Sploit zavodi: Metasploit Framework uchun ekspluatatsiyalarni yozishni o'rganish. Exploits Exploits ma'lumotlar bazasi. Nazariya uchun bir necha soniya

Internet bo'yicha maslahatlar

Buzilishlar qayerdan keladi? Hech o'ylab ko'rganmisiz, qanday qilib xira xabar
bagtraka chindan ham ishlaydigan asosiy kalitga aylanadi? Qanday qilib ikki o'nlab mumkin
kod satrlari masofaviy serverda qobiq olishga muvaffaq bo'ladimi? Bugun biz tashrif buyuramiz
sploit zavod va uning qanday qilinganligini batafsil ko'rib chiqing
sifatli mahsulot.

MSF eXploit Builder dasturini ishga tushiring, "Muharrir" menyusiga o'ting va "Yangi" ni tanlang.
Bir nechta yorliqli oyna paydo bo'ladi (Ma'lumot, Badchars, Tahlil,
Shellcode, Dizayn). "Ma'lumot" yorlig'iga o'ting va juda ko'p qiziqarli narsalarni ko'ring
dalalar. Esingizda bo'lsa, ushbu bo'lim maqsadlarni (OS + SP) va turi/protokolni belgilaydi
ekspluatatsiya (masalan, remote/tcp). Bundan tashqari, dastur bizga beradi
natijada ekspluatatsiyani sinab ko'rish va disk raskadrovka qilish qobiliyati, shuning uchun siz darhol mumkin
bajariladigan faylni tanlang va uni ishga tushirish uchun parametrlarni belgilang (port, ip-manzil).

Shunday qilib, bizning tftpd.exe-ni tanlang, shundan so'ng yordamchi dastur quyidagi amallarni taklif qiladi
tanlash uchun: dasturni ishga tushiring, tuzatuvchi ostida ishga tushiring yoki ishlamang
umuman olganda - faqat dasturni ishga tushiring. E'tibor bering, o'ng tomonda
ilova tomonidan yuklangan DDLlar ro'yxati ko'rsatiladi.

Endi biz sploit kodini ko'rishni boshlaymiz - xayriyatki, bu juda tushunarli.

Ekspluatatsiya, ekspluatatsiya (ekspluatatsiya, ekspluatatsiya) - dasturiy ta'minotdagi zaifliklardan foydalanadigan va kompyuter tizimiga hujum qilish uchun ishlatiladigan dastur, dastur kodining bir qismi yoki ma'lum buyruqlar ketma-ketligi. Hujumning maqsadi tizim ustidan nazoratni qo'lga kiritish yoki uning funksionalligini buzish bo'lishi mumkin.

Ekspluatatsiyalar masofaviy va mahalliyga bo'linadi

  • Masofaviy ekspluatatsiya tarmoq orqali ishlaydi, zaif tizimga oldindan ruxsatsiz xavfsizlik zaifligidan foydalanadi.
  • Mahalliy, aksincha, zaif tomondan ishga tushiriladi va tizimga oldindan kirishni talab qiladi. U asosan superuser huquqlarini olish uchun ishlatiladi.

Hujum turli xil tizim komponentlariga, xoh ular server yoki mijoz ilovalari yoki OS modullariga qaratilgan bo'lishi mumkin. Server tomonidagi zaiflikdan foydalanish uchun ekspluatatsiya faqat zararli kodni o'z ichiga olgan serverga so'rovni yaratishi va yuborishi kerak. Mijoz zaifligidan foydalanganda vaziyat yanada murakkablashadi. Bu foydalanuvchini soxta serverga ulanishga ishontirishni talab qiladi. Misol: agar mijoz brauzer bo'lsa, bu ulanish to'g'ridan-to'g'ri havolaning o'zi bo'ladi.

Ekspluatatsiya turlari

  • OS ekspluatatsiyalari
  • Amaliy dasturlar uchun ekspluatatsiyalar (media pleerlar, ofis dasturlari)
  • Brauzerlar uchun ekspluatatsiyalar
  • Veb-mahsulotlar uchun ekspluatatsiyalar (WordPress, phpBB, VBulletin)
  • Veb-sayt ekspluatatsiyalari
  • Boshqa ekspluatatsiyalar.

Ekspluatatsiya nima ekanligini tushunmaydiganlar uchun ma'lumot.
Ekspluatatsiya nima?
"Rasmiy" ta'rifni kompyuter ensiklopediyalarida o'qish mumkin. Menga bu yoqadi: "Maqsadga qarab, dastur tomonidan boshqariladigan har qanday narsa uchun dasturiy ta'minotdagi mavjud zaiflikdan foydalanishga imkon beruvchi dastur, kod qismi yoki skript." Qaysidir ma'noda, smartfonga bolg'a ham texnik ekspluatatsiya bo'lib, ibtidoiy maqsad - qurilmani yo'q qilish bilan harakat qiladi. Keling, tizimni buzishda ekspluatning mohiyati, qo'llash printsipi va rolini ko'rib chiqaylik. Ekspluatatsiyani qayerdan olish kerak, uni yuklab olish yoki sotib olish mantiqiymi va nima uchun tasdiqlangan ekspluatatsiya ishlamasligi mumkinligi haqidagi savollar ko'rib chiqiladi.

