# что курят авторы сплоит паков

Тема в разделе "WASM.HEAP", создана пользователем kaspersky, 19 ноя 2010.

  1. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    subj. признавайтесь. а еще лучше отсыпьте. или это не трава? я не знаю. я просто из любопытства спрашиваю. вот тут товарищ порадовал. значит, роняет эта штука четыре pdf, два swf и еще юзает коррупцию памяти в IE. и все они распыляют память. каждый по 512 метров. а IE пускает акробата и swf-плеер в своем адресном пространстве. 4x512M + 2x512 + 512 == too much. вопрос -- а его вообще тестировали? там такие гонки в памяти начинаются...

    но это еще цветочки. php скрипт на сервере дропает сплоиты (причем IE утягивает все сразу) и засекает время. если за ~10 сек (примерно) сервер не увидит GET /xxx/loader.exe, то позднее вместо exe файла он вернет 404, причем даже не 404, а 200 OK и текст "404".

    мыщъх понимает, что все это не трава, это все, чтобы обойти эмуляторы и прочую нечесть, но мне просто интересно на каком железе можно успеть распылить столько памяти менее чем за 10 сек. причем, как раз эмуляторы, игнорирующие распыление, успевают и раскриптовать обфусцированный js и проэмулить шелл-код, добыв ссылку на exe за ~10 ms (это в самом тупом варианте).

    короче все как и во времена MS-DOS. большинство вирусов нежизнеспособны и даже не тестировались...
     
  2. KeSqueer

    KeSqueer Сергей

    Публикаций:
    0
    Регистрация:
    19 июл 2007
    Сообщения:
    1.183
    Адрес:
    Москва
    Очередной флудотопик ниочем. В продложении будут вопросы "а что вы курите в америке" "а что вы курите в макафи" "а говорили же что там курят вот это а теперь другое, как так"
     
  3. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
    ты еще антивирусы не видел! посмотришь на них и просто диву даешься - откуда в специализированных учреждениях закрытого типа столько компьютеров и у каждого пациента доступ в интернет!?!? И, посмотрев на творения, а главное - логику таких пациентов, сразу встает резонный вопрос - а что бы такого покурить, чтобы все это обойти, т.к. обычная человеческая (мужская!!!) логика не работает вообще ни разу.

    ...спросил сотрудник маккофе, антивирус которой, как мне помнится, не раз детектировал системные файлы и убивал систему напрочь после обновления
     
  4. 7mm

    7mm New Member

    Публикаций:
    0
    Регистрация:
    15 дек 2009
    Сообщения:
    442
    Не знаю где вы берёте такую траву и такие антивирусы, но у меня на тестах ни один паблик-сплоит не раскручен.
     
  5. 7mm

    7mm New Member

    Публикаций:
    0
    Регистрация:
    15 дек 2009
    Сообщения:
    442
  6. dZentle_man

    dZentle_man New Member

    Публикаций:
    0
    Регистрация:
    24 авг 2008
    Сообщения:
    414
    Вам уже хватит) А то вы захотите еще и запрыгивать на крышу)


    В смысле порадовал? Написал сплоит или дал посмотреть на народное творчество?


    Таки уже сто раз было сказано, что большие компании состоят из разных подразделений - одни пишут десктопный сканер, другие HIPS. Крис вот например работает над IPS, причем это не единственная разработка такого рода в компании - есть еще команада, разрабатывающая другой IPS.
     
  7. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
    да какая разница. Есть вирусники, есть антивирусники. Если вторые ржут над криворукостью первых, пусть посмотрят сначала в свой огород - их продукты глючнее любого вируса. Про методику детекта вообще молчу. А кто там накосячил, уборщица или ведущий разработчик - совсем не важно. Есть компания и она отвечает за свои поделки. Если поделки кривые, то смеяться над чужим софтом как бы не совсем корректно.

    П.С.: щас кто-нибудь выдвинет гипотезу, что сплоит из первого сообщения написан мной и я за это жутко обиделся :)
     
  8. dZentle_man

    dZentle_man New Member

    Публикаций:
    0
    Регистрация:
    24 авг 2008
    Сообщения:
    414
    Еще раз - есть люди, пишущие кривое поделье. И хоть руки за это оборвать нельзя, показать пальцем можно и даже нужно. Вы в создании этого аццкого мегараспылителя не участвовали? Хорошо, вас лично никто и не гнобит. А вот вы на криса гоните за продукт, к которому он не имеет ни малейшего отношения. Ах он работает в той же компании? А вы сходной деятельностью с вирусописателями не занимаетесь? Я к тому что если занимаетесь, то по вашей логике и вам надо вставить дрын за такие сплоит-паки.
     
  9. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
    ни в коем случае! как ты мог такое подумать!
    ладно, увижу от криса топик "ах какие криворукие эти антивирусники в макафи - такую чушь написали! А тестировали?! Да где вообще их взяли!" - тогда я может и поддержу его точку зрения относительно криворукости сплоитописателей. А пока что я не согласен с его оценкой ситуации. После недавнего пиара маккофе (как пограничник челюсть уронил, услышав про мегокорпорацию) эти выпады в сторону сплоитописателей выглядят ужасно нелепо.
     
  10. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    7mm
    > Не знаю где вы берёте такую траву и такие антивирусы,
    > но у меня на тестах ни один паблик-сплоит не раскручен.
    чем тестировали? если интересно могу дать он-лайн доступ к одному жутко секретному ящику, который это дело тестирует. обещаю в cloud сэмплы не посылать. просто интересно -- раскрутит или нет. пока поддерживаются html, swf, pdf. это энтерпрайз система, которую никаким другим способом пощупать вам не удасться. хотя, понятное дело, что она вам погоды не делает, если вы завязаны на домохозаяках.

