Мөлжилт гэж юу вэ? Мөлжигчид. Хакерууд гуравдагч талын програм хангамжийн сул талыг ашиглахыг хэрхэн зогсоох вэ

Спойлерууд хаанаас ирдэг вэ? Та хэзээ нэгэн цагт дутуу мэдээ хэрхэн гарч байгааг бодож байсан уу
цүнхний машин үнэхээр ажилладаг мастер түлхүүр болж хувирдаг уу? Яаж хоёр арав
кодын мөрүүд та алсын сервер дээр бүрхүүл авч чадах уу? Өнөөдөр бид зочлох болно
Үйлдвэрийг задалж, хэрхэн хийсэн талаар дэлгэрэнгүй харна уу
чанартай бүтээгдэхүүн.

MSF eXploit Builder програмыг ажиллуулаад "Editor" цэс рүү очоод "Шинэ" гэснийг сонгоно уу.
Хэд хэдэн цонхтой цонх гарч ирнэ (Мэдээлэл, Badchars, Analysis,
Shellcode, Design). "Мэдээлэл" таб руу ороод олон сонирхолтой зүйлийг харцгаая
талбайнууд. Таны санаж байгаагаар энэ хэсэг нь зорилго (OS + SP) болон төрөл/протоколыг заадаг
ашиглах (жишээ нь, remote/tcp). Түүнээс гадна, хөтөлбөр нь бидэнд өгдөг
үүссэн мөлжлөгийг турших, дибаг хийх чадвартай тул та нэн даруй хийх боломжтой
гүйцэтгэх файлыг сонгоод түүнийг эхлүүлэх параметрүүдийг (порт, IP хаяг) зааж өгнө үү.

Тиймээс, манай tftpd.exe файлыг сонгоод дараа нь хэрэгсэл нь дараах үйлдлүүдийг санал болгоно
сонголт: програмыг ажиллуулах, дибаг хийгчийн дор ажиллуулах, эсвэл ажиллуулахгүй байх
Ерөнхийдөө програмаа эхлүүлье. Баруун талд байгааг анзаараарай
Програмаар ачаалагдсан DDL-ийн жагсаалт гарч ирнэ.

Одоо бид ашиглалтын кодыг харж эхлэв - аз болоход бидний хувьд энэ нь маш тодорхой юм.

Энэ чиглэлээр олон шинэхэн мэргэжилтнүүд мэдээллийн нууцлалАшиглалтын талаар олон асуулт гарч ирдэг: Мөлжигчид гэж юу вэ? Хэн мөлжлөг бичдэг вэ? Exploit-ийг хэрхэн ашиглах вэ? Энэ нийтлэлд та эдгээр асуултын хариултыг олох болно!

Мөлжигч гэж юу вэ?

Мөлжих- Энэ компьютерийн программ, програм хангамжийн цоорхойг ашиглаж, халдлага үйлдэхэд ашигладаг програм хангамжийн код эсвэл дараалсан тушаалууд. компьютерийн систем. Довтолгооны зорилго нь системийн хяналтыг булаан авах (эрх олголтыг нэмэгдүүлэх) эсвэл түүний үйл ажиллагааг тасалдуулах (DoS халдлага) байж болно. ...

Үндсэндээ мөлжлөг нь тухайн эмзэг байдлыг хэрхэн ашиглаж болох жижиг жишээ юм; туршлагатай хакерын гарт ашиглах нь зорилтот системийг эвдэх боломжийг олгодог хүчирхэг зэвсэг юм.

Хэн мөлжлөг бичдэг вэ?

Мэдээллийн аюулгүй байдлыг судлах хүсэл эрмэлзэлтэй олон мянган сонирхогчид мөлжлөгүүдийг бичдэг бөгөөд тэдгээрийг SecurityFocus зэрэг олон алдартай сайтууд дээр нийтэлдэг. Тэд үүнийг алдар нэрийн төлөө биш, хүүхдийн зохиолын баяр баясгалангийн төлөө биш, харин мэдэгдэхийн тулд хийдэг. системийн администраторуудболон бусад мэдээллийн аюулгүй байдлын мэргэжилтнүүд энэ эмзэг байдлын талаар. Эцсийн эцэст, тодорхой эмзэг байдлын хэрэгжилтийг хангаснаар та "нөхөөс" -ийг хялбархан бичиж болно.