  • Ekspluatatsiyalar nima
  • Qanday ekspluatatsiyalar
  • Zaifliklar haqida bir oz
  • Tizimga hujum qilishda ekspluatatsiyaning roli
  • Muvaffaqiyatli ekspluatatsiyaga misol
  • Ma'lumotlar bazalaridan foydalanish
  • Ekspluatatsiya bilan bog'liq muammolar
Ekspluatatsiya qayerdan keladi? Betonni sevuvchilar - qismni o'tkazib yuboring.
Eng oddiy tushuntirish - bu odam va virus o'rtasidagi "munosabatlar". Biologik. Bizning tanamizda hamma narsa eng kichik detallargacha o'ylab topilgan, ammo tashqaridan mikrokodga duch kelganda, u bir muncha vaqt yoki abadiy muvaffaqiyatsizlikka uchraydi. Zaiflik oson mexanizmning ishdan chiqishi(shu jumladan dasturiy ta'minot) unga xos xususiyatlar va funksionallikni (mexanizm) saqlagan holda, tashqaridan qandaydir harakatlarga adekvat javob berish.. Va ekspluatatsiya qilish dan olish imkonini bergan taqdirdagina ekspluatatsiya deb ataladi zaifliklar foyda. Uni fantastika sifatida qabul qilmang, uni darhol tushunish muhimdir.
Zaifliklar haqida bir oz.
Metasploit modullari ekspluatatsiyalarni o'z ichiga oladi va zaifliklarga qaratilgan. Pentesterlar ushbu zaifliklarni guruhlash usullarini rasmiylashtirishlari odatiy holdir. Shunday qilib, tobora kengayib borayotgan lug'at yaratildi. Umumiy zaifliklar va ta'sirlar (CVE) - Umumiy zaifliklar va aniqlashlar. Shunday qilib, esda tuting: CVE qisqartmasi bilan bir necha marta duch kelasiz . Umumiy ko'rinish quyidagi formatda yozilgan:
CVE - ISSUE_YEAR - ASSIGNED_ID
masalan
CVE 2008-4250
Agar siz hozirda axborot byulletenining toʻliq roʻyxatini koʻrib chiqmoqchi boʻlsangiz, bu yerga kiring:

Aslida, ushbu byulletenning rasmiy ro'yxatidan ko'ra, uy egasining sirlarini ochib beradigan juda ko'p zaifliklar mavjud. Ha, ushbu lug'atga kirish uchun zaifliklar joyni "ishlab olish" kerak. Va, albatta, bu bilan rasmiy ravishda shug'ullanadigan maxsus tashkilot yo'q. Bularning barchasi kelajakdagi ekspluatatsiya nimaga qaratilganiga bog'liq - ekspluatatsiyasiz zaiflik bo'lmaydi. Lekin har qanday holatda, deyarli barcha yo'llar Exploit Database va yuqoridagi resursga olib boradi.
Microsoft mahsulotlari uchun xavfsizlik masalalari alohida qatordir. Ular Microsoft Security Bulletin deb nomlangan alohida ro'yxatda yaratilgan. Ularning zaif tomonlari odatda quyidagi tarzda guruhlanadi:
MSYY-XXX
Bu erda YY - kashfiyot yili, XXX - tayinlangan ID.
Keling, xakerlarga qaytaylik. Qanday ekspluatatsiyalar mavjud?
An'anaviy ravishda ularning barchasini uchta qoziqqa ajratish mumkin:
  • xizmatdan foydalanish
  • mijoz ekspluatatsiyasi
  • imtiyozlardan foydalanish
Xizmatdan foydalanish ba'zi xizmatlarga hujum qiladi, masalan, tarmoq ulanishlarini tinglaydi. Xizmat tarmoq paketlarini to'playdi va foydalanuvchi tarmoqqa ulanishni boshlashini kutadi (brauzerni ishga tushiradi). Va xaker buni ushbu xizmat uchun o'z paketlarini yaratish va xizmatni to'liq ishga tushirish orqali amalga oshirishi mumkin, bu (foydalanuvchining xabarisiz) tarmoqqa kiradi.
Mijoz ekspluatatsiyasi - bu ham mijozning eksplutidir - u server kompyuteridan ba'zi kontentni qabul qiluvchi mijoz ilovasiga hujum qilishga qaratilgan. Bu jabrlanuvchining ba'zi harakatlarni amalga oshirishiga asoslanadi va mijoz dasturi ushbu tarkib bilan faol ishlashi kerak. Oddiy qilib aytganda, mening xaker sifatidagi ishim sizni havolani bosish, hujjat ochish, zararli saytga o'tishdir.
Imtiyozdan foydalanish . Uning vazifasi tizimda mavjud huquqlarni mustahkamlashga erishishdir. Masalan, mehmon hisobidan administrator huquqlarini oling. Va u erda, TIZIMga unchalik uzoq emas ... Masalan, Windows XP da oddiy harakatlardan foydalanishingiz mumkin bo'lgan bunday zaiflik mavjud. Va zaiflik yuzada yotardi. Dangasa bo'lmang va maqolani ko'rib chiqing - tushuntirishlar ortiqcha bo'ladi.
Ekspluatatsiya jarayoni va uning kompyuterga hujum qilishdagi roli.

Asta-sekin, biz tizim kompromisining qanday ishlashi printsipiga yaqinlashamiz. Ushbu bosqichlarning har biri juda murakkab jarayon bo'lib, ko'p jildli qo'llanmani talab qiladi. Ammo sxematik tarzda uni quyidagicha ko'rsatish mumkin:

  • potentsial zaif tizim ochiq portlar va ishlaydigan xizmatlar uchun skanerdan o'tkaziladi
  • urish mumkin bo'lgan nuqtalarni ta'kidlaydi
  • ma'lum zaiflikdan foydalanish u yoki bu nuqtalarda masofaviy kompyuterga yuboriladi
  • ekspluatatsiyaga foydali yuk biriktirilgan (bu sizga jabrlanuvchining tizimini boshqarish imkonini beradi)
  • agar ekspluatatsiya ishlagan bo'lsa (bu birinchi bo'lib ishga tushirilgan) va jabrlanuvchining tizimi javob bergan bo'lsa, foydali yuk ishga tushiriladi; foydali yuk kodining bajarilishi natijasida xaker jabrlanuvchining kompyuteriga kirish huquqiga ega bo'ladi
U shaxsan qanday ko'rinadi yoki ekspluatatsiya bilan qanday ishlash kerak?
Masalan, biz Kali Linux OS ni xost OS sifatida va Windows XP dan (ekspluatatsiya qadimiy, Windows XP SP2 dan boshlab u buni kamroq xohlaydi) VirtualBox-da mehmon OS sifatida foydalanamiz. Albatta, biz mehmon mashinasi tarmoqda qanday xususiyatlarga ega ekanligini bilamiz (bizning holatlarimizda virtual), lekin brauzerga ruxsat bering nmap o'z ishini qiladi. Keling, jabrlanuvchi haqida "rasmiy ma'lumotnoma" tuzamiz:
  • nmap -v -n 192.168.0.162
bu erda 192.168.0.162 - jabrlanuvchining IP manzili. Agar siz bilan tanish bo'lsangiz, unda siz bayroqlarni tushunasiz:
  • -v manzil haqida batafsil hisobot olish imkonini beradi
  • -n teskari DNS ruxsatlarini o'chiradi



