одна очистка" и "когда предвидится чистка", "ограничение по трафику". Один раз заплатив фиксированную сумму, вы получаете месяц стабильной работы, которая точно вас устроит.

Q: Что входит, какой набор сплойтов?
A: Java, PDF, Abobe Flash и их деривативы. Фактически это набор, написанный и отлаженный нами с нуля.

Q: Какой пробив, где я могу увидеть статистику?
A: Статистика сильно зависит от трафика. Это значит, что те, кто показывает статистику, обманывают новичков хотя бы тем, что в реальной жизни эта статистика будет в корне отличаться от показанной.

Мы не будем морочить голову статистикой и цифрами, которые вы все равно не увидите, зато скажем, что пробив выше, чем у любой из вышеперечисленных связок от одного до десяти процентов.

Q: Какое гарантированное время поддержки?
A: Поддержка осуществляется в двух режимах: система тикетов и рилтайм (jabber). На протяжении оплаченного месяца вы получите поддержку 24x7.

Q: Что я получу за эти деньги?
A: Вы получите сам продукт, установленный на ваш сервер, настройку его для работы с TDS, консультации и очистки (поддержку) на протяжении месяца. Нет необходимости "ребилда под домен", потому что наш продукт отлично работает без ребилда, нужно лишь прописать пути в настройках. Гарантированное время очистки - два часа с момента алерта. Таким образом, вы получите максимальную степень свободы: не нужно ждать кого-либо, чтобы сделать ребилд, продукт работает с любыми вашими доменами, а требования к серверу достаточно низки.

Этих аргументов достаточно, чтобы целиком и полностью оправдать стоимость продукта для частных пользователей.

Q: Сколько стоит продукт?
A: Ценовую политику за нас определила компания Trend Micro:
http://www.trendmicro.com/cloud-content/us...rground-101.pdf - страница 22, первый пункт - Styx Sploit Pack. Мы не будем им противоречить, заметим лишь то, что данный ценник является финальным: у нас нет привязки к доменам, ограничения по трафику и мы обеспечиваем отличный результат и отстук. Ценник включает поддержку на протяжении месяца.
Если угодно - тест платный. Цените наше и ваше время. Два часа тестиорвания а нашем сервере обойдутся в $100.

Q: Продаете ли исходники пака?
A: Нет.

Q: Каковы требования к аппаратной части (серверу?)
A: Крайне минимальны и равны требованиям любого низконагруженного сервера. Нам достаточно 1Гб памяти, канала в 100МБит и одного ядра для комфортной работы. На север должна быть установлена соответствующая ОС. Мы не поддерживаем Windows и *BSD.

Q: Домены? Как следить за палевностью доменов?
A: Рекомендуем воспользоваться сервисом Ghost Busters и написать простейший скрипт и повесить его на крон с периодичностью в полчаса.

Q: TDS? С какими TDS работает связка?
A: С любыми адекватными TDS. Мы рекомендуем использовать Сутру.

Q: Сжаты ли сплойты?
A: Комплект сплойтов шифрован и обфусцирован от АВ.

Q: Падают ли браузеры?
A: Вероятность падения крайне низка и ей можно пренебречь (лишь в частных случаях на остальных ОС с отдельными версиями браузеров были замечены падения).

Q: Бьет ли Хром?
A: Нет.

Q: Предосталяется ли тест?
A: Да.

Q: Какие требования для того, чтобы мне предоставили тест?
A: С вас — ЕХЕ и домен.

Q: Что я получу на выходе теста?
A: Мы дадим вам полный URL (с домена), куда необходимо лить трафик. Двух часов вполне достаточно, чтобы увидеть пробив. Грузиться будет ваш ЕХЕ, вы сможете проверить отстуки. Понятно, что % пробива зависит от качества трафика, поэтому претензии не принимаются. У вас будет доступ к статистике, доступной по Magic URL.

Q: На чем написан сплойт-пак?
A: Его пользовательская часть написана на скомпилированном в бинарную форму, нативную для ОС (native generic C), а вот на чем написана чистка, генерация, сам код сплоитов — абсолютно неважно для конечного потребителя.

Q: Какую БД вы используете для статистики?
A: Последнюю версию Redis.