Exploit-ийг хэрхэн ашиглах вэ?

Хэдийгээр олон шинэ хүмүүс эргэлзэж байна асар том баазуудмөлжлөгийн тусламжтайгаар тэдгээрийг ашиглахад тун хялбар!

Жишээлбэл, олон зүйлийн аль нэгэнд нь олдсон эмзэг байдлыг ав Joomla бүрэлдэхүүн хэсгүүд. Та Joomla Component com_camp SQL Injection-ийн эмзэг байдлын холбоосыг дагаж ашиглалтын тайлбарыг олох боломжтой.

Юуны өмнө та эмзэг байдал байгаа програм болон програмын хувилбарыг харах хэрэгтэй. Хэрэв та хэрэгтэй зүйлээ олсон бол ашиглалтын тайлбарыг судалж эхлээрэй. Тайлбар дээр тэд ихэвчлэн эмзэг байдал яг хаанаас олдсоныг бичдэг. Манай тохиолдолд энэ нь com_camp бүрэлдэхүүн хэсэг юм. Таны харж байгаагаар cid хувьсагчийн шүүлтүүр дутмаг байгаатай холбоотой эмзэг байдал бий:

Http://127.0.0.1/index.php?option=com_camp&task=show&cid=

Энэ сул талтай сайтад зочилж, cid хувьсагч дахь ишлэлийг орлуулснаар та хуудаснаас sql injection байгааг илтгэх алдааг олох магадлалтай.

Дараа нь юу хийх вэ? Хэрэв танд бага зэрэг төсөөлөл байгаа бол та маш их зүйлийг хийж чадна! Эндээс бид мөлжлөгт хүрч байна. Ашиглалтын тайлбарын хуудсан дээр тэд ихэвчлэн хөрвүүлэх шаардлагатай эсвэл ямар нэгэн байдлаар эмзэг програм руу "тэжээх" шаардлагатай exploit өөрөө эсвэл програмын код бүхий файлыг нийтэлдэг. Манай тохиолдолд бид cid хувьсагч руу оруулах шаардлагатай sql кодын мөрийг харж байна:

1/**/UNION/**/SELECT/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14--

Мөн манай тохиолдолд энэ эмзэг байдлын хэрэгжилтийн жишээг бид харж байна:

Http://127.0.0.1/index.php?option=com_camp&task=show&cid=-1/**/UNION/**/SELECT/**/1,2,3,4,5,6,7,8, 9,10,11,12,13,14--

Эдгээр өгөгдөлтэй, Joomla мэдээллийн сангийн бүтцийг мэддэг тул та администратор зэрэг хэрэглэгчдэд нэвтрэх, нууц үгийн хэш гэх мэт шаардлагатай бүх өгөгдлийг хялбархан авах боломжтой.

Өөр ямар мөлжлөгүүд байна вэ?

Эмзэг програм хангамжид нэвтрэх аргаас хамааран мөлжлөгийг алсын болон орон нутгийн гэж хуваадаг.

Эксплойтууд нь эмзэг систем дээр гуравдагч этгээдийн үйлдлүүдийг гүйцэтгэхэд зориулагдсан бөгөөд дараах байдлаар хувааж болно.

Ерөнхийдөө GoogleHack & "Нарийвчилсан хайлт" нь жишээлбэл, тодорхой сайт дээр хайлт хийхэд тусална сайт: http:securityfocus.com joomla sql тарилгаЭнэ нь танд joomla дээр sql injection хийх боломжийг олгодог олон эксплойтуудыг харуулах болно.

Мөлжлөгийг тэнэг хүн болгон ашиглаж болох уу?