Qaysi portlar ular orqali ishlaydigan xizmatlar bilan ochiqligini ko'ramiz.
Operatsion tizim va xizmat versiyasi haqida batafsil ma'lumot olish uchun tizimni skanerlaymiz. Buyruq shaklni oladi (buyruq bo'yicha bayroqlarni joylashtirish o'zboshimchalik bilan):

nmap -T4 -A -v 192.168.0.162


Ko'p ma'lumot mavjud. Ish tashlash joyini tanlang.
Dushman tizimidagi potentsial bo'shliqlar bo'lgan bir qancha portlar ochiq.
Bu ochiq portlardan biri bo'lsin 135 xizmat ko'rsatish bilan mcrpc(u Microsoft Windows RPC - masofaviy protsedura chaqiruvi tizimi xizmati). Muayyan jarayon uchun mos ekspluatatsiyani tanlash biz uchun qoladi.
Ma'lumotlar bazasidan foydalanish. Nazariya uchun bir necha soniya.
Agar siz hozir Kali shahrida o'tirgan bo'lsangiz, u, tayanch, barmoq uchida. Sizga kerak bo'lgan yagona narsa tarmoq ulanishi va ishga tushirishdir msfconsole(aka Metasploit asboblar to'plami). Doimiy ravishda o'sib borayotgan ekspluatatsiyalar ma'lumotlar bazasini hozirda konsolni ishga tushirish orqali ko'rishingiz mumkin msfconsole va buyruqni kiriting ekspluatatsiyalarni ko'rsatish, ekspluatatsiyalar ro'yxatini ko'rsatadi:


Ro'yxatni ekranda ko'rsatish sizga hali hech narsa aytmaydi. Ular alifbo tartibida nashr etilgan sana, ishning qo'llanilishi va ishonchliligi uchun tayinlangan unvon, shuningdek, nimaga qaratilganligi haqida qisqacha tushuntirish bilan taqdim etiladi.
Oyna asosining bir turi mashhur manba hisoblanadi
U butunlay ekspluatatsiyalarga ham bag'ishlangan. Va bu erda siz (lug'at bilan qurollangan holda) ekspluatatsiya tarixi haqida ko'proq bilib olishingiz, uni to'g'ridan-to'g'ri yuklab olishingiz (agar o'zingizning ekspluatingizni yaratmoqchi bo'lsangiz - bu haqda keyinroq), ekspluatatsiya haqidagi ma'lumotlar bilan tanishishingiz mumkin. Umuman olganda, barcha lazzatlar shu erda joylashgan. Ammo ko'proq narsa bor.
Yomon manba emas Bu erda siz qiziqarli narsalarni topishingiz mumkin:
uz.0day.today/
Ko'p tilli resurs nafaqat taniqli (o'qilgan - uzoq muddatli) ekspluatatsiyalarni, balki ishtirokchilarning o'z versiyalarini ham taklif qiladi. Pulga. Tashrif buyuring va tekshiring: u erda rus tili ham qo'llab-quvvatlanadi.
Davom etamiz. Biz mos ekspluatatsiya izlayapmiz.
Metasploit to'g'ridan-to'g'ri ekspluatatsiya ma'lumotlar bazasiga ulangan, shuning uchun siz ko'rgan qadamlarni eslab bo'lmaydi: Metasploit yaxshi, chunki uning qadamlari avtomatlashtirilgan (ammo bu har doim ham yaxshi emas). Ekspluatatsiya haqida maqola va biz uni faqat ishlatamiz, ya'ni. qo'lda. Uni toping, yuklab oling, yuklang. Nima uchun qo'lda? Bu haqda ko'proq "Exploit muammolari" bandida.
Qiziqishdan foydalanishni qanday topish mumkin?
Agar siz ma'lum platforma yoki dasturga qarshi ishlatilishi mumkin bo'lgan ekspluatatsiyaga qiziqsangiz, buyruq orqali qo'lda ko'rsatiladigan 1500 dan ortiq ekspluatatsiyalar ro'yxatini ko'rib chiqishingiz shart emas.
ekspluatatsiyalarni ko'rsatish
Buning o'rniga siz ochiq Metasploit seansida shunday yozishingiz mumkin:
qidiruv nomi: smb turi: ekspluatatsiya platformasi: windows
Metasploit faqat Windows operatsion tizimida ishlaydigan ekspluatatsiyalarni ko'rsatadi. Bundan tashqari, agar siz Windows operatsion tizimida brauzer ekspluatatsiyasiga qiziqsangiz, buyruqni nom bilan suyultiring. Qarang:
msf > qidiruv nomi: brauzer turi: ekspluatatsiya platformasi: windows


Bundan tashqari, Kali Linux-da ekspluatatsiyalarni to'g'ridan-to'g'ri qidirish Metasploit seansisiz to'g'ridan-to'g'ri terminaldan foydalanish mumkin. Formatda ekspluatatsiyani qidirish uchun buyruqni kiriting:
sploit internet Explorer qidiruvi
Terminal har hafta yangilanib turadigan ma'lumotlar bazasidagi barcha mavjud ekspluatatsiyalarni sizga qaytaradi.
Davom etaylik...
Shunday qilib, biz xizmatni bilamiz, biz OS turini ko'ramiz. Shunday qilib, ma'lumotlar bazasida biz quyidagilarni yozamiz: Qidirmoq- so'rov kiritilgandan so'ng tugma:
windows rpc
Qidirishdan oldin robotni tekshirishdan o'tamiz va natijalar bilan tanishamiz:


Mana bizniki. Biz havolani bosamiz, quyidagi Yuklab olish havolasiga o'tamiz va u bizning kompyuterimizda fayl sifatida 66.s.
TAKRORLASH . Yuqorida aytilganlarning barchasi tezroq bajarilishi mumkin. Ishlayotgan Metasploit-da, Kali-dan ekspluatatsiyani qidirish uchun buyruqni kiriting:



Biroq, Metasploit ma'lumotlar bazasida tegishli ekspluatatsiya topilmasligi mumkin bo'lgan holatlar kam uchraydi. Shunday qilib, siz ekspluatatsiyalar qanday ishlashi bilan ko'proq tanish bo'lsangiz, to'g'ri ekspluatatsiyani topish va yaratish uchun ko'proq vaqt sarflashingiz mumkin. Va bizning holatlarimizda biz yuklab olingan ekspluatatsiyani qo'lda kiritish uchun tayyorlaymiz. Terminalda uni ikkilik faylga aylantiring (men avvalroq 66.c dan tortib olganman Yuklashlar ichida Ish stoli):
gcc 66.c -o 66
Endi ulardan ikkitasi bor:


Va men ekspluatatsiya binarini to'g'ridan-to'g'ri XP qurboniga o'tkazdim:
./66 6 192.168.0.162


Tizim javob berdi. Ilmiy nuqtai nazardan, bu tizimning muvaffaqiyatli buzilishi natijasi deb ataladi. Aslida, bu kompyuter allaqachon xakerning qo'lida. Xaker buni xuddi kompyuterda o'tirgandek ko'radi - u konsol buyruqlari yordamida tizimni boshqarishi mumkin. Endi Metasploit ekspluatatsiyasi qanday ishlatilishini ko'rib chiqamiz. Jabrlanuvchining portlari biz allaqachon Nmap bilan "qo'ng'iroq". Va siz payqaganingizdek, boshqalar qatorida ham bor 445 xizmati tomonidan boshqariladimicrosoft-ds. Metasploit oynasida tegishli ekspluatatsiyani tanlang:
exploit/windows/smb/ms08_067_netapi
ekspluatatsiya qilish
Kompyuter endi egasiga tegishli emas.

Ekspluatatsiya muammolari yoki "hamma narsa tayyor" ni sevuvchilar uchun paragraf.
Bu qism alohida mavzuga loyiqdir. Ammo bitta paragraf kifoya qiladi. Exploitdan foydalanish yo'lida pentesterni nima kutmoqda? Men barmoqlarim bilan tushuntiraman (mutaxassislarni kechiring):

  • Birinchi muammo - bu zaiflikning qarishi, uni ishlab chiquvchilar deyarli darhol tuzatadilar. Ha, ekspluatatsiyalarning aksariyati mavjud bo'lgani uchun sizning e'tiboringizga loyiq emas. Ular foydasiz - xavfsizlik yangilanishlari ularni qoplaydi. Shunday qilib, bir necha yo'l bor: biz foydalanamiz 0 kun ekspluatatsiyalar ( nol kun) - topib, ariza topshirsangiz; yoki boshingizni aylantiring va o'zingiz ishlang; Bu birinchi raqamli muammo - biz operatsion tizimlar va oldingi avlodlarning dasturlarini o'rganishimiz kerak: sababi oddiy - ishlab chiquvchilar qo'llab-quvvatlashda "bal to'plashdi" (Windows XP buning odatiy namunasidir) va paydo bo'ladigan zaifliklarga javob bermaydi. rasmiy bildirishnoma (ammo ushbu zaiflik dasturlarning yoki operatsion tizimlarning ishlab chiqarish versiyalarida namoyon bo'lishini tekshirmaslikni unutmang).
  • Ikkinchi muammo (birinchisidan kelib chiqadi) agar zaiflik e'lon qilinsa va undan foydalanish mavjud bo'lsa, o'nlab mutaxassislar zaiflikni o'tmishda qoldirish ustida ishlamoqda. Ular to'lanadi. Va zaifliklarni qidirayotgan odamlar ham xuddi shunday maosh olishni xohlashadi. Shuning uchun yuqoriga va pastga o'ralgan zaiflikka tayanmang: joziba yo'l yurilmagan joyda yotadi. Agar sizga kerak bo'lgan narsa paydo bo'lsa, lekin aql yoki tajriba bo'lmasa, ba'zan buning uchun pul to'lashingiz kerak (natijasiz va pulsiz qolish xavfi bilan). Va bu har doim ham zaiflik kashshof va ekspluatatsion yozuvchining aybi emas. Agar uchinchi muammo borligi uchun ...
  • ekspluatatsiyadan foydalanishning texnik jihatlari shundan iboratki, WHAT ROADED Windows-ning ingliz tilida ENG EMAS Rus tilida RIDE. Windowsning Amerika versiyasi uchun yozilgan ekspluatatsiya rus tizimi uchun ishlamaydi. Ilovaning natijasi kutilmagan bo'lishi mumkin: Metasploit kabi ovozsiz xatoga qadar Exploit muvaffaqiyatsiz bo'lganga o'xshaydi tizimning jabrlanuvchi tomonida xizmat ishlamay qolguncha, bu uni ehtiyotkor qiladi.

Agar biz ekspluatatsiya to'plamlari va haydovchilar orqali yuklab olish dunyosidagi vaziyatni havas qilsa arziydigan muntazamlik bilan tahlil qilmasak, jurnalimiz shunday deb nomlanmaydi (qarang, masalan, ][ № 162). Oxirgi tekshiruvdan beri zararli kodni etkazib berish vositalariga ko'plab o'zgarishlar kiritildi. Xususan, oddiy ishchilarni World Wide Webning har xil xavf-xatarlaridan himoya qilish vazifasi bo'lgan odamlar uxlamadilar va bir vaqtlar eng mashhur Qora tuynuk ekspluatatsiyasi to'plamining muallifi mashhur Paunchning hibsga olinishi, ehtimol, qayta taqsimlashga ta'sir ko'rsatdi. ekspluatatsiya paketi bozorining asosiy o'yinchilaridan.

OGOHLANTIRISH!