Q: Все-таки каков пробив?
A: Вы сами можете увидеть, каков он, заказав тест на своем трафике. Мы не будем обманывать вас, указывая цифры в «35%» и / или «ровно на 2% выше, чем у блэкхола». Те, кто хоть раз пробовал сравнивать связки, знает, насколько это неблагодарное занятие: необходимо иметь идеально одинаковый трафик, серверы должны работать абсолютно идентично для двух сравниваемых связок и прочие параметры. На самом деле качество можно оценить одним реальным показателем: полить трафик в тестовом режиме; разумеется, это зависит от трафика и его чистоты. Бывает от 7% на плохом трафике, до 35% на хорошем.

Q: Чем вы тогда лучше? За что я плачу деньги?
A: Во-первых, пробивом. Во-вторых гибкой интегрируемой системой, которая легко вписывается в более сложную инфраструктуру: продукт является масштабируемым и интегрируемым, что уже неоднократно пригодилось некоторым ПП. Такая гибкость позволяет на одном сервере обрабатывать большее количество клиентов, чем тот же БХ за счет уменьшенного размера файлов и отсутствия шифров PHP-части. В-третьих, обновления, чистки и поддержка, которые уже включены в стоимость. Нет необходимости платить за «смену домена» и «чистку». Мы просто обновим пак на сервере. В-четвертых, новые сплойты всегда входят в эту связку первыми (после прохождения тестирования на всех ОС, браузерах и SP). Мы не ищем паблик-сплойты, мы исследуем сами и, в некоторых случаях, покупаем технологии. В общем - Perpetuum Mobile, хотя в нашем случае это Perfectum Mobile.

Q: Можно ли посмотреть скриншоты?
A: Разумеется. Они будут выданы вам по запросу.

Контакты:
Jabber: support@styx-crypt.com
e-mail: support@styx-crypt.com

Система тикетов: http://helpdesk.styx-crypt.com
Информация: https://styx-crypt.com/

 

[Ar3s]

[mod][Ar3s:] Проверка пройдена!
Указанные услуги предоставляются.[/mod]

 

[Nuc_support]

Q: Сколько стоит продукт?
A: Ценовую политику за нас определила компания Trend Micro

Ребят без обид и конкуренции, но когда АВ компания выставляет цены на продукт, если смысл задуматься, если кого то закроют... хотя не будем о плохом.

 

[ikar]

вы, видимо, не поняли юмора. можете посмотреть в том же документе ценник на другие продукты. для того, чтобы получить там ваш ценник, нужно, чтобы аналитики просто прошлись по форумам =)

 

[Aels]

Дополнительные фильтры для защиты трафика: блокировка повторных заходов, без рефереров, боты гугля, кравлеры;

ребят. Попытку доступа без ифрейма проверять надо хотя бы так:
if(self==top) { ... }
но никак не по рефереру. Более того, все что будет приходить к вам с https-доменов, будет без рефа. Таким образом, ставка на "профессиональность" пака проваливается с треском. Ибо для работы с хотя бы с букерсами и кази уже не годится. Придется вешать свою прокладку между. 2013 год же =\

Версию явы в ие как определяете, если не секрет? перебором активиксов?

 

[ikar]

ребят. Попытку доступа без ифрейма проверять надо хотя бы так:
if(self==top) { ... }
но никак не по рефереру. Более того, все что будет приходить к вам с https-доменов, будет без рефа.

а где именно указано, каким образом выполняется данная проверка?

Таким образом, ставка на "профессиональность" пака проваливается с треском.

можно узнать детали? каким образом ставка, заявленная автором комментария, проваливается?

Ибо для работы с хотя бы с букерсами и кази уже не годится. Придется вешать свою прокладку между. 2013 год же =\

быть может, какую-либо проблему при работе с казино и сливом трафика с оных на текущий момент и представляют проблемы установки айфреймов на http в сессиях https. бук-ры, и иже с ними, равно как и те люди, которые сливают трафик с казино на банковский трой не пользуются «PACK#0» и иными паблик-паками; более благоразумные господа заказывают декларативно отдельный релиз с максимально отличительными сигнатурами от других, дабы быть увереными, что в сливе трафика будет нулевой детект, нес па?

 

[Left4Dead]

это что ж надо пролистать 29 страниц трендмикровского бреда, чтобы узнать цену? )

 

[ikar]

да можно и не листать, но всё равно там интересно и забавно. =) $3K / месяц, без ограничений.

 

[el-]

ваше http://malforsec.blogspot.no/2013/04/styx-...s-building.html ?

 

[ikar]

наше.

 

[el-]

ну тогда тоска печаль, что сказать ):

мб связка у вас масштабируется, отлично управляется через разные интерфейсы и все остальные рюшечки тоже классно работаю, это проверить возможности нету, да и зачем это же не главное.