Үгүй, үгүй, ҮГҮЙ. Эксплойтийг ашиглахын тулд наад зах нь програмчлалын ерөнхий мэдлэг хэрэгтэй (ихэнх мөлжлөгүүд нь зориудаар алдаатай бичигдсэн байдаг бөгөөд энэ нь зүгээр л нэг эмзэг байдлын "танилцуулга" учраас тийм ч их ажиллах чадваргүй байдаг) мөн системийг судлах шаардлагатай. халдлагад өртөж, түүнийг хэрэгжүүлэх хангалттай мэдээлэл цуглуулж байна. Туршлагаас харахад "хялбар мөнгө" хүсдэг олон хүмүүс шаардлагатай мэдлэггүй байдаг.

Дүгнэлт:
Өдөр бүр илүү олон сул тал олддог тул улам олон мөлжлөгүүд бичигддэг. Би чамайг скрипт хүүхэд болохыг дэмжихгүй бөгөөд ямар ч тохиолдолд та энэ мэдээллийг хууль бус зорилгоор ашиглах ёсгүй гэж хэлэхгүй!

Цөмийн энерги гэрэл авчирч ч болно, мөнхийн харанхуйг авчирч ч болно, хүн бүр хэрхэн амьдрахаа өөрөө шийддэг...

Хэрэв бид атаархмаар зүй тогтлыг ашиглан эксплойтийн багц болон хөтөчөөр татаж авах ертөнцийн нөхцөл байдалд дүн шинжилгээ хийхгүй бол манай сэтгүүл ийм нэртэй байх байсан (жишээ нь, ][ № 162-ыг үзнэ үү). Түүнээс хойш сүүлийн тоймхүргэх хэрэгсэлд олон өөрчлөлт нөлөөлсөн хортой код. Тэр дундаа жирийн ажилчдыг элдэв аюулаас хамгаалах үүрэгтэй хүмүүс дэлхийн өргөн сүлжээ, унтаагүй бөгөөд нэгэн цагт хамгийн алдартай Хар Нүхний мөлжлөгийн зохиолч болох алдарт Паунчийг баривчилсан нь эксплойт багцын зах зээлийн гол тоглогчдын дахин хуваарилалтад нөлөөлсөн байх.

АНХААРУУЛГА!

Бүх мэдээллийг зөвхөн мэдээллийн зорилгоор өгсөн болно. Зохиогч болон редакторуудын аль нь ч энэ нийтлэлийн материалаас учирч болзошгүй хохирлыг хариуцахгүй.

Өнөөдрийн бидний жагсаалтад хамгийн алдартай есөн ашиглалтын иж бүрдэл багтах болно. Нэгэн цагт ийм тод удирдагч байсныг тэмдэглэх нь зүйтэй Хар нүх, тэдний дунд байдаггүй бөгөөд нэг эсвэл өөр төлөөлөгчийн алдар нэрийг янз бүрийн судлаачид болон вирусны эсрэг компаниуд үргэлж ижил үнэлдэггүй. Гэсэн хэдий ч ерөнхий зураг дараах байдалтай байна.

• Angler Exploit иж бүрдэл;
• Sweet Orange Exploit иж бүрдэл;
• Цөмийн ашиглалтын хэрэгсэл;
• Fiesta Exploit иж бүрдэл;
• Magnitude Exploit иж бүрдэл;
• Neutrino Exploit иж бүрдэл;
• Astrum Exploit хэрэгсэл;
• RIG Exploit иж бүрдэл;
• Archie Exploit багц.

Angler Exploit иж бүрдэл

Өнөөдрийн манай тоймыг ахлагч. Энэ нь өнгөрсөн оны сүүлээр гарч ирсэн бөгөөд зарим мэдээллээр бол олон Black Hole Exploit Kit хэрэглэгчид Паунч баривчлагдсаны дараа энэхүү мөлжлөгийн багцыг ашиглах болсон байна. Өнөөдөр энэ нь арван хоёр эмзэг байдлын арсеналдаа байдаг (мөн хоёр нь маш саяхан).

Эхлээд ( CVE 2015-0311) нь дурын кодыг гүйцэтгэх боломжийг олгодог Flash хувилбарууд Windows болон OS X-д зориулсан 16.0.0.287 хүртэл, хоёр дахь ( CVE 2015-0310) - Adobe дахь аюулгүй байдлын хязгаарлалтыг алгасах Flash тоглуулагч, ASLR-г идэвхгүй болгож, дурын кодыг ажиллуул.