Barcha ma'lumotlar faqat ma'lumot olish uchun taqdim etiladi. Na muallif, na muharrirlar ushbu maqola materiallaridan kelib chiqadigan har qanday zarar uchun javobgar emas.

Bugungi ro'yxatimizda to'qqizta eng mashhur ekspluatatsiya to'plamlari mavjud. Shu bilan birga, shuni ta'kidlash kerakki, bir vaqtlar shunday aniq rahbar qora tuynuk, ular orasida emas va u yoki bu vakilning mashhurligi har doim ham turli tadqiqotchilar va antivirus kompaniyalari tomonidan bir xil tarzda baholanmaydi. Biroq, umumiy rasm quyidagicha ko'rinadi:

  • Baliqchilarni ekspluatatsiya qilish to'plami
  • Shirin apelsin ekspluatatsiyasi to'plami
  • Nuclear Exploit to'plami;
  • Fiesta Exploit to'plami
  • Magnitude Exploit to'plami
  • Neytrino ekspluatatsiyasi to'plami
  • Astrum Exploit to'plami
  • RIG Exploit to'plami
  • Archie Exploit to'plami.

Baliqchilarni ekspluatatsiya qilish to'plami

Bugungi sharhimiz rahbari. U o'tgan yilning oxirida paydo bo'lgan va ba'zi ma'lumotlarga ko'ra, Black Hole Exploit Kit-ning ko'plab foydalanuvchilari Paunch hibsga olinganidan keyin ushbu ekspluatatsiya to'plamidan foydalanishga o'tishgan. Bugungi kunda uning arsenalida o'n ikkita zaiflik uchun ekspluatatsiyalar mavjud (ulardan ikkitasi juda yaqinda).

birinchi ( CVE 2015-0311) Windows va OS X uchun 16.0.0.287 gacha bo'lgan Flash versiyalarida ixtiyoriy kodni bajarishga imkon beradi, ikkinchisi ( CVE 2015-0310) - Adobe Flash Player-da xavfsizlik cheklovlarini chetlab o'tish, ASLR-ni o'chirish va o'zboshimchalik bilan kodni bajarish.


Zararli faoliyatini boshlashdan oldin, Angler EK hujum qilingan mashina virtual muhitda ishlayotganligini (VMware, VirtualBox va Parallels Workstation mos keladigan drayverlarning mavjudligi bilan tan olinadi) va qanday antivirus vositalari o'rnatilganligini (Kasperskiyning turli versiyalari, antiviruslar) tekshiradi. Trend Micro va Symantec, AVZ antivirus yordam dasturi). Yuqorida aytilganlarga qo'shimcha ravishda, Fiddler veb tuzatuvchisi mavjudligi ham tekshiriladi.


Aytgancha, bu turdagi tekshiruvlar endi u yoki bu darajada ko'plab ekspluatatsiya paketlarida, shu jumladan bizning bugungi sharhimizda ham amalga oshirilmoqda.

Angler EK kodi, kutilganidek, juda yaxshi tushunarsiz va shifrlangan va mualliflar muntazam ravishda ekspluatatsiya to'plami kodini tozalab turishadi (u antivirus ma'lumotlar bazalariga kiradi).

Shirin apelsin Exploit to'plami

Ushbu ekspluatatsiya to'plami unchalik yosh bo'lmasa-da (u 2012 yilda paydo bo'lgan), u eng mashhurligi (ayniqsa 2013 yil oktyabr oyidan keyin) va yangi zaiflikdan foydalanish bilan maqtana olmaydi. Ba'zi tadqiqotchilarning fikriga ko'ra, ekspluatatsiya paketini buzish taxminan 15% ni tashkil qiladi. Hozirda o'nta zaiflik uchun ekspluatatsiyalarni o'z ichiga oladi va Angler EK dan farqli o'laroq, Sweet Orange Java-ning bir nechta zaifliklaridan foydalanadi ( CVE 2012-1723, CVE 2013-2424, CVE 2013-2460, CVE 2013-2471).

Sweet Orange bir necha daqiqada tasodifiy domen nomlarini yaratish uchun algoritmdan foydalanadi va bu ekspluatatsiya paketini aniqlash va tekshirishni qiyinlashtiradi. Masalan, subdomen nomlari quyidagicha ko'rinishi mumkin:

  • abnzzkpp.syt * .net
  • abtkslxy.syt * .net
  • ajijaohoo.syt * .net
  • ancezvwzvn.syt * .net
  • azrrfxcab.syt * .net
  • bnfjqksp.syt * .net
  • bvakjbktwg.syt * .net

Scan4you.net xizmati domen nomlari va IP manzillarini turli antiviruslarning qora ro'yxatlarida mavjudligini tekshirish uchun ishlatiladi, to'plam foydalanuvchisi boshqa tekshirish xizmatini ham belgilashi mumkin.


To'plam narxi - 2500 WMZ Bundan tashqari, dastlabki ikki hafta tozalash va domenni bepul o'zgartirish.

Qo'shimcha xizmatlar:

  • Tozalash: bir oy - 1000 WMZ.
  • Domenni o'zgartirish:
    • miqdor chegarasi, narx bitta domen uchun:
      • 10 - 25 WMZ gacha;
      • 10 dan 30 gacha - 15 WMZ;
      • 30 - 10 WMZ dan.
    • vaqt chegarasi (kunlarda):
      • 10 - 300 WMZ;
      • 20 - 400 WMZ;
      • 30 - 600 WMZ.
  • Server o'zgarishi: 20 WMZ.

yadroviy ekspluatatsiya to'plami

Ushbu ekspluatatsiyalar to'plamining birinchi versiyalari 2009 yilda paydo bo'lgan. Bugungi kunga kelib, ko'rib chiqishda taqdim etilgan eng ko'p zaryadlangan ekspluatatsiya to'plami o'n ikkita zaiflik uchun ekspluatatsiyalarni o'z ichiga oladi (ularning hammasi ham birinchi yangilik emasligini ta'kidlash kerak).

