1. Вирусные сайты. Как происходит заражение? Почему об этом постоянно пищит всякое быдло, далекое от it, а я так и не нашел принципа работы сей чудо кода?
2. Малврь вшитая в .mkv. Вчера в треде наткнулся на этот высер, а тред уже утонул. Как этот .mkv запустит вредоносный код? Понятно, что может быть зеродей в самих проигрывателях, но почему об этом знают только чмоньки с дроча, а не безопасники с более специализрованых форумов?
Да.
>Как происходит заражение?
Без задней мысли.
1. Бага в браузере что приводит к rce
2. Все в курсе любого не 0дей, не на тех форумах сидишь
К слову на форумах по иб почти никто не тусит, весь движ в твиттере и телеге.
> 1. Бага в браузере что приводит к rce
Про зеродей я упомянул, это все понятно. Но тогда бы об этом не говорили все, кому не лень, ведь это очень редкая и сложная для обнаружения уязвимость. А вирусные сайты выставляют так, как будто это обыденое дело, как троянчик подхватить.
> 2. Все в курсе любого не 0дей, не на тех форумах сидишь
О чем в курсе? Поменять .mkv на .exe? Или запускать .mkv.exe?
Ну только 0дей да в браузере , обсуждают и ещё как. Но "вирусные сайты" это как правило связки старых эксплойтов.
Собирают базу всех известных сплойтов, вешают скрипт который чекаешь версии плагинов/браузеров и т.д. И начинают гнать траффик на такой сайт. С тысячи пользователей 10-20 да будет со старыми сафари, эксплорерами и прочим.
Заебал ты со своим mkv, баги в плеерах а не формате, например
rapid7.com/db/modules/exploit/windows/fileformat/vlc_mkv/
> Заебал ты со своим mkv, баги в плеерах а не формате, например
Ну так это очевидно. Опять же:
> выставляют так, как будто это обыденое дело, как троянчик подхватить.
Ну а что в этом необычного? Любой васян за 1000-10000$ может купить связку таких сплойтов и лить на неё траффик. Любой кто может осилить похапэ или подобное, может собрать такую связку из публичных сплойтов самостоятельно.
Делать нехуй косарь на связку лить, выхлопа ноль
Ну раз продают, то спрос есть. Но вообще васяны сейчас уже сразу так называемые "логи" (хотя по факту это креды) покупают.
И что ты бампаеш? Я тебе уже все пояснил, что ты ещё услышать хочешь?
Как мать твою хачи ебали.
Ну выпили они портвейн 777, дура она, ну потом они и поебались, малофья потом полилась.
>1. Вирусные сайты. Как происходит заражение? Почему об этом постоянно пищит всякое быдло, далекое от it, а я так и не нашел принципа работы сей чудо кода?
Всякие экплойты и уязвимости, чаще всего в исполняемых скриптах. Чащ уже такого очень мало, не если находят какую то свежую уязвимость и разрабы о ней узнают, то быстро(в течении нескольких часов или дней) фиксят выпуская патч. Хотя за эти несколько дней злоумышленник может заразить дохуя машин и наломать дров.
>2. Малврь вшитая в .mkv. Вчера в треде наткнулся на этот высер, а тред уже утонул. Как этот .mkv запустит вредоносный код? Понятно, что может быть зеродей в самих проигрывателях, но почему об этом знают только чмоньки с дроча, а не безопасники с более специализрованых форумов?
Это скорее всего байки, максимум что может содержаться в таких медиафайлах - это зашифрованная полезная нагрузка
>>2
Ты ещё скажи что в адоб ридере или ворде переполнений и прочего говно не находили, что позволяло перезаписать код софта кек.
Бага не в формате а в софте который его пытается открыть.
>адоб ридере или ворде
Это не медиафайлы, а документы. С ними все сложнее.
>переполнений
Это давно не работает, потому что есть защита в ос и самом софте. Плюс антивирус остановит такой процесс если только софт из под которой исполняется шелл код не добавлен в исключения
Ну ты и тупой. Сигнатуры сразу идут нахуй. Эвристика, сандбоксы и прочие отладки обходятся элементарно. Вот тебе несколько триксов, через вмик чекаешь температуру проца и от результата либо запускаешь пайлоад либо нет, так же количество ОЗУ, запущенных процессах, наличие коннекта и т.д.
В общем иди нахуй, простой Иван город Тверь на дауне.
>Это давно не работает, потому что есть защита в ос и самом софте
Защищает стековую память от исполнения, а не от переполнения. При переполнении все так же можно составить ROP цепочку и выполнять нужный код.
Твоя мать шлюха а отец алкоголик
Да я и сам по их стопам пошёл, став пентестером алкогольной шлюхой.
Двачеру объяснять что-то, пиздец не благодарное дело, типичный иван город Тверь, имеет собственное, ничем не обасобленное мнение, которое для него единственное и верное. У такого дауне спроси что угодно, в ответ будут либо боевые картинки, либо гринтекст или же копипаст с первой страничке википедии.
А про ринги осей, куда и как можно залезть, тут им даже пояснять не стоит, как за асм, архитектуры и прочие
Поднял твою мать на спину твоего Бати членодевки и выебал их.
> пук
> Как этот .mkv запустит вредоносный код?
Сам mkv тоже код. Так и запустит
>>в рот твоей мамке
Сам mkv это мультимедийный контейнер, который содержит аудио, видео, сабы, etc... Все эти части, если и называть их кодом, только кодируют амплитуды, пиксели, текст, но никак не пейлоад для заражения файлов и прочей гадости. Пейлоад может быть проэксплуатирован только через уязвимости самих проигрывателей, как к примеру, переполнение стека.
> если и называть их кодом
Айтишники, которых мы незаслужили
1) скачать и запустить взломанные софт - 99.99% там вирус, иначе зачем хакерам заморачиваться.
2) попасть на сайт выполняющий вредоносных код, 10% вероятность что произойдёт заражение
3) открыть заражённых пдф файл
4) открыть picture.jpg.exe
Чаще всего погружается безврелный шпион и потом уже через него определённой аудитории погружается определённый софт, кому манеры, кому воры данных, кому спам ботов.
Больше узнать можно на блоге брайана кребса.
> заражённых пдф файл
Шта?
Вот на счет офток писос, на дваче хер определить завирусована она или нет
> скачать и запустить взломанные софт - 99.99% там вирус, иначе зачем хакерам заморачиваться.
Just for lulz. Некоторым просто интересна эта тема.
> попасть на сайт выполняющий вредоносных код, 10% вероятность что произойдёт заражение
Каким способом?
> открыть заражённых пдф файл
И что произойдет?
> Чаще всего погружается безврелный шпион и потом уже через него определённой аудитории погружается определённый софт, кому манеры, кому воры данных, кому спам ботов.
Шпион как раз таки подгружается, если покупатель этого захочет. Те, кто оказывают услуги заражения, обычно используют downloader'ы.
>>241142666
А как по твоему будет происходить заражение через эти фотки?
На дваче фотки чистые. Имеется ввиду когда тебе кто то послалал файл picture.jpg.exe
>>241142705
> > скачать и запустить взломанные софт - 99.99% там вирус, иначе зачем хакерам заморачиваться.
> Just for lulz. Некоторым просто интересна эта тема.
Прошли те времена. Лет 20 как. Есть конечно белошляпки ращьезжающие по конфренциям, но там все не так просто.
> > попасть на сайт выполняющий вредоносных код, 10% вероятность что произойдёт заражение
> Каким способом?
Ну либо ты попадаешь на сайт на котором размещён вредоносных код, который скачает в кеш экзешник и заставит браузер его выполнить или это будет взломаный легитимный сайт на котором будет встроен скрытый переход на сайт с вредоносных кодом.
> > открыть заражённых пдф файл
> И что произойдет?
Адоби ридер запустит подшитый к нему экзешник.
> > Чаще всего погружается безврелный шпион и потом уже через него определённой аудитории погружается определённый софт, кому манеры, кому воры данных, кому спам ботов.
> Шпион как раз таки подгружается, если покупатель этого захочет. Те, кто оказывают услуги заражения, обычно используют downloader'ы.
Ну я популярным языком объясняю, не вдаваясь в технические детали, а так верно.
> Ну либо ты попадаешь на сайт на котором размещён вредоносных код, который скачает в кеш экзешник и заставит браузер его выполнить
Каким образом?
> или это будет взломаный легитимный сайт на котором будет встроен скрытый переход на сайт с вредоносных кодом.
Это уже больше похоже на правду, но эта атака называется csrf и только ворует куки от самого взломаного сайта.
> Адоби ридер запустит подшитый к нему экзешник.
С чего бы ему запускать подшитые екзешники?
> Ну я популярным языком объясняю, не вдаваясь в технические детали, а так верно.
Нет, это именно ошибка. Популярным языком допускается назвать всю малварь вирусом, а не довнловдер шпионом.
Снифер. Wireshark, к примеру.
И я там видно будет сам процесс? Или просто, что с определённого ип идёт запрос?
Порт и ип отправителя видно будет, по ним через ss находишь процесс
мимо
А как настроить wireshark для этого?
> > Ну либо ты попадаешь на сайт на котором размещён вредоносных код, который скачает в кеш экзешник и заставит браузер его выполнить
> Каким образом?
Разные сплойты, хотя бы бесплатный метасплойт.
> > или это будет взломаный легитимный сайт на котором будет встроен скрытый переход на сайт с вредоносных кодом.
> Это уже больше похоже на правду, но эта атака называется csrf и только ворует куки от самого взломаного сайта.
Иксперд в треде, все на античат!
Причём тут куки, дитё. Тупо в логах находят фтп/ссх или загружают шелл и встраивают в хедер ифрейм в 1пх.
> > Адоби ридер запустит подшитый к нему экзешник.
> С чего бы ему запускать подшитые екзешники?
С того, что я твою мать тупорогую ебу.
> > Ну я популярным языком объясняю, не вдаваясь в технические детали, а так верно.
> Нет, это именно ошибка. Популярным языком допускается назвать всю малварь вирусом, а не довнловдер шпионом.
>допускается
Допустил тебе в ротешь. Пошёл нахуй.
Я ВНУТРИ СИСТЕМЫ
ТЕБЕ ПИЗДА
https://youtu.be/O8ZWBi9STQs
Это такой троллинг тупостью или что? Я последний раз такое видел, когда какой то анимедебил полез обсуждать турбины в тэс, придумывая какую то чушь на ходу.
Какой то шизофазный высер выблядка
>Прошли те времена. Лет 20 как. Есть конечно белошляпки ращьезжающие по конфренциям, но там все не так просто.
Какие времена даун? Какие белошляпки? Каким конференциям?
>Ну либо ты попадаешь на сайт на котором размещён вредоносных код, который скачает в кеш экзешник и заставит браузер его выполнить или это будет взломаный легитимный сайт на котором будет встроен скрытый переход на сайт с вредоносных кодом.
Вот с этого вообще обосрался со смеху. Экзе в кеш браузера блять
>Адоби ридер запустит подшитый к нему экзешник.
Как ты "подошьешь" ехе к документу? Ты можешь только ехе склеить с другим ехе
>Причём тут куки, дитё. Тупо в логах находят фтп/ссх или загружают шелл и встраивают в хедер ифрейм в 1пх.
И?Так сайт же бля будут пхп код выполнять, а не жертва. В результате этой хуйни хакир только на самого себя реверс шел кинет
>Разные сплойты, хотя бы бесплатный метасплойт
Причем тут метасплойт? Это ж просто фреймворк для эксплоитов. Ну и о5 же ты тут походу путаешь всё. Ибо ну как сайт может заставить тебя, без твоего ведома, заставить что-то запустить?Вот в обратном случае это да, ты можешь всякими эксплойтами и lfi/dir traversal заставить сайт что-то запустить.
мимо
ntcn
> Разные сплойты, хотя бы бесплатный метасплойт.
Все это говно фиксится еще до попадания в метасплоит.
> Иксперд в треде, все на античат!
> хахах мам сматри он знает то что ни знаю йа во тупой
> Причём тут куки, дитё
То, что они отсылаются на сервер злоумышленика, мань.
> встраивают в хедер ифрейм в 1пх.
А как это называется, вкурсе, ребенок? А для чего это говно надо, вкурсе?
> С того, что я твою мать тупорогую ебу.
> Допустил тебе в ротешь. Пошёл нахуй.
> пук
>Как ты "подошьешь" ехе к документу? Ты можешь только ехе склеить с другим ехе
cat virus.exe >> document.pdf
Ez.
Ну и что будет? Ридеры в лучшем случае просто проигнорируют эту хуйню, в худшем - скажут что файл поврежден. Твоя писанина будет работать, только если ты предвадительно этот сделал так, чтоб ридер стал как-то исполнять твой ехешный код.
Проверил бы сперва, а потом пиздел.
Ну давай, покажи видеопруф. Я линуксоид.
Так сам и проверь, раз линуксоид.
> exe
> сам проверь
А, ну так я тоже линуксоид, я думал ты про cat.
Посмотри pastezort exploit
Как это относится к сабжу в оппосте?