Тема: Связки из паблика. Поделитесь ссылками
Показать сообщение отдельно

  #50  
Старый 21.12.2015, 21:26
gentype
Познающий
Регистрация: 12.07.2015
Сообщений: 65
С нами: 5704886

Репутация: 0
По умолчанию
MICROSOFT WORD INTRUDER (MWI)

MWI - профессиональное "средство доставки", эксплойт-пак на базе целого ряда самых актуальных 1-day уязвимостей в продуктах Microsoft Office Word.

Документ, сгенерированный MWI может содержать в себе до 4ех эксплойтов сразу:

1. CVE-2010-3333

2. CVE-2012-0158

3. CVE-2013-3906

4. CVE-2014-1761

Запускаемый .exe файл может содержаться как в теле самого документа, так и вытягиваться по ссылке с web-сервера.

Что отличает данный эксплойт, от всех остальных решений:

- Уникальность

MWI - это единственное решение на рынке .doc эксплойтов, которое представляет собой мультиэксплойт и атакует сразу несколько уязвимостей одновременно. Такой подход повышает шансы на успех и позволяет атаковать сразу два вектора обновлений: операционную систему и сам офисный пакет приложений.

- Универсальность

MWI охватывает почти всю линейку версий Microsoft Office: Word XP, Word 2003, Word 2007, Word 2010. Каждый эксплойт реализован так, чтобы суметь атаковать как можно больше уязвимых версий и операционных систем. По охвату уязвимых систем MWI выгодно отличается от всех альтернативных решений.

- Надежность

Эксплойт максимально независим от разного рода условий для успешной атаки: будь то версия установленного ПО в системе или те или иные защитные механизмы ОС. Каждый этап работы эксплойта продуман до мелочей.

- Обход средств защиты

Эксплойт максимально усложняет свое обнаружение: каждый элемент эксплойта защищен от обнаружения целым комплексом средств: от банальной обфускации до полиморфизма и шифрования. Каждый сгенерированный эксплойт имеет свою уникальную сигнатуру, максимально рандомизированную структуру и данные. Помимо противодействию сигнатурным методам, эксплойт использует различные методы для обхода проактивных (поведенческих) средств обнаружения. В частности, запуск .exe-файла производится из контекста доверенного системного процесса.

- Поддержка и постоянное развитие

MWI для широкой аудитории был представлен на рынке лишь весной 2013 года, хотя его первые версии были созданы еще в конце 2010 года и использовались в довольно узком кругу людей. Проект постепенно совершенствовался и улучшался, обрастая новыми эксплойтами и модулями, вконце концов сформировавшись до целого эксплойт-пака с гибкой модульной архитектурой. Проект постоянно развивается и не стоит на месте. Мы регулярно выпускаем обновления, производим чистки, дополняем эксплойт-пак новыми эксплойтами и модулями. Мы настроены на долгосрочное сотрудничество.

- Инновации

MWI - инновационное решение. Очередным подтверждением этого стало появление web-сервера статистики "mwistat", который позволяет вести полную статистику работы эксплойта, логировать когда и во сколько был открыт документ или произведена загрузка .exe-файла, с какого IP-адреса, а также некоторую другую информацию об используемом ПО на атакуемых системах (User-Agent).

http://s4.postimg.org/5ld8djbyl/mwistat_files.png

http://s3.postimg.org/ybmevy743/mwistat_logs.png

http://s22.postimg.org/gt95gtpqp/mwistat_stats.png

CVE-2010-3333: RTF pFragments Stack Buffer Overwrite Remote Code Execution Exploit [MS10-087]

EXPLOITABLE WORD VERSIONS:

Word 2003 32-bit XP, Vista, Win7, Win8 32 & 64 bit

Word 2007 32-bit XP, Vista, Win7, Win8 32 & 64 bit

Word 2010 32-bit XP, Vista, Win7, Win8 32 & 64 bit

VULNERABLE MODULE PATHS:

Word 2003 C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll

Word 2007 C:\Program Files\Common Files\Microsoft Shared\office12\mso.dll

Word 2010 C:\Program Files\Common Files\Microsoft Shared\office14\mso.dll

PATCHES:

Word 2003 mso.dll 11.0.8329.0000

Word 2007 mso.dll 12.0.6545.5004

Word 2010 mso.dll 14.0.5128.5000

Отличие от всех альтернативных решений:

- полная универсальность и надежность, единственное универсальное и реально рабочее решение

Цитата

CVE-2012-0158: MSCOMCTL.OCX ListView Stack Buffer Overwrite Remote Code Execution Exploit [MS12-027]

EXPLOITABLE WORD VERSIONS:

Word 2003 32-bit XP, Vista, Win7, Win8 32 & 64 bit

Word 2007 32-bit XP, Vista, Win7, Win8 32 & 64 bit

Word 2010 32-bit XP, Vista, Win7, Win8 32 & 64 bit

VULNERABLE MODULE PATHS:

C:\WINDOWS\system32\MSCOMCTL.OCX

C:\Windows\SysWOW64\MSCOMCTL.OCX

EXPLOITABLE VERSIONS:

MSCOMCTL.OCX 6.01.9545

MSCOMCTL.OCX 6.01.9782

MSCOMCTL.OCX 6.01.9786

MSCOMCTL.OCX 6.01.9813

MSCOMCTL.OCX 6.01.9816

MSCOMCTL.OCX 6.01.9818

PATCHES:

MSCOMCTL.OCX 6.01.9833

MSCOMCTL.OCX 6.01.9834

* уязвимость отсутствует в некоторых сборках MSOffice, не поддерживающих работу с ActiveX, например

Office 2010 Starter, а также различных пиратских сборках, где модуль MSCOMCTL.OCX просто отсутствует.

Отличие от всех альтернативных решений:

- полная универсальность и надежность, единственное универсальное и реально рабочее решение

Цитата

CVE-2013-3906: TIFF Heap Overflow via Integer Overflow [MS13-096]

EXPLOITABLE WORD VERSIONS:

Word 2007 32-bit XP, Vista, Win7 32 & 64 bit

Word 2010 32-bit XP 32 bit

* эксплойт основан на технологии heap-spray

1. EXPLOITATION OF OGL.DLL (Office 2007)

VULNERABLE MODULE PATHS:

C:\Program Files\Common Files\Microsoft Shared\OFFICE12\OGL.DLL

EXPLOITABLE:

OGL.DLL 12.0.6509.5000

OGL.DLL 12.0.6420.1000

OGL.DLL 12.0.6420.1000

OGL.DLL 12.0.6415.1000

and others

PATCHES:

OGL.DLL 12.0.6700.5000

OGL.DLL 12.0.6688.5000

OGL.DLL 12.0.6679.5000

OGL.DLL 12.0.6659.5000

OGL.DLL 12.0.6604.1000

2. EXPLOITABLE VERSIONS OF OGL.DLL (Office 2010 + XP)

VULNERABLE MODULE PATHS:

C:\Program Files\Common Files\Microsoft Shared\OFFICE14\OGL.DLL

EXPLOITABLE:

OGL.DLL 4.0.7577.4098

OGL.DLL 4.0.7577.4392

and others

PATCHES:

OGL.DLL 4.0.7577.4415

Отличие от всех альтернативных решений:

- макисмальная скорость heap-spray

- универсальность (атака сразу на office2007 + office2010)

- универсальный ROP сразу для двух версий MSCOMCTL.OCX 983x

- широкие возможности для дальнейших чисток и обфускации эксплойта

- минимальная детектируемость эксплойта (единственный эксплойт в формате RTF)

Цитата

CVE-2014-1761: RTF ListOverrideCount Memory Corruption / Object Confusion [MS14-017]

EXPLOITABLE WORD VERSIONS:

Word 2010 32-bit Win7, Win8

VULNERABLE MODULE PATHS:

C:\Program Files\Microsoft Office\Office14\wwlib.dll

EXPLOITABLE:

wwlib.dll 14.0.4762.1000

and others

PATCHES:

wwlib.dll 14.0.7121.5004

Отличие от всех альтернативных решений:

- поддержка windows 8

- недетектируемость эксплойта

Цитата

MWISTAT 2.0: statistic web-server

Web-сервер статистики mwistat позволяет вести полную статистику работы эксплойта, логировать когда и во сколько был открыт документ или произведена загрузка .exe-файла, с какого IP-адреса, а также некоторую другую информацию, как например User-Agent.

Меню:

FILES - загружаемые .exe-файлы

LOGS - логи

STATS - статистика

TOOLS - доп. инструменты (IP-whois)

Раздел FILES представляет из себя таблицу со следующими колонками:

FILE_ID - идентификатор файла (8 цифр)

FILE_NAME - имя .exe файла

FILE_DATE - дата загрузки файла

FILE_STAT_URL - так называемая "stat" ссылка для работы с этим файлом (указывается в билдере)

FILE_LOGS - кнопки для просмотра логов/статистики по данному файлу (LOGS | STATS)

ACTION - кнопки для загрузки, редактирования (reupload), удаления файла (GET | EDIT | DEL)

Кнопка ADD NEW FILE позволяет загрузить .exe-файл на сервер.

Раздел LOGS представляет из себя таблицу со следующими колонками:

DATE_TIME - дата и время запроса (при нажатии сортируются по времени в обратном порядке)

FILE_ID - идентификатор файла (8 цифр)

IP_ADDRESS - IP-адрес

IP_INFO - страна, флажок (при нажатии выводит всю IP-whois информацию)

ACTION - бывает трех видов:

1. OPEN - открытие документа.

2. LOAD - загрузка .exe файла. если с пометкой failed - .exe-файл был удален с сервера и загружен не был.

3. SUSP или SUSPICIOUS - подозрительный запрос. это могут быть попытки взлома или другие действия со стороны хакеров, антивирусных компаний, исследователей и прочих нежелательных лиц.

USER_AGENT - поле HTTP-пакета User-Agent

GET_DATA - переданные GET параметры id и act HTTP-запроса

Кнопка CLEAN STATS позволяет очистить все логи и статистику.

Раздел STATS - несколько таблиц.

Статистика по запросам:

TOTAL REQUESTS - всего запросов поступило на сервер

OPENED - из этих запросов открыто

LOADED - загружено

SUSPICIOUS - подозрительные запросы

Статистика по уникальным IP-адресам:

TOTAL IPs - всего уникальных IP-адресов

OPENED - открыто

LOADED - загружено

SUSPICIOUS - подозрительные запросы

TOTAL % - процент пробива

Статистика по уникальным IP-адресам (расширенная, список атакованных IP)

IP-ADDRESS - IP-адрес (при нажатии - просмотр всех запросов с этого IP)

IP-INFO - страна, флажок (при нажатии выводит всю IP-whois информацию)

OPENED - из этих запросов открыто

LOADED - загружено

SUSPICIOUS - подозрительные запросы

Кнопка CLEAN STATS также позволяет очистить все логи и статистику.

Раздел TOOLS содержит IP-whois сервис - вводим IP, жмем whois и получаем требуемую информацию.

Ориентировочная цена за билдер: ~4000$

имеются более бюджетные варианты (урезанные сборки) от ~3000$
 
Ответить с цитированием