Ko'pgina hollarda infektsiya uchun uch darajali qayta yo'naltirish quyidagi sxema bo'yicha qo'llaniladi: birinchi daraja - o'rnatilgan iframe-ga ega buzilgan veb-sahifa, ikkinchi daraja - ekspluatatsiya to'plamiga havola, uchinchisi - to'plamning o'zi. .

Ekspluatatsiya paketi kodi juda xiralashgan, turli joylarda e'lon qilingan ko'p sonli o'zgaruvchilar va funksiyalar mavjud, ulardan foydalanilmaydi.

Bajarish paytida kodni o'chirish uchun Nuclear EK taxminan quyidagi funktsiyalardan foydalanadi (menimcha, bu funktsiyalarni bajaradigan harakatlar tushuntirishsiz aniq):

VV8Y6W = funktsiya (uAVnC, mhTbz) ( qaytaring uAVnC(mhTbz); ); WL3 = funktsiya (uAVnC, mhTbz, YSu) ( qaytaring uAVnC(mhTbz, YSu); );

Bundan tashqari, ba'zi funktsiyalarning kodi, xususan, brauzer plaginlarining platformasi va versiyalarini aniqlash uchun skript (pluginlarni aniqlash uchun PluginDetect JS kutubxonasi ishlatiladi) dinamik ravishda yaratilgan:

J_version = PluginDetect.GetVersion("Java"); p_version = PluginDetect.GetVersion("AdobeReader"); f_version = PluginDetect.GetVersion("Flash"); s_version = PluginDetect.GetVersion("Silverlight");

  • 50k - 500 WMZ;
  • 100k - 800 WMZ;
  • 200k - 1200 WMZ;
  • 300k - 1600 WMZ.

Ikki hafta:

  • 50k - 300 WMZ;
  • 100k - 500 WMZ;
  • 200k - 700 WMZ;
  • 300k - 900 WMZ.

Bir hafta:

  • 100k - 300 WMZ;
  • 200k - 400 WMZ;
  • 300k - 500 WMZ.

Bizning sharhimizdagi eng qadimgi zaiflik CVE 2010-0188 Nuclear EK ning bir qismi bo'lgan ekspluatatsiya hujumga uchragan tizimda ixtiyoriy kodni bajarish uchun maxsus yaratilgan PDF faylidan foydalanish imkonini beradi.

Fiesta Exploit to'plami

Ushbu ekspluatatsiya to'plami ekspluatatsiyadan zaiflikka o'z sayohatini boshladi CVE-2007-5659 orqaga 2008 yilda. Bugungi kunda uning bortida to'qqizta ekspluatatsiya mavjud bo'lib, zaifliklar 2010-2013 yillarga to'g'ri keladi. Ulardan eng so'nggisi Silverlight zaifliklari bo'lib, ular ikki tomonlama ko'rsatkichni yo'qotish xatosi tufayli tizimda o'zboshimchalik bilan kod bajarilishiga imkon beradi ( CVE 2013-0074) yoki xotiradagi ob'ektlarni noto'g'ri qayta ishlash tufayli ( CVE 2013-3896).

Silverlight va Adobe Flash-ning to'g'ri versiyalarini tekshirish quyidagi tarzda amalga oshiriladi:

// Silverlight mavjudligini tekshiring new ActiveXObject("AgControl.AgControl"); // Adobe Flash yangi swfobject.embedSWF();

Agar ushbu funksiyalarning ikkalasi ham istisno qilsa, boshqa zaifliklardan (Java yoki IE) foydalanishga harakat qilinadi.

Ekspluatatsiya to'plami kodi juda xiralashgan va qo'shimcha ravishda tasodifiy sonlar va ketma-ketliklar yordamida ko'pchilik satrlarni shifrlashdan foydalanadi.

Magnitude Exploit Kit

To'plam bozorda 2013 yil boshida paydo bo'lgan va dastlab nomi bilan tanilgan PopAds Exploit Kit.

Ushbu ekspluatatsiya to'plamining asosiy xususiyati scan4you.net xizmatidan IP manzillar va domenlarni tekshirish, shuningdek, turli antiviruslar tomonidan aniqlash uchun ekspluatatsiya to'plamining kodini tekshirishdan iborat. Bundan tashqari, Magnitude EK, Sweet Orange EK kabi, har bir necha daqiqada subdomen nomlarini dinamik yaratish va o'zgartirishdan foydalanadi.

Eng so'nggi foydalanilmagan zaifliklarga qaramay (hozirda ushbu to'plamda ulardan ettitasi mavjud), bu ekspluatatsiya to'plami juda maqbul kirishni ta'minlaydi.

Bog'lanish kodini String.fromCharCode usuli yordamida o'chirish mumkin, uning argumenti XOR-shifrlangan ketma-ketlikning elementlari. % belgisi bu ketma-ketlikdagi elementlarni bir-biridan ajratish uchun ishlatiladi.

Boshqa ekspluatatsiya paketlaridan farqli o'laroq, Magnitude EK ni, masalan, bir hafta yoki bir oyga ijaraga olish mumkin emas. Ushbu to'plamni yaratuvchilar to'lov sifatida mijozning umumiy trafikidan zararlangan kompyuterlarning ma'lum foizini oladi.

Neytrino ekspluatatsiyasi to'plami

Ushbu ekspluatatsiya to'plami taxminan 2013 yil mart oyida o'z sayohatini boshlagan va keyin faqat ikkita zaiflik uchun ekspluatatsiyalarni o'z ichiga olgan ( CVE 2012–1723 va CVE 2013–0431, ikkalasi ham Java uchun). Bugungi kunga kelib, foydalaniladigan zaifliklar ro'yxati biroz kengaytirildi, endi u Java uchun beshta ekspluatatsiya va bitta ( CVE 2013-2551) Internet Explorer-ga.