    пока палит все -- 100%. ну не 100%... на коллекции из 300 pdf один все-таки не словила. но это она палит в режиме "без эксплуатации уязвимости". в режиме с эксплутацией палится еще больше, т.к. там в частности элементарно отследить дроп экзешника.
     
  11. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    kaspersky
    Вот Вы и затестили походу.исщите в кишках зверя емейл автора и строчите bagreport
     
  12. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    wsd
    > Вот Вы и затестили походу.исщите в кишках зверя емейл автора и строчите bagreport
    та автора уже нашли. майл японский, а сам он русский. вот я и думаю. если он васмовец -- его трогать нельзя.
     
  13. deLight

    deLight New Member

    Публикаций:
    0
    Регистрация:
    26 май 2008
    Сообщения:
    879
    MSoft
    Код (Text):
    1. wasmConnect();
    2. do {
    3.  L0:
    4.   // wasmPost("i am MSoft! i know everything about mlwr!!!");
    5.   // Deprecated, using GetNextPear()
    6.    szPear = GetNextPear();
    7.    wasmPost(szPear); wasmPost("no,no! im not writing mlwr");
    8.  goto L0
    9. } while (++n < n_max_samoPR);
     
  14. asd

    asd New Member

    Публикаций:
    0
    Регистрация:
    12 мар 2005
    Сообщения:
    952
    Адрес:
    Russia
    deLight
    А goto то зачем?
     
  15. deLight

    deLight New Member

    Публикаций:
    0
    Регистрация:
    26 май 2008
    Сообщения:
    879
    asd
    Плохо разбираюсь в Си.
    Замените на for (;;;) и приступайте к компеляции.
     
  16. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    kaspersky
    Крис в этом контексте раскруткой называется детект юза известной уязвимости или Вы действительно можете в чисто автоматном( а не полуавтоматическом) режиме получить конечный исполняемый жс код? Ваш автомат учитывает абсолютно все нюансы ломающии не подготовленные автоматы?
    и можно Ваше мнение о перспективах мультиагентных ботнетов?
     
  17. Booster

    Booster New Member

    Публикаций:
    0
    Регистрация:
    26 ноя 2004
    Сообщения:
    4.860
    Для обнаружения малвари давно никакой антивирь не нужен, если комп тормозит как сволочь, то всё понятно.

    Наверно очередная проба пера школьника, большинство же именно таково.
     
  18. Satsura

    Satsura S4(uR4 __r00tw0rm__

    Публикаций:
    0
    Регистрация:
    22 апр 2010
    Сообщения:
    374
    Адрес:
    Узбекистон, бляать!!11 :D
    >>wasmConnect();
    do {
    L0:
    // wasmPost("i am MSoft! i know everything about mlwr!!!");
    // Deprecated, using GetNextPear()
    szPear = GetNextPear();
    wasmPost(szPear); wasmPost("no,no! im not writing mlwr");
    goto L0
    } while (++n < n_max_samoPR)


    Код (Text):
    1. <?php
    2.  
    3. // ....
    4. // но это еще цветочки. php скрипт на сервере дропает сплоиты (причем IE утягивает все сразу)
    5. // и засекает время. если за ~10 сек (примерно) сервер не увидит GET /xxx/loader.exe, то позднее вместо
    6. // exe файла он вернет 404, причем даже не 404, а 200 OK и текст "404".
    7. // ...
    8.  
    9.  
    10.  
    11. // Все генеальное просто, или ....
    12. echo $r_addr = "Your IP ",$_SERVER['REMOTE_ADDR'], "<br>";
    13.  
    14. // xploit
    15. $xploit = ("xploit/sploit.c");
    16. $sploit_compile = `gcc `, $xploit ,`-o sploit_generator`;
    17.  
    18. //Generator
    19. function sploit_generate()
    20. {
    21.     $lame_ip = $_SERVER['REMOTE_ADDR'];
    22.     $generate = `sploit_generator --generate --atack`, $lame_ip, `--log /var/logs/botnet.log`;    
    23. }
    24.  
    25. //DATE
    26. $pre = date('h:i:s');
    27. sleep(10);
    28. $after = date('h:i:s');
    29.  
    30. //
    31. if ($pre == $after)
    32. {
    33.     return sploit_generate();
    34. }
    35.  
    36. else
    37. {
    38.     echo "<h1>404 Not Found.<h1>"; // Oops    
    39. }
    40.  
    41.  
    42. ?>
    >>мыщъх понимает, что все это не трава, это все, чтобы обойти эмуляторы и прочую нечесть, но мне просто интересно на каком железе можно успеть распылить столько памяти менее чем за 10 сек. причем, как раз эмуляторы, игнорирующие распыление, успевают и раскриптовать обфусцированный js и проэмулить шелл-код, добыв ссылку на exe за ~10 ms (это в самом тупом варианте).
    - эмммм.... это чтото иноплонетное. пойду гляну в телескоп (:

    >>та автора уже нашли. майл японский, а сам он русский. вот я и думаю. если он васмовец -- его трогать нельзя.
    - да уже все на васм лезут. кому не лень конечно (:
     
  19. 7mm

    7mm New Member

    Публикаций:
    0
    Регистрация:
    15 дек 2009
    Сообщения:
    442
    Интересно конечно, но к сожалению не смогу выложить ничего в паблик, ведь мы с вами понимаем, что одного сэмпла бывает достаточно :)

    P.S. Да, рассчитано на домохозяек. Тестировалось на популярных антивирусах (паблик-сплойты 2010 года), все обломались. Но это не значит конечно, что ваша чудо-система не выдаст никаких алертов..
     
  20. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    Да гуан полнейший этот макафи, сигнатурная погонь. Как тока вы клиентов находите не понятно.