а вот имея линк на связку удалось погонять ротатор и вообще посмотреть выдачу. а там все плохо: самое простое, нету никаких ограничений на траф, проверок на уникальность, никак не проверяется юзер агент хоть msie12, нету никаких защит, ява отдается по любому юзерагенту да и линк на нее ( на первую по крайне мере ) доступен сразу. никаких задержек по времени или еще чего то, что бы усложнило анализ, зашел и слил всю связку сразу, очень удобно

слив сплоиты, видно, что есть два ява эксплоита 2012-1723(мб вместе с 2013-0431) и 2013-1493 ну с явой особо нечего разбираться, в ней по сути не может быть чего нить интересного ... она не зависит от платформы, её особо то и не надо тестировать работает и работает. обфускатор хороший, сами писали ?

eot экс ms11-087 это наверное то что относиться к "в некоторых случаях, покупаем технологии", потому как вряд ли делали его сами, его крипт вы не предоставляете. кстати как он, мне всегда интересно есть ли еще толк от этого сплоита ?

и еще если это проверка на х64

if(wcVLmuRm.indexOf("wow64")<0 && wcVLmuRm.indexOf("msie")>=0){

тут вы учли что ишак может быть х86 запущен под х64 систему, а если ишак тоже будет х64 ?

еще есть пару пдф эксплоитов, если сборка старья типа util.printf имхо не нужна, я её не смотрел, либтифф же вы полностью одолжили у другой связки, включая egg-hunt шелкод. кстати этот либтифф скорее всего не будет работать под 8 ветку, т.к. у вас в нем по ходу ошибка.

шелкод который юзается для либтиф совсем не учитывает наличие протектед мода у ишака, стоило бы немного по упрашивать юзера. по сути либтиф работает только на хп.

флешь эксплоита нету, в линке выше его тоже не нашли.

в итоге получается, что сплоиты вы с нуля не писали, не отлаживали их и видимо не очень хорошо тестировали, в паке можно сказать отсутствует ротатор, а весь профессионализм был направлен на админку и её интерфейсы ):

 

[Apocalypse]

сплоиты вы с нуля не писали, не отлаживали их и видимо не очень хорошо тестировали, в паке можно сказать отсутствует ротатор

Кто бы сомневался

 

[grob3]

а вот имея линк на связку удалось погонять ротатор и вообще посмотреть выдачу. а там все плохо: самое простое, нету никаких ограничений на траф, проверок на уникальность, никак не проверяется юзер агент хоть msie12, нету никаких защит, ява отдается по любому юзерагенту да и линк на нее ( на первую по крайне мере ) доступен сразу. никаких задержек по времени или еще чего то, что бы усложнило анализ, зашел и слил всю связку сразу, очень удобно

это все настраивается в админке, правда через жопу)

 

[GrandSoft]

Связка да связка. Ориентированная на свою нишу.
Лучше бх , это плюс.
В трекерах так часто не висит, это большой плюс.
Людям нравится пробив.
Не нравится то, что не очень чисто.
А не чисто оно, как уже писал выше el- , потому что :

а вот имея линк на связку удалось погонять ротатор и вообще посмотреть выдачу. а там все плохо: самое простое, нету никаких ограничений на траф, проверок на уникальность, никак не проверяется юзер агент хоть msie12, нету никаких защит, ява отдается по любому юзерагенту да и линк на нее

А вообще el- палит много что хорошего, о чем я бы промолчал

 

[ikar]

ну тогда тоска печаль, что сказать ):

отчего? там же, по ссылке, лежит анализ иных паков. =)

а вот имея линк на связку удалось погонять ротатор и вообще посмотреть выдачу. а там все плохо: самое простое, нету никаких ограничений на траф, проверок на уникальность, никак не проверяется юзер агент хоть msie12, нету никаких защит, ява отдается по любому юзерагенту да и линк на нее ( на первую по крайне мере ) доступен сразу. никаких задержек по времени или еще чего то, что бы усложнило анализ, зашел и слил всю связку сразу, очень удобно

возможно, вы неверно поняли работу того, что вы назвали ротатором. в данном аккаунте были выключены все правила фильтрации пользователем, отсюда и ваша «тоска печаль» — каждый пользователь системы вправе решить, нужны ли ему фильтры юзерагентов, рефереров, айпи, браузеров, кравлеров и прочего. если вы зайдете на любой URL с включенной фильтрацией — вам не удастся так просто получить искомое.

для проверки работы фильтров добро пожаловать в РМ.