Ekspluatatsiya to'plami kodi xuddi Magnitude EK da bo'lgani kabi tushunarsizdir. Deobfuscation uchun quyidagi funktsiyadan foydalaniladi:

Xor funktsiyasi (kirish, o'tish) ( var chiqish = ""; var i = 0; var pos = 0; for (i = 0; i)< input.length; i++){ pos = Math.floor(i%pass.length); output += String.fromCharCode(input.charCodeAt(i) ^ pass.charCodeAt(pos)); } return output; }

Neutrino EK tomonidan jabrlanuvchining zararlangan kompyuteriga yuklab olingan "foydali yuk" XOR-shifrlangan shaklda uzatiladi, bu antivirus mahsulotlari tomonidan aniqlanish ehtimolini biroz kamaytiradi.

Umumiy tozalashlar bilan umumiy serverda ekspluatatsiya paketini ijaraga olish narxi:

  • kun - 40 dollar;
  • hafta - 150 dollar;
  • oy - 450 dollar.

Astrum Exploit to'plami

Bugungi sharhimizdagi eng yosh ekspluatatsiya to'plami. Ba'zi antivirus kompaniyalariga ko'ra, uning birinchi chiqarilish sanasi taxminan 2014 yil sentyabr oyining o'rtalariga to'g'ri keladi.

Ekspluatatsiya to'plami kodi juda xiralashgan va virusli mashinada turli xakerlik dasturlari, virusga qarshi dasturlar va virtual mashinada ishlayotganligini tekshirishni o'z ichiga oladi. Bundan tashqari, Kasperskiydan ekrandagi klaviatura himoyasi plagini alohida chek oldi:

Sinab ko'ring ( var O = $(Kaspersky.IeVirtualKeyboardPlugin.JavaScriptApi.1); O && (mr = 1) ) catch (s) ()

U ettita zaiflik uchun ekspluatatsiyalarni o'z ichiga oladi (Silverlight, Flash, LibTiff va IE).

RIG Exploit to'plami

RIG EK oʻzining zararli faoliyatini 2013-yil oxirida boshlagan va bugungi kunda Internet Explorer, Java, Adobe Flash va Silverlight’dagi zaifliklardan foydalanadi.

Foydalanuvchilar buzilgan sahifaga o‘rnatilgan JS skripti yordamida ekspluatatsiya to‘plamiga ega sahifaga yo‘naltiriladi, u joriy sana asosida (CRC32 xeshi undan olinadi) ekspluatatsiya paketi kodi joylashgan domen nomlarini yaratadi.

Ushbu ekspluatatsiyalar to'plami antivirus mahsulotlari mavjudligini ham tekshiradi (faqat Kaspersky va Trend Micro uchun bo'lsa ham) - quyidagi drayverlar mavjudligini aniqlaydi:

  • c: \\ Windows \\ System32 \\ drivers \\ kl1.sys
  • c: \\ Windows \\ System32 \\ drivers \\ tmactmon.sys
  • c: \\ Windows \\ System32 \\ drivers \\ tmcomm.sys
  • c:\\Windows\\System32\\drivers\\tmevtmgr.sys
  • c: \\ Windows \\ System32 \\ drivers \\ TMEBC32.sys
  • c: \\ Windows \\ System32 \\ drivers \\ tmeext.sys
  • c: \\ Windows \\ System32 \\ drivers \\ tmnciesc.sys
  • c: \\ Windows \\ System32 \\ drivers \\ tmtdi.sys

Ushbu ekspluatatsiya to'plamining narxi:

  • kun - 40 dollar;
  • hafta - 100 dollar;
  • oy - 500 dollar.

Archie Exploit to'plami

Ushbu ekspluatatsiya to'plami nisbatan yaqinda paydo bo'lgan (F-Secure ma'lumotlariga ko'ra - taxminan o'tgan yilning iyul oyining oxirida). Uning yaratuvchilari kodni o'zlari ishlab chiqish bilan bezovta qilmadilar va ulardan foydalanish modullarini olishdi Metasploit Framework, va PluginDetect JS kutubxonasi Silverlight, Flash va boshqa narsalar versiyalari haqida ma'lumot olish uchun ishlatiladi.

Archie-ning birinchi versiyalari o'z foydalanuvchilarini chalkashtirish yoki boshqa hiyla-nayranglar bilan rag'batlantirmadi, ammo keyingi versiyalarda kodni chalkashtirish va URL va fayl nomlarini shifrlash, shuningdek, virtual mashinalar va antivirus dasturlarini tekshirish paydo bo'ldi.

Xulosa

Kapitan o'zining prompter kabinasidan olingan dalillar menga vaqt o'tishi bilan zaifliklar va ekspluatatsiya paketlari kichrayib qolmasligini aytadi. Shunday qilib, xulosa qilib, biz bir nechta xulosalar chiqarishimiz mumkin:

  • ekspluatatsiya paketlarining ko'p mualliflari to'g'ridan-to'g'ri sotishdan o'z serverlarida ijaraga olishga o'tdilar va ular ko'pincha xizmatlarning to'liq siklini taqdim etadilar - tozalashdan tortib domen nomlarini doimiy o'zgartirishgacha va antivirusni aniqlash tekshiruvlari;
  • deyarli barcha ekspluatatsiya paketlari Java va Silverlight zaifliklaridan faol foydalana boshladi;
  • ko'plab ekspluatatsiya paketlari virtual mashinalar, antiviruslar va turli xil xakerlik vositalarining mavjudligini tan olish funktsiyalariga ega bo'la boshladi;
  • zaiflik CVE 2013-2551 juda mashhur va bizning sharhimizdagi barcha ekspluatatsiya to'plamlarida qo'llaniladi.

www

Yaqinda RIG Exploit Kitning manba kodlari jamoat mulkiga tarqaldi. Siz bu haqda mumkin

Axborot xavfsizligi sohasida ko'plab yangi boshlanuvchilar ekspluatatsiyalar haqida juda ko'p savollarga ega: ekspluatatsiyalar nima? Ekspluatatsiyalarni kim yozadi? Ekspluatatsiyalardan qanday foydalanish kerak? Ushbu maqolada siz ushbu savollarga javob topasiz!

Ekspluatatsiya nima?

Ekspluatatsiya qilish- bu kompyuter dasturi, dastur kodining bir qismi yoki dasturiy ta'minotdagi zaifliklardan foydalanadigan va kompyuter tizimiga hujum qilish uchun ishlatiladigan buyruqlar ketma-ketligi. Hujumning maqsadi tizim ustidan nazoratni qo'lga olish (imtiyozning kuchayishi) yoki uning ishlashini buzish (DoS hujumi) bo'lishi mumkin. ...

Asosiysi, ekspluatatsiya berilgan zaiflikdan qanday foydalanish mumkinligining kichik misolidir, ammo tajribali xakerning qo'lida ekspluatatsiya maqsadli tizimni buzishga imkon beradigan kuchli quroldir.

Ekspluatatsiyalarni kim yozadi?

Ekspluatatsiyalar axborot xavfsizligini o'rganishga ishtiyoqmand bo'lgan minglab ishqibozlar tomonidan yozilgan va ularni SecurityFocus kabi ko'plab taniqli saytlarda nashr etadi. Ular buni shon-shuhrat uchun emas, stsenariy bolalarning quvonchi uchun emas, tizim ma'murlari va axborot xavfsizligi bo'yicha boshqa mutaxassislarni ushbu zaiflik mavjudligi haqida ogohlantirish uchun qilishadi. Axir, qo'lda ma'lum bir zaiflikni amalga oshirgan holda, siz osongina "yamoq" yozishingiz mumkin.

Ekspluatatsiyalardan qanday foydalanish kerak?

Ko'pgina yangi boshlanuvchilar ekspluatatsiyaga ega bo'lgan ulkan ma'lumotlar bazalari tomonidan bema'nilik holatiga tushib qolishlariga qaramay, ulardan foydalanish juda oson!

Masalan, ko'plab Joomla komponentlaridan birida topilgan zaiflikni olaylik. Ekspluatatsiya tavsifini havola orqali topish mumkin Joomla Component com_camp SQL Injection zaifligi .

Avvalo, siz zaiflik mavjud bo'lgan ilovani va ilova versiyasini ko'rib chiqishingiz kerak. Agar sizga kerak bo'lgan narsani topsangiz, ekspluatatsiya tavsifini o'rganishni boshlang. Tavsifda ular odatda zaiflik qaerda aniqlanganligini yozadilar, bizning holatlarimizda bu com_camp komponentidir, ko'rib turganingizdek, zaiflik cid o'zgaruvchisida filtrlashning yo'qligi sababli mavjud:

http://127.0.0.1/index.php?option=com_camp&task=show&cid=


Ushbu zaiflikka ega bo'lgan saytga tashrif buyurib, cid o'zgaruvchisidagi tirnoqni almashtirish orqali siz sahifada sql in'ektsiyasi mavjudligini ko'rsatadigan xatoni topasiz.

Keyin nima qilish kerak? Bu fantaziya bo'lardi, lekin siz ko'p narsani qila olasiz! Bu erda biz ekspluatatsiyaning o'ziga keldik. Ekspluatatsiya tavsifi sahifasida ular odatda ekspluatatsiyaning o'zi yoki kompilyatsiya qilinishi kerak bo'lgan yoki zaif dasturga qandaydir tarzda "oziqlanishi" kerak bo'lgan dastur kodlari qatorini joylashtiradilar. Bizning holatda, biz cid o'zgaruvchisiga kiritilishi kerak bo'lgan sql kod qatorini ko'ramiz:

1/**/UNION/**/SELECT/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14--


Shuningdek, bizning holatlarimizda biz ushbu zaiflikni amalga oshirish misolini ko'ramiz:

http://127.0.0.1/index.php?option=com_camp&task=show&cid=-1/**/UNION/**/SELECT/**/1,2,3,4,5,6,7,8, 9,10,11,12,13,14--


Ushbu ma'lumotlarga ega bo'lgan va Joomla ma'lumotlar bazasining tuzilishini bilgan holda, siz barcha kerakli ma'lumotlarni, shu jumladan foydalanuvchilarning loginlari va parol xeshlarini, shu jumladan administratorni osongina olishingiz mumkin.

Yana qanday ekspluatatsiyalar mavjud?


Zaif dasturiy ta'minotga kirish usuliga qarab, ekspluatatsiyalar masofaviy (inglizcha masofaviy) va mahalliy (inglizcha mahalliy) ga bo'linadi.

Ekspluatatsiyalar zaif tizimda uchinchi tomon harakatlarini bajarish uchun mo'ljallangan va ular o'rtasida quyidagicha taqsimlanishi mumkin:

Umuman olganda, GoogleHack va "Kengaytirilgan qidiruv" sizga ma'lum bir saytni qidirishga yordam beradi, masalan sayt: http:securityfocus.com joomla sql in'ektsiyasi sizga joomla'da sql in'ektsiyasini o'tkazish imkonini beruvchi juda ko'p ekspluatatsiyalarni olib keladi.

Har bir ahmoq ekspluatatsiyadan foydalanishi mumkinmi?


Yo'q, yo'q va YO'Q. Ekspluatatsiyalardan foydalanish uchun hech bo'lmaganda dasturlash bo'yicha umumiy bilim talab qilinadi (ko'pgina ekspluatlar maxsus xatolar bilan yozilgan va katta imkoniyatlar bermaydi, chunki bu zaiflikning "taqdimoti" dir), shuningdek, tizimni o'rganish kerak. hujum ostida va uni amalga oshirish uchun etarli ma'lumot to'plash. Tajriba shuni ko'rsatadiki, "oson pul" ni xohlaydigan ko'p odamlar shunchaki kerakli bilimga ega emaslar.

Xulosa:
Har kuni tobora ko'proq zaifliklar topilmoqda va shuning uchun ko'proq va ko'proq ekspluatatsiyalar yozilmoqda. Men sizni stsenariy bolalar bo'lishga undamayman va hech qanday holatda siz bu ma'lumotlardan noqonuniy maqsadlarda foydalanmaysiz deb aytmayman!

Yadro energiyasi yorug'lik keltirishi mumkin yoki abadiy zulmat olib kelishi mumkin, har kim qanday yashashni o'zi hal qiladi ...

Maqola yoqdimi? Do'stlar bilan baham ko'rish uchun:
Sizni ham qiziqtirishi mumkin