Анон, поясни за: 1. Вирусные сайты. Как происходит заражение? Почему об этом постоянно пищит всякое быдло, далекое от it, а я так и не нашел принципа работы сей чудо кода? 2. Малврь вшитая в .mkv. Вчера в треде наткнулся на этот высер, а тред уже утонул. Как этот .mkv запустит вредоносный код? Понятно, что может быть зеродей в самих проигрывателях, но почему об этом знают только чмоньки с дроча, а не безопасники с более специализрованых форумов?
>>241133805 (OP) 1. Бага в браузере что приводит к rce 2. Все в курсе любого не 0дей, не на тех форумах сидишь К слову на форумах по иб почти никто не тусит, весь движ в твиттере и телеге.
>>241134167 > 1. Бага в браузере что приводит к rce Про зеродей я упомянул, это все понятно. Но тогда бы об этом не говорили все, кому не лень, ведь это очень редкая и сложная для обнаружения уязвимость. А вирусные сайты выставляют так, как будто это обыденое дело, как троянчик подхватить. > 2. Все в курсе любого не 0дей, не на тех форумах сидишь О чем в курсе? Поменять .mkv на .exe? Или запускать .mkv.exe?
>>241134306 Ну только 0дей да в браузере , обсуждают и ещё как. Но "вирусные сайты" это как правило связки старых эксплойтов. Собирают базу всех известных сплойтов, вешают скрипт который чекаешь версии плагинов/браузеров и т.д. И начинают гнать траффик на такой сайт. С тысячи пользователей 10-20 да будет со старыми сафари, эксплорерами и прочим. Заебал ты со своим mkv, баги в плеерах а не формате, например rapid7.com/db/modules/exploit/windows/fileformat/vlc_mkv/
>>241134696 > Заебал ты со своим mkv, баги в плеерах а не формате, например Ну так это очевидно. Опять же: > выставляют так, как будто это обыденое дело, как троянчик подхватить.
>>241134753 Ну а что в этом необычного? Любой васян за 1000-10000$ может купить связку таких сплойтов и лить на неё траффик. Любой кто может осилить похапэ или подобное, может собрать такую связку из публичных сплойтов самостоятельно.
>>241133805 (OP) >1. Вирусные сайты. Как происходит заражение? Почему об этом постоянно пищит всякое быдло, далекое от it, а я так и не нашел принципа работы сей чудо кода? Всякие экплойты и уязвимости, чаще всего в исполняемых скриптах. Чащ уже такого очень мало, не если находят какую то свежую уязвимость и разрабы о ней узнают, то быстро(в течении нескольких часов или дней) фиксят выпуская патч. Хотя за эти несколько дней злоумышленник может заразить дохуя машин и наломать дров.
>2. Малврь вшитая в .mkv. Вчера в треде наткнулся на этот высер, а тред уже утонул. Как этот .mkv запустит вредоносный код? Понятно, что может быть зеродей в самих проигрывателях, но почему об этом знают только чмоньки с дроча, а не безопасники с более специализрованых форумов? Это скорее всего байки, максимум что может содержаться в таких медиафайлах - это зашифрованная полезная нагрузка
>>241136507 >>2 Ты ещё скажи что в адоб ридере или ворде переполнений и прочего говно не находили, что позволяло перезаписать код софта кек. Бага не в формате а в софте который его пытается открыть.
>>241136623 >адоб ридере или ворде Это не медиафайлы, а документы. С ними все сложнее. >переполнений Это давно не работает, потому что есть защита в ос и самом софте. Плюс антивирус остановит такой процесс если только софт из под которой исполняется шелл код не добавлен в исключения
>>241137258 Ну ты и тупой. Сигнатуры сразу идут нахуй. Эвристика, сандбоксы и прочие отладки обходятся элементарно. Вот тебе несколько триксов, через вмик чекаешь температуру проца и от результата либо запускаешь пайлоад либо нет, так же количество ОЗУ, запущенных процессах, наличие коннекта и т.д. В общем иди нахуй, простой Иван город Тверь на дауне.
>>241137258 >Это давно не работает, потому что есть защита в ос и самом софте Защищает стековую память от исполнения, а не от переполнения. При переполнении все так же можно составить ROP цепочку и выполнять нужный код.
>>241137515 Двачеру объяснять что-то, пиздец не благодарное дело, типичный иван город Тверь, имеет собственное, ничем не обасобленное мнение, которое для него единственное и верное. У такого дауне спроси что угодно, в ответ будут либо боевые картинки, либо гринтекст или же копипаст с первой страничке википедии. А про ринги осей, куда и как можно залезть, тут им даже пояснять не стоит, как за асм, архитектуры и прочие
>>241140917 Сам mkv это мультимедийный контейнер, который содержит аудио, видео, сабы, etc... Все эти части, если и называть их кодом, только кодируют амплитуды, пиксели, текст, но никак не пейлоад для заражения файлов и прочей гадости. Пейлоад может быть проэксплуатирован только через уязвимости самих проигрывателей, как к примеру, переполнение стека.
Ну как подхватить вирос 1) скачать и запустить взломанные софт - 99.99% там вирус, иначе зачем хакерам заморачиваться. 2) попасть на сайт выполняющий вредоносных код, 10% вероятность что произойдёт заражение 3) открыть заражённых пдф файл 4) открыть picture.jpg.exe Чаще всего погружается безврелный шпион и потом уже через него определённой аудитории погружается определённый софт, кому манеры, кому воры данных, кому спам ботов. Больше узнать можно на блоге брайана кребса.
>>241142293 > скачать и запустить взломанные софт - 99.99% там вирус, иначе зачем хакерам заморачиваться. Just for lulz. Некоторым просто интересна эта тема. > попасть на сайт выполняющий вредоносных код, 10% вероятность что произойдёт заражение Каким способом? > открыть заражённых пдф файл И что произойдет? > Чаще всего погружается безврелный шпион и потом уже через него определённой аудитории погружается определённый софт, кому манеры, кому воры данных, кому спам ботов. Шпион как раз таки подгружается, если покупатель этого захочет. Те, кто оказывают услуги заражения, обычно используют downloader'ы. >>241142666 А как по твоему будет происходить заражение через эти фотки?
>>241142666 На дваче фотки чистые. Имеется ввиду когда тебе кто то послалал файл picture.jpg.exe >>241142705 > > скачать и запустить взломанные софт - 99.99% там вирус, иначе зачем хакерам заморачиваться. > Just for lulz. Некоторым просто интересна эта тема. Прошли те времена. Лет 20 как. Есть конечно белошляпки ращьезжающие по конфренциям, но там все не так просто. > > попасть на сайт выполняющий вредоносных код, 10% вероятность что произойдёт заражение > Каким способом? Ну либо ты попадаешь на сайт на котором размещён вредоносных код, который скачает в кеш экзешник и заставит браузер его выполнить или это будет взломаный легитимный сайт на котором будет встроен скрытый переход на сайт с вредоносных кодом. > > открыть заражённых пдф файл > И что произойдет? Адоби ридер запустит подшитый к нему экзешник. > > Чаще всего погружается безврелный шпион и потом уже через него определённой аудитории погружается определённый софт, кому манеры, кому воры данных, кому спам ботов. > Шпион как раз таки подгружается, если покупатель этого захочет. Те, кто оказывают услуги заражения, обычно используют downloader'ы. Ну я популярным языком объясняю, не вдаваясь в технические детали, а так верно.
Раз такой тред, спрошу тут. С компа постоянно идут запросы на определённый сайт смотрю в логах днс сервера локального. Как узнать, что за хуита шлёт запросы?
>>241144403 > Ну либо ты попадаешь на сайт на котором размещён вредоносных код, который скачает в кеш экзешник и заставит браузер его выполнить Каким образом? > или это будет взломаный легитимный сайт на котором будет встроен скрытый переход на сайт с вредоносных кодом. Это уже больше похоже на правду, но эта атака называется csrf и только ворует куки от самого взломаного сайта. > Адоби ридер запустит подшитый к нему экзешник. С чего бы ему запускать подшитые екзешники? > Ну я популярным языком объясняю, не вдаваясь в технические детали, а так верно. Нет, это именно ошибка. Популярным языком допускается назвать всю малварь вирусом, а не довнловдер шпионом.
>>241144759 > > Ну либо ты попадаешь на сайт на котором размещён вредоносных код, который скачает в кеш экзешник и заставит браузер его выполнить > Каким образом? Разные сплойты, хотя бы бесплатный метасплойт. > > или это будет взломаный легитимный сайт на котором будет встроен скрытый переход на сайт с вредоносных кодом. > Это уже больше похоже на правду, но эта атака называется csrf и только ворует куки от самого взломаного сайта. Иксперд в треде, все на античат! Причём тут куки, дитё. Тупо в логах находят фтп/ссх или загружают шелл и встраивают в хедер ифрейм в 1пх. > > Адоби ридер запустит подшитый к нему экзешник. > С чего бы ему запускать подшитые екзешники? С того, что я твою мать тупорогую ебу. > > Ну я популярным языком объясняю, не вдаваясь в технические детали, а так верно. > Нет, это именно ошибка. Популярным языком допускается назвать всю малварь вирусом, а не довнловдер шпионом. >допускается Допустил тебе в ротешь. Пошёл нахуй.
>>241144403 Это такой троллинг тупостью или что? Я последний раз такое видел, когда какой то анимедебил полез обсуждать турбины в тэс, придумывая какую то чушь на ходу. Какой то шизофазный высер выблядка >Прошли те времена. Лет 20 как. Есть конечно белошляпки ращьезжающие по конфренциям, но там все не так просто. Какие времена даун? Какие белошляпки? Каким конференциям?
>Ну либо ты попадаешь на сайт на котором размещён вредоносных код, который скачает в кеш экзешник и заставит браузер его выполнить или это будет взломаный легитимный сайт на котором будет встроен скрытый переход на сайт с вредоносных кодом. Вот с этого вообще обосрался со смеху. Экзе в кеш браузера блять
>Адоби ридер запустит подшитый к нему экзешник. Как ты "подошьешь" ехе к документу? Ты можешь только ехе склеить с другим ехе
>>241145236 >Причём тут куки, дитё. Тупо в логах находят фтп/ссх или загружают шелл и встраивают в хедер ифрейм в 1пх. И?Так сайт же бля будут пхп код выполнять, а не жертва. В результате этой хуйни хакир только на самого себя реверс шел кинет >Разные сплойты, хотя бы бесплатный метасплойт Причем тут метасплойт? Это ж просто фреймворк для эксплоитов. Ну и о5 же ты тут походу путаешь всё. Ибо ну как сайт может заставить тебя, без твоего ведома, заставить что-то запустить?Вот в обратном случае это да, ты можешь всякими эксплойтами и lfi/dir traversal заставить сайт что-то запустить. мимо
>>241145236 > Разные сплойты, хотя бы бесплатный метасплойт. Все это говно фиксится еще до попадания в метасплоит. > Иксперд в треде, все на античат! > хахах мам сматри он знает то что ни знаю йа во тупой > Причём тут куки, дитё То, что они отсылаются на сервер злоумышленика, мань. > встраивают в хедер ифрейм в 1пх. А как это называется, вкурсе, ребенок? А для чего это говно надо, вкурсе? > С того, что я твою мать тупорогую ебу. > Допустил тебе в ротешь. Пошёл нахуй. > пук
>>241146018 Ну и что будет? Ридеры в лучшем случае просто проигнорируют эту хуйню, в худшем - скажут что файл поврежден. Твоя писанина будет работать, только если ты предвадительно этот сделал так, чтоб ридер стал как-то исполнять твой ехешный код.