слив сплоиты, видно, что есть два ява эксплоита 2012-1723(мб вместе с 2013-0431) и 2013-1493 ну с явой особо нечего разбираться, в ней по сути не может быть чего нить интересного ... она не зависит от платформы, её особо то и не надо тестировать работает и работает. обфускатор хороший, сами писали ?

обфускатор — разумеется.

еot экс ms11-087 это наверное то что относиться к "в некоторых случаях, покупаем технологии", потому как вряд ли делали его сами, его крипт вы не предоставляете. кстати как он, мне всегда интересно есть ли еще толк от этого сплоита ?

ЕОТ достаточно легко чистится, не так часто палится, работает на уровне системы и на некотором трафике дает % Hit вполне на уровне с libtiff. к тому же он представляет собой очень красивый сплойт =)

откуда информация о «крипт вы не предоставляете?»

тут вы учли что ишак может быть х86 запущен под х64 систему, а если ишак тоже будет х64 ?

поправили, здесь спасибо.

еще есть пару пдф эксплоитов, если сборка старья типа util.printf имхо не нужна, я её не смотрел, либтифф же вы полностью одолжили у другой связки, включая egg-hunt шелкод. кстати этот либтифф скорее всего не будет работать под 8 ветку, т.к. у вас в нем по ходу ошибка.

шелкод который юзается для либтиф совсем не учитывает наличие протектед мода у ишака, стоило бы немного по упрашивать юзера. по сути либтиф работает только на хп.

libtiff работает везде: и на 7 и на XP, откуда взялись данные о его неработоспособности на данных системах? кроме того, ЕМНИП, на предмет libtiff - крайне архаичная история: в давности была какая-то доступная кругу лиц версия, которая нестабильно работала; затем был приобретен сборщик — это вовсе не связка, а именно сборщик libtiff, опять же, ЕМНИП.

еще есть пару пдф эксплоитов, если сборка старья типа util.printf имхо не нужна, я её не смотрел, либтифф же вы полностью одолжили у другой связки, включая egg-hunt шелкод. кстати этот либтифф скорее всего не будет работать под 8 ветку, т.к. у вас в нем по ходу ошибка.

касаемо util.printf — сейчас уже практически все PDF, за исключением libtiff дают слишком низкий прирост КПД, что позволяет думать о том, чтобы его целиком и полностью элиминировать (либо заменить на новый). то, что сейчас util.printf остался - это легаси-код, ибо данный сплойт без переработок много лет используется.

флешь эксплоита нету, в линке выше его тоже не нашли.

мы сочли это атавизмом и в данной версии решили, что «скрипач не нужен». в данной редакции они были деактивированы (что не мешает включить их снова же), из-за того, что % Hit их на данный момент позволил сделать их опциональными, ибо возни с ними много, плюс отдавались они опосля всех, поэтому данный фактор повлиял на то, что КПД их был мал. а что, разве KIS + KSN перестали детектировать любые Flash в iframe?

Добавлено в [time]1365510528[/time]

это все настраивается в админке, правда через жопу)

а что именно «через жопу?» можно конкретику?

 

[ikar]

Небольшое обновление:

✈ Фильтрация по юзерагентам ботов, кравлеров и прочих составляет 280 в списке (список обновляется раз в неделю) - доступно в разделе Settings -> Global Settings;
✈ Фильтрация по IP ханипотов, серверов Google, Yandex, KSN составляет более 15000 IP-адресов на текущий момент (обновляется раз в неделю) - доступно в разделе Settings -> Global Settings.

Примеры UA ботов:

spider
crawl
curl
Ahoy
ATN_Worldwide
Googlebot
Golem
Ask Jeeves/Teoma
jumpstation
Lycos

Примеры IP ханипотов, кравлеров, ботов поисковых систем:

            '46.229.160.226',
            '46.229.168.50',
            '66.249.65.1',
            '66.249.65.10',
            '66.249.65.100',
            '157.55.35.100',
            '157.55.35.105',
            '23.20.231.181',
            '50.17.151.94',
            '173.192.79.101',
            '67.195.110.169',
            '174.129.126.38',
            '141.65.161.70',
            '174.143.147.49',
            '74.81.199.25',

 

[pwd]

How to buy it?

 

[ikar]

You can simply contact support via jabber specified above: support@styx-crypt.com.

 

[pwd]

contacted these people never no response

 

[ikar]

2pwd: support is available every day from 11 AM till 20 PM MCK.

Обновление:

Разработан, оттестирован и внедрен новый сплойт, снимаем сливки с возросшего пробива!