Angler EK нь хорлонтой үйл ажиллагаагаа эхлүүлэхийн өмнө халдлагад өртөж буй машин виртуал орчинд ажиллаж байгаа эсэх (VMware, VirtualBox болон Parallels Workstation нь холбогдох драйверууд байгаа эсэх) болон вирусын эсрэг ямар хэрэгсэл суулгасан (илэрсэн) зэргийг шалгадаг. өөр өөр хувилбарууд Kaspersky, Trend Micro болон Symantec-ийн антивирусууд, вирусны эсрэг хэрэгсэл AVZ). Дээрхээс гадна Fiddler вэб дибаглагч байгаа эсэхийг шалгадаг.

Дашрамд хэлэхэд, энэ төрлийн шалгалтыг одоо олон эксплойтийн багцад нэг хэмжээгээр хэрэгжүүлдэг, тэр дундаа өнөөдрийн бидний тоймноос авсан.

Angler EK код нь таамаглаж байсанчлан маш сайн ойлгомжгүй, шифрлэгдсэн байдаг бөгөөд зохиогчид exploit pack кодыг тогтмол цэвэрлэдэг (вирусын эсрэг мэдээллийн санд ордог).

Амтат жүржийн Exploit иж бүрдэл

Хэдийгээр энэ ашиглалтын багц нь тийм ч шинэ биш (энэ нь 2012 онд гарч ирсэн) бага ч гэсэн алдартай биш (ялангуяа 2013 оны 10-р сараас хойш) болон саяхан гарсан нэг сул талыг ашигласан гэдгээрээ сайрхаж чадна. Зарим судлаачдын үзэж байгаагаар ашиглалтын багцын нэвтрэлтийн түвшин ойролцоогоор 15% байдаг. Асаалттай Энэ мөчарван эмзэг байдлын мөлжлөгийг багтаасан бөгөөд Angler EK-ээс ялгаатай нь Sweet Orange нь Java-ийн хэд хэдэн эмзэг байдлыг ашигладаг ( CVE 2012-1723, CVE 2013-2424, CVE 2013-2460, CVE 2013-2471).

Sweet Orange нь алгоритмыг ашиглан хэдхэн минут тутамд санамсаргүй домэйн нэрийг үүсгэдэг тул энэ мөлжлөгийн багцыг илрүүлэх, судлахад хэцүү болгодог. Жишээлбэл, дэд домайн нэрүүд дараах байдлаар харагдаж болно.

• abnzzkpp.syt * .net
• abtkslxy.syt * .net
• ajijaohoo.syt * .net
• ancezvwzvn.syt * .net
• azrrfxcab.syt * .net
• bnfjqksp.syt * .net
• bvakjbktwg.syt * .net

Домэйн нэр болон IP хаягийг янз бүрийн антивирусын хар жагсаалтад байгаа эсэхийг шалгахын тулд scan4you.net үйлчилгээг ашигладаг бөгөөд багцын хэрэглэгч өөр шалгах үйлчилгээг зааж өгч болно.

Багцын үнэ - 2500 WMZМөн эхний хоёр долоо хоног цэвэрлэх, домэйн солих нь үнэ төлбөргүй.

Нэмэлт үйлчилгээ:

• Цэвэрлэгээ:нэг сар - 1000 WMZ.
• Домэйн өөрчлөх:
  • Тоо хэмжээ хязгаар, үнэ нь нэг домэйны хувьд:
    • 10 - 25 WMZ хүртэл;
    • 10-аас 30 хүртэл - 15 WMZ;
    • 30-10 WMZ хооронд.
  • Хугацаа (өдөрөөр):
    • 10 - 300 WMZ;
    • 20 - 400 WMZ;
    • 30 - 600 WMZ.
• Серверийн өөрчлөлт: 20 WMZ.

Цөмийн ашиглалтын хэрэгсэл

Энэ олон мөлжлөгийн анхны хувилбарууд 2009 онд гарч ирсэн. Өнөөдрийг хүртэл тоймд танилцуулсан бүх эксплойтийн багцад арван хоёр эмзэг байдлын эксплойтууд багтсан болно (тэдгээр нь бүгд хамгийн сүүлийн үеийнх биш гэдгийг тэмдэглэх нь зүйтэй).

