ANTICHAT — форум по информационной безопасности, OSINT и технологиям

[intro]

Доброго времени суток. Первая причина написания данной статьи это то, что в последнее время на различных форумах появляются сообщения, типо одна связка лучше или хуже, у такой то связки "пробив" составляет такой то процент и пробивают такие то браузера. Вторая причина это "лже" авторы связок, т.е. по просту барыги, которые получив связку где то на закрытых форумах пытаются ее продать или того хуже модернизировать существующую, не внося в связку практически никакого толку. Еще есть одна особенность, брать связку вставлять в нее свой ифрейм (в народе говорят стучалки) и выкладывать на публичных форумах говоря что это новая версия связки, тем самым пользуются чужим трафиком.
В этой статье мы постораемся освоить азы сборки связки .

[info]
Что такое связка сплойтов?
Связка - это объединение сушествующих эксплойтов, преимущественно использующих "баги" в браузерах для загрузки ПО. Под ПО подразумеваются различные сборщики паролей, боты, форм грабберы и другие, вообщем, все что нужно для сбора информации с компьютера жертвы.

Что входит в состав связки?
В состав связки входит, сплойты под различные версии браузеров. Но это как бы не достаточно, для контроля эффективности использование связки, т.е. просмотра статистики по браузерам, осям, странам, рефферам и количеству "пробитых" браузеров. Реффер - это тот, чей трафф приходит на связку. В некоторых связках есть продвинутая система статистики, т.е. можно контролировать какой стране "грузить" тот или иное ПО, есть возможность блокировки пользователя в случаи удачного "прогруза" ПО, стоит так называемая система GeoIp, позволяющяя определять место нахождения "пользователя", приимущественно используется для бот нета.

Откуда берут сплойты для связки?
Наверно, все замечали, что разные связки продаются по разному, стоимость связки колеблиться от 100$ и до 2к и зависит не только от написанного "ротора" сплойтов, но так же от самих сплойтов. Сплойты можно найти на многих сайтах таких как:
milw0rm.com
securitylab.ru
securityfocus.com
На сайтах приводиться уведомление о той или иной уязвимости найденой в браузере, иногда вместе со сплойтом. Для дорогих связок используют приватные сплойты, которые в конечном счете и определяют стоимость связки. Приватные сплойты - это сплойты с доконца раскрученной уязвимостью, т.е. найдя уязвимость в браузере, например переполнения буфера, нужно еще доконца ее раскрутить чтобы получился download and executable.
Подробнее об это тут

Как определить эффективность связки?
Эффективность связки определяется количеством "пробива" браузеров. Обычно используется несколько сплойтов для разных браузеров и их версиий. В статистике работы связки может приводиться общяя пробиваемость, а так же по отдельным браузерам и версиям. На данный момент самый бажным браузером считается Internet explorer за ним следует Mozilla firefox и Opera.
Подробней можно прочитать здесь
http://s-teals.org/showthread.php?p=2860
Так же там рассматриваются следующие вопросы:
Что такое стата (статистика)
Что такое пробив.
Что такое трафф (траффик) и куда его гонят.
FAQ (общие вопросы возникающие у новичков)

На каком языке программирования можно написать связку?
Преимущественно это php, т.к. имеет большее распространение в глобальной сети. Но так же подходят все языки которые могут собирать информацию об клиентском браузере, такие как perl, javascript, asp, vb, c/c++ и другие. Подробное рассмотрение ротора сплойтов на javascript можно почитать в статье -=lebed=-
http://forum.antichat.ru/thread36997.html

Дополнительные линки по теме, чтобы расширить свой кругозор:
О загрузках - http://forum.antichat.ru/thread39361.html
Криптуем php скрипты от антивирей - http://forum.antichat.ru/thread27118.html
Что такое переполнение буфера? - http://forum.antichat.ru/thread26791.html