чисто любопытство: какой пробив у нуклера? на какие основные уязвимости там делаеться упор? поддерживаються все браузеры?
Связки одинаковы разница лишь в функциональности админ панели и в свежести сплоитов, многие авторы неохотного говорят или вообще не говорят какие сплоиты у них в наборе. В основном это клиент-сайд эксплойты под Java, Adobe Flash Player, Adobe Reader, Silverlight, Word, Exel, Internet Eplorer, Mozilla Firefox, Safari, Google Chrome, Opera. Что касается типов удаленное выполнение кода там.
Поделитесь контактами селлера Microsoft word intruder. Лаве есть. Если есть единомышленники - пишите в ЛС. Спасибо!
Тоже интересует MS Word Intruder? И я бы его попробовал. Только вот такой вопрос: он же так же, как и большинство паков, арендуемый на площадке или же скачиваешь серверную часть прямо себе на комп, аля ратники&RMS ???
Я бы если и начал, то с этого пака. Просто есть возможность рассылать целевые сообщения с вложением. Сама возможность использовать вордовские документы очень привлекает. Другие паки (те же Angler, Nuclear), в основном, я так понял нацелены на размещение на веб-странице. Но всё-таки хотелось, чтобы Intruder был не из арендуемых. Со скачиваемым сервером, чтобы потом можно было бы старую версию использовать, если что. Ты маякни в ЛС, если какие-либо хорошие ресурсы найдёшь... Я просто немного знаю, люди вот дарккод и коровку здесь советовали, может, там...
на эксплоите есть вордовская связка, нуклер, англер, это конечно всё хорошо, не забывайте про нейтрино вполне хорошая связка.
MICROSOFT WORD INTRUDER (MWI) MWI - профессиональное "средство доставки", эксплойт-пак на базе целого ряда самых актуальных 1-day уязвимостей в продуктах Microsoft Office Word. Документ, сгенерированный MWI может содержать в себе до 4ех эксплойтов сразу: 1. CVE-2010-3333 2. CVE-2012-0158 3. CVE-2013-3906 4. CVE-2014-1761 Запускаемый .exe файл может содержаться как в теле самого документа, так и вытягиваться по ссылке с web-сервера. Что отличает данный эксплойт, от всех остальных решений: - Уникальность MWI - это единственное решение на рынке .doc эксплойтов, которое представляет собой мультиэксплойт и атакует сразу несколько уязвимостей одновременно. Такой подход повышает шансы на успех и позволяет атаковать сразу два вектора обновлений: операционную систему и сам офисный пакет приложений. - Универсальность MWI охватывает почти всю линейку версий Microsoft Office: Word XP, Word 2003, Word 2007, Word 2010. Каждый эксплойт реализован так, чтобы суметь атаковать как можно больше уязвимых версий и операционных систем. По охвату уязвимых систем MWI выгодно отличается от всех альтернативных решений. - Надежность Эксплойт максимально независим от разного рода условий для успешной атаки: будь то версия установленного ПО в системе или те или иные защитные механизмы ОС. Каждый этап работы эксплойта продуман до мелочей. - Обход средств защиты Эксплойт максимально усложняет свое обнаружение: каждый элемент эксплойта защищен от обнаружения целым комплексом средств: от банальной обфускации до полиморфизма и шифрования. Каждый сгенерированный эксплойт имеет свою уникальную сигнатуру, максимально рандомизированную структуру и данные. Помимо противодействию сигнатурным методам, эксплойт использует различные методы для обхода проактивных (поведенческих) средств обнаружения. В частности, запуск .exe-файла производится из контекста доверенного системного процесса. - Поддержка и постоянное развитие MWI для широкой аудитории был представлен на рынке лишь весной 2013 года, хотя его первые версии были созданы еще в конце 2010 года и использовались в довольно узком кругу людей. Проект постепенно совершенствовался и улучшался, обрастая новыми эксплойтами и модулями, вконце концов сформировавшись до целого эксплойт-пака с гибкой модульной архитектурой. Проект постоянно развивается и не стоит на месте. Мы регулярно выпускаем обновления, производим чистки, дополняем эксплойт-пак новыми эксплойтами и модулями. Мы настроены на долгосрочное сотрудничество. - Инновации MWI - инновационное решение. Очередным подтверждением этого стало появление web-сервера статистики "mwistat", который позволяет вести полную статистику работы эксплойта, логировать когда и во сколько был открыт документ или произведена загрузка .exe-файла, с какого IP-адреса, а также некоторую другую информацию об используемом ПО на атакуемых системах (User-Agent). http://s4.postimg.org/5ld8djbyl/mwistat_files.png http://s3.postimg.org/ybmevy743/mwistat_logs.png http://s22.postimg.org/gt95gtpqp/mwistat_stats.png CVE-2010-3333: RTF pFragments Stack Buffer Overwrite Remote Code Execution Exploit [MS10-087] EXPLOITABLE WORD VERSIONS: Word 2003 32-bit XP, Vista, Win7, Win8 32 & 64 bit Word 2007 32-bit XP, Vista, Win7, Win8 32 & 64 bit Word 2010 32-bit XP, Vista, Win7, Win8 32 & 64 bit VULNERABLE MODULE PATHS: Word 2003 C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll Word 2007 C:\Program Files\Common Files\Microsoft Shared\office12\mso.dll Word 2010 C:\Program Files\Common Files\Microsoft Shared\office14\mso.dll PATCHES: Word 2003 mso.dll 11.0.8329.0000 Word 2007 mso.dll 12.0.6545.5004 Word 2010 mso.dll 14.0.5128.5000 Отличие от всех альтернативных решений: - полная универсальность и надежность, единственное универсальное и реально рабочее решение Цитата CVE-2012-0158: MSCOMCTL.OCX ListView Stack Buffer Overwrite Remote Code Execution Exploit [MS12-027] EXPLOITABLE WORD VERSIONS: Word 2003 32-bit XP, Vista, Win7, Win8 32 & 64 bit Word 2007 32-bit XP, Vista, Win7, Win8 32 & 64 bit Word 2010 32-bit XP, Vista, Win7, Win8 32 & 64 bit VULNERABLE MODULE PATHS: C:\WINDOWS\system32\MSCOMCTL.OCX C:\Windows\SysWOW64\MSCOMCTL.OCX EXPLOITABLE VERSIONS: MSCOMCTL.OCX 6.01.9545 MSCOMCTL.OCX 6.01.9782 MSCOMCTL.OCX 6.01.9786 MSCOMCTL.OCX 6.01.9813 MSCOMCTL.OCX 6.01.9816 MSCOMCTL.OCX 6.01.9818 PATCHES: MSCOMCTL.OCX 6.01.9833 MSCOMCTL.OCX 6.01.9834 * уязвимость отсутствует в некоторых сборках MSOffice, не поддерживающих работу с ActiveX, например Office 2010 Starter, а также различных пиратских сборках, где модуль MSCOMCTL.OCX просто отсутствует. Отличие от всех альтернативных решений: - полная универсальность и надежность, единственное универсальное и реально рабочее решение Цитата CVE-2013-3906: TIFF Heap Overflow via Integer Overflow [MS13-096] EXPLOITABLE WORD VERSIONS: Word 2007 32-bit XP, Vista, Win7 32 & 64 bit Word 2010 32-bit XP 32 bit * эксплойт основан на технологии heap-spray 1. EXPLOITATION OF OGL.DLL (Office 2007) VULNERABLE MODULE PATHS: C:\Program Files\Common Files\Microsoft Shared\OFFICE12\OGL.DLL EXPLOITABLE: OGL.DLL 12.0.6509.5000 OGL.DLL 12.0.6420.1000 OGL.DLL 12.0.6420.1000 OGL.DLL 12.0.6415.1000 and others PATCHES: OGL.DLL 12.0.6700.5000 OGL.DLL 12.0.6688.5000 OGL.DLL 12.0.6679.5000 OGL.DLL 12.0.6659.5000 OGL.DLL 12.0.6604.1000 2. EXPLOITABLE VERSIONS OF OGL.DLL (Office 2010 + XP) VULNERABLE MODULE PATHS: C:\Program Files\Common Files\Microsoft Shared\OFFICE14\OGL.DLL EXPLOITABLE: OGL.DLL 4.0.7577.4098 OGL.DLL 4.0.7577.4392 and others PATCHES: OGL.DLL 4.0.7577.4415 Отличие от всех альтернативных решений: - макисмальная скорость heap-spray - универсальность (атака сразу на office2007 + office2010) - универсальный ROP сразу для двух версий MSCOMCTL.OCX 983x - широкие возможности для дальнейших чисток и обфускации эксплойта - минимальная детектируемость эксплойта (единственный эксплойт в формате RTF) Цитата CVE-2014-1761: RTF ListOverrideCount Memory Corruption / Object Confusion [MS14-017] EXPLOITABLE WORD VERSIONS: Word 2010 32-bit Win7, Win8 VULNERABLE MODULE PATHS: C:\Program Files\Microsoft Office\Office14\wwlib.dll EXPLOITABLE: wwlib.dll 14.0.4762.1000 and others PATCHES: wwlib.dll 14.0.7121.5004 Отличие от всех альтернативных решений: - поддержка windows 8 - недетектируемость эксплойта Цитата MWISTAT 2.0: statistic web-server Web-сервер статистики mwistat позволяет вести полную статистику работы эксплойта, логировать когда и во сколько был открыт документ или произведена загрузка .exe-файла, с какого IP-адреса, а также некоторую другую информацию, как например User-Agent. Меню: FILES - загружаемые .exe-файлы LOGS - логи STATS - статистика TOOLS - доп. инструменты (IP-whois) Раздел FILES представляет из себя таблицу со следующими колонками: FILE_ID - идентификатор файла (8 цифр) FILE_NAME - имя .exe файла FILE_DATE - дата загрузки файла FILE_STAT_URL - так называемая "stat" ссылка для работы с этим файлом (указывается в билдере) FILE_LOGS - кнопки для просмотра логов/статистики по данному файлу (LOGS | STATS) ACTION - кнопки для загрузки, редактирования (reupload), удаления файла (GET | EDIT | DEL) Кнопка ADD NEW FILE позволяет загрузить .exe-файл на сервер. Раздел LOGS представляет из себя таблицу со следующими колонками: DATE_TIME - дата и время запроса (при нажатии сортируются по времени в обратном порядке) FILE_ID - идентификатор файла (8 цифр) IP_ADDRESS - IP-адрес IP_INFO - страна, флажок (при нажатии выводит всю IP-whois информацию) ACTION - бывает трех видов: 1. OPEN - открытие документа. 2. LOAD - загрузка .exe файла. если с пометкой failed - .exe-файл был удален с сервера и загружен не был. 3. SUSP или SUSPICIOUS - подозрительный запрос. это могут быть попытки взлома или другие действия со стороны хакеров, антивирусных компаний, исследователей и прочих нежелательных лиц. USER_AGENT - поле HTTP-пакета User-Agent GET_DATA - переданные GET параметры id и act HTTP-запроса Кнопка CLEAN STATS позволяет очистить все логи и статистику. Раздел STATS - несколько таблиц. Статистика по запросам: TOTAL REQUESTS - всего запросов поступило на сервер OPENED - из этих запросов открыто LOADED - загружено SUSPICIOUS - подозрительные запросы Статистика по уникальным IP-адресам: TOTAL IPs - всего уникальных IP-адресов OPENED - открыто LOADED - загружено SUSPICIOUS - подозрительные запросы TOTAL % - процент пробива Статистика по уникальным IP-адресам (расширенная, список атакованных IP) IP-ADDRESS - IP-адрес (при нажатии - просмотр всех запросов с этого IP) IP-INFO - страна, флажок (при нажатии выводит всю IP-whois информацию) OPENED - из этих запросов открыто LOADED - загружено SUSPICIOUS - подозрительные запросы Кнопка CLEAN STATS также позволяет очистить все логи и статистику. Раздел TOOLS содержит IP-whois сервис - вводим IP, жмем whois и получаем требуемую информацию. Ориентировочная цена за билдер: ~4000$ имеются более бюджетные варианты (урезанные сборки) от ~3000$
жесть) палево развели в теме https://soundcloud.com/ronskispeed/...om-fall-greater-tomorrow-ronski-speed-scrumup
в последнем сообщение автора в той теме написано что продажа копий приостановлена, так же запрещёно массовое использование, только для целевых атак
массовый спам по емайлам прикреплённым вордовским документом в теории должен быть очень выгоден, но автор пишет что у таких отбирает лицензию, потому что антивирусами резко начинает палится документ, а возможности по его криптовки меньше чем у ехе
цель такого спама? поиметь как можно больше ботов? инструмент загнется - обломаются все. в теории любой поток выгоден больше чем по мелочи.
Конечно, атаки через документ максимально таргетированы. Здесь индивидуальный подход к цели. Весь метод сильно завязан на соц. инженерии. =) В продолжение темы: на одном сайте обратил внимание на баннер: там короче как раз та тема: EXE to DOC, 13 килобайт на выходе, внутри связка офисных эксплоитов под разные дыры. Короче, видно и есть MS Word Intruder или его последователи. Ссылка через редирект выкинула на ресурс mwexploit.com; Пробовал зайти: сайт что-то не работает. Так самое интересное, по рекламе цена: всего-то 10$ (!!!) за 1 doc-экземпляр.