Ихэнх тохиолдолд гурван түвшний дахин чиглүүлэлт нь дараах схемийн дагуу халдварын үед ашиглагддаг: эхний түвшин нь суулгагдсан iframe бүхий эвдэрсэн вэб хуудас, хоёр дахь түвшин нь ашиглалтын багцын холбоос, гурав дахь нь багц өөрөө юм. .

Ашиглалтын багцын код нь маш их ойлгомжгүй байдаг олон тооныашиглагдахгүй өөр өөр газар зарласан хувьсагч болон функцууд.

Гүйцэтгэх үед кодыг арилгахын тулд Nuclear EK нь ойролцоогоор дараах функцуудыг ашигладаг (би эдгээр функцийг гүйцэтгэдэг үйлдлүүд нь тайлбаргүйгээр ойлгомжтой гэж бодож байна):

VV8Y6W = функц(uAVnC, mhTbz) ( буцаах uAVnC(mhTbz); ); WL3 = функц(uAVnC, mhTbz, YSu) ( буцаах uAVnC(mhTbz, YSu); );

Нэмж дурдахад зарим функцүүдийн код, ялангуяа хөтөчийн залгаасуудын платформ, хувилбаруудыг тодорхойлох скрипт (pluginDetect JS номын сан нь залгаасуудыг тодорхойлоход ашиглагддаг) динамик байдлаар үүсгэгддэг:

J_version = PluginDetect.GetVersion("Java"); p_version = PluginDetect.GetVersion("AdobeReader"); f_version = PluginDetect.GetVersion("Flash"); s_version = PluginDetect.GetVersion("Silverlight");

• 50к - 500 WMZ;
• 100к - 800 WMZ;
• 200к - 1200 WMZ;
• 300к - 1600 WMZ.

Хоёр долоо хоног:

• 50к - 300 WMZ;
• 100к - 500 WMZ;
• 200к - 700 WMZ;
• 300к - 900 WMZ.

Нэг долоо хоног:

• 100к - 300 WMZ;
• 200к - 400 WMZ;
• 300к - 500 WMZ.

Бидний тойм дахь хамгийн эртний сул тал бол CVE 2010-0188, Nuclear EK-д багтсан мөлжлөг нь тусгайлан боловсруулсан PDF файлыг ашиглан халдлагад өртсөн систем дээр дурын кодыг ажиллуулах боломжийг олгодог.

Fiesta Exploit иж бүрдэл

Энэхүү exploit-ийн багц нь ашиглалтаас эмзэг байдал руу аяллаа. CVE-2007-5659буцаж 2008 онд. Өнөөдөр энэ нь 2010-2013 он хүртэл үүссэн эмзэг байдал нь есөн мөлжлөгт өртөж байна. Эдгээрээс хамгийн сүүлийнх нь Silverlight-ийн сул талууд бөгөөд давхар заагчийг задлах алдааны улмаас систем дээр дурын кодыг ажиллуулах боломжийг олгодог. CVE 2013-0074) эсвэл санах ой дахь объектыг буруу боловсруулсны улмаас ( CVE 2013-3896).

Silverlight болон AdobeFlash-ийн шаардлагатай хувилбарууд байгаа эсэхийг шалгах нь дараах байдлаар хийгддэг.

// Silverlight байгаа эсэхийг шалгах шинэ ActiveXObject("AgControl.AgControl"); // Шалгалт Adobe Flash new swfobject.embedSWF();

Хэрэв эдгээр функцүүдийн аль аль нь үл хамаарах зүйл үүсгэдэг бол бусад эмзэг байдлыг (Java эсвэл IE) ашиглахыг оролддог.

Ашиглалтын багцын код нь маш их ойлгомжгүй бөгөөд үүнээс гадна санамсаргүй тоо, дараалал ашиглан ихэнх мөрүүдийн шифрлэлтийг ашигладаг.

Magnitude Exploit иж бүрдэл

Уг багц нь 2013 оны эхээр зах зээл дээр гарч ирсэн бөгөөд анх энэ нэрээр алдартай байсан PopAds Exploit Kit.

Энэхүү exploit pack-ын гол онцлог нь scan4you.net үйлчилгээг ашиглан IP хаяг, домэйн, мөн exploit pack-ын кодыг өөр өөр вирусны эсрэг вирусээр илрүүлдэг. Нэмж дурдахад, Sweet Orange EK шиг Magnitude EK нь хэдэн минут тутамд дэд домайн нэрийг динамик үүсгэх, өөрчлөх боломжийг ашигладаг.

Сүүлийн үед ашиглагдаагүй сул талуудыг үл харгалзан (одоогоор энэ багцад долоон ширхэг байгаа) энэхүү exploit багц нь хүлээн зөвшөөрөгдөх хэмжээний нэвтрэлтийг хангадаг.

Та аргументууд нь XOR шифрлэгдсэн дарааллын элементүүд болох String.fromCharCode аргыг ашиглан холболтын кодыг арилгах боломжтой. Энэ дарааллын элементүүдийг бие биенээсээ салгахын тулд % тэмдгийг ашиглана.

Бусад ашиглалтын багцаас ялгаатай нь Magnitude EK-г жишээлбэл долоо хоног эсвэл сараар түрээслэх боломжгүй. Энэхүү багцыг бүтээгчид үйлчлүүлэгчийн нийт урсгалаас халдвар авсан компьютерийн тодорхой хувийг төлбөр болгон авдаг.

Neutrino Exploit иж бүрдэл

Энэхүү ашиглалтын багц нь 2013 оны 3-р сард аялалаа эхлүүлсэн бөгөөд дараа нь зөвхөн хоёр эмзэг байдлын ( CVE 2012–1723Тэгээд CVE 2013–0431, хоёулаа Java-д зориулагдсан). Өнөөдөр ашиглалтын сул талуудын жагсаалт бага зэрэг өргөжсөн бөгөөд одоо Java-д зориулсан таван, нэг ( CVE 2013-2551) руу Internet Explorer.

Exploit pack код нь ойролцоогоор Magnitude EK-тэй ижил аргаар бүдэгрэгддэг. Бусдыг арилгахын тулд дараах функцийг ашиглана.

Xor функц (оролт, дамжуулалт) ( var гаралт = ""; var i = 0; var pos = 0; for (i = 0; i)< input.length; i++){ pos = Math.floor(i%pass.length); output += String.fromCharCode(input.charCodeAt(i) ^ pass.charCodeAt(pos)); } return output; }

Neutrino EK-ийн хохирогчийн халдвар авсан компьютерт татаж авсан "ачаалал" нь XOR шифрлэгдсэн хэлбэрээр дамждаг бөгөөд энэ нь вирусын эсрэг бүтээгдэхүүнээр илрүүлэх магадлалыг бага зэрэг бууруулдаг.

Exploit pack түрээслэх зардал хуваалцсан серверерөнхий цэвэрлэгээтэй:

• өдөр - 40 доллар;
• долоо хоног - 150 доллар;
• сар - 450 доллар.

Astrum Exploit иж бүрдэл

Өнөөдрийн бидний тойм дахь хамгийн залуу мөлжлөгүүдийн багц. Зарим вирусны эсрэг компаниудын үзэж байгаагаар анхны хувилбар нь 2014 оны 9-р сарын дунд үе юм.

Ашиглалтын багцын код нь ихээхэн будлиантай бөгөөд халдвар авсан машин дээр янз бүрийн хакерын хэрэгсэл байгаа эсэхийг шалгах дотоод шалгалтыг агуулдаг. вирусны эсрэг програмууд, түүнчлэн виртуал машин дээр ажиллаж байгаа нь. Нэмж дурдахад Касперскийн дэлгэц дээрх гарын хамгаалалтын залгаас нь тусдаа шалгалт авсан.

Оролдоод үзээрэй ( var O = $(Kaspersky.IeVirtualKeyboardPlugin.JavaScriptApi.1); O && (mr = 1) ) барих (ууд) ()

Энэ нь долоон эмзэг байдлын (Silverlight, Flash, LibTiff болон IE) мөлