Сплоітов для браузерів, завантаження, трафф і т. д.

8
Стаття буде складатися з частин:
1. Для кого написана ця стаття.
2. Що таке сплоітов.
3. Що таке зв’язки сплоітов.
4. Що таке статтею (статистика)
5. Що таке пробивши.
6. Що таке трафф (трафік) і куди його женуть.

Почнемо…

1) Для кого написана ця стаття.
Ця стаття орієнтована більшою мірою на новачків. На її написання мене підштовхнув той факт, що у багатьох виникають помилки в цій області.
Наприклад не раз чув як новачок в цій справі асоціював поняття трафф з інтернет трафіком і вважав його в мегабайтах. =)
Сам я не володію великим обсягом знань у цій області. Так що бувалих прошу не судити строго. Це написано не для вас.

2) Що таке сплоітов.
Сплоітов це програми, частіше скрипти, які експлуатують (від цього слова і назва сплоіт, експлоїт) уразливості в якійсь програмі.
Ми чинності тематики статті будемо розглядати сплоітов спрямовані на эксплуотацию уразливості в браузерах.
Візьмемо в якості прикладу ще недавно актуальний сплоіт під IE заснований на уразливості в ActiveX, MS06-057.
Процитуємо securitylab.ru:

Цілочисельне переповнення буфера виявлено в методі «setSlice()» ActiveX компоненті «WebViewFolderIcon».
Віддалений користувач може за допомогою спеціально сформованої Web сторінки або email
повідомлення викликати пошкодження пам’яті і виконати довільний код на цільовій системі.
Ключовий момент тут це «виконати довільний код на цільовій системі». Тобто якщо людина яка користується уразливим
браузером потрапить на сторінку в яку вбудовано цей сплоіт то на його системі виконатися код.

Зазвичай з допомогою сплоітов виконують код який виконує операцію завантаження будь-якого exe користувачеві і його запуск.
Наприклад якийсь троян.

Сплоітов зазвичай розміщують на хостингу. І на них женуть трафф (про траффе ми поговоримо у 6-ій частині нашої статті)

3) Що таке зв’язки сплоітов.
Зв’язки сплоітов це спеціальні скрипти (чаші на PHP) які об’єднують кілька сплоітов. Використовувати зв’язки набагато більш ефективніше ніж використовувати окремі сплоітов.
Чому це ефективніше я поясню на простому прикладі.
Використовувати сплоіт це як постріл з автомата. А використання зв’язки це як черги з декількох автоматів.
Що ефективніше судіть самі =)

Давайте умовно поділимо зв’язки на «інтелектуальні» і на «неінтелектуальні».

Розглянемо «неінтелектуальні» зв’язки сплоітов.
Неінтелектуальна зв’язка сплоітов просто завантажує всі сплоітов які є в зв’язці.
І робить це одночасно не залежно від браузера. Звідси випливає що це не дуже ефективне рішення т. к.
деякі сплоітов з зв’язки можуть тільки нашкодити. Наприклад впустити браузер або просто перешкодити іншій виконатися.
Такі зв’язки зазвичай коштують дешевше ніж «інтелектуальні»

Тепер розглянемо так звані «інтелектуальні» зв’язки.
Зв’язки такого типу зазвичай працюють більш «гуманно». При заході людини на сайт зв’язка визначає версію браузера, ОС і т. д. та після визначення завантажує відповідний сплоіт. Якщо ж у даній зв’язки немає сплоита під ОС і браузер користувача. То зв’язка не занурить нічого.

Як правило сплоітов у зв’язках шифруються і розробники зв’язок намагаються зробити так що б можна було побачити вихідний код сплоітов.
Перше робиться для того що-б сплоіт не спалив і не заблокував антивірус (так сплоітов теж палитися). Друге робиться для того що б користувач не дізнався що на сайті сплоіт.

Також абсолютно у всіх зв’язках є так звана статтею або статистика. Про неї я розповім вам в наступній частині цієї статті.

4) Що таке статтею (статистика)
Статистика або як її частіше називають статтею, це механізм підрахунку.
Статтею як я вже вище писав входить в «комплект» до будь зв’язці сплоітов.
Так от що ж вони вважає…
Статтею підраховує загальну кількість людей зайшли на сторінку з сплоитами, версії ОС, їх браузери (наприклад скільки народу із загальної кількості використовувало браузер IE) та інше. Все залежить від наворочености статті. Також практично всі статті підраховують пробивши (про нього читаємо далі).
Ну от я думаю тут все зрозуміло…

5) Що таке пробивши.
Пробивши це кількість (у відсотках) заражених машин.
Тобто. Наприклад на сторінку з сплоитами зайшло 1000 чоловік з них заразилося 200.
Звідси випливає (200/1000)*100=20. Тобто пробивши даних сплоітов ~20%
Пробивши у актуальних зв’язок приблизно від 7 до 30 %.

6) Що таке трафф.
Ну ось нарешті ми дісталися до такої речі як трафф. До речі цієї теми стосується і найбільша кількість помилок=)
Вообщем тут пояснюю на прикладі:
Є хост з сплоитами (зв’язкою) наприклад supermegasploit.pnh.edu.
Так от кожен відвідувач зайшов на цей сайт є одиницею траффа.
Тобто 1К траффа це одна тисяча відвідувачів волею або неволею зайшли на сайт зі сплоитами.

Я думаю що наступний ваше запитання:»Звідки він береться? Звідки перебувати таку кількість відвідувачів» Так ось тут все відносно просто.
Наприклад зламуємо або купуємо FTP доступ до якого-небудь популярного сайту назвемо його popsite.com.
Потім вставляємо в головну сторінку такий код
(сподіваюся на те, що ви дружите з HTML =) )

звідси зрозуміло, що разом з сайтом popsite.com в який ми вставили цей код будуть завантажуватися наші сплоітов, але це не буде видно користувачам. І що ми отримуємо в підсумку всі люди відвідали popsite.com відвідали supermegasploit.pnh.edu
самі про це не здогадуючись. Тобто ми отримали заповітний трафф.

Ще можна отримати трафф з допомогою дорвеїв (доров), але розповідь про них виходить за рамки цієї статті.

FAQ
Q: Навіщо взагалі потрібні завантаження?
A: Уяви у тебе є пінч. І ти його можеш завантажити на кілька До машин, майже не напружуючись.

Q: Ось ти описав що таке трафф, а що таке наприклад 1К завантажень?
A: 1К завантажень це одна тисяча заражених з допомогою сплоітов машин.

Q: А скільки треба траффа що б зробити 1К завантажень?
A: Ну це безпосередньо залежить від пробива. Чим вище пробивши тим меньшу потрібно траффа.

Q: Що таке адалт-трафф?
A: Це трафф з порно-ресурсів

Q: Чому бізнес трафф дорожче адалта?
A: Якщо ви будете вантажити троя людям, які мають гроші. Я думаю ви отримаєте більш високу віддачу ніж з порнушников.

Q: Що потрібно створити свій сервіс завантажень?
A: Пояснюю по простому: Сплоітов+трафф+хост.

Q: Що таке абузо-стійкі хост?
A: Це хост на якому можна розміщувати будь-що (майже).

Q: Навіщо під сплоітов абузоустойчивый хост?
A: А ви думаєте це законно?

Сам не знаю в даній темі,але мені було цікаво прочитати цю статейку,от і вирішив викласти сюди Сплоітов для браузерів, завантаження, трафф і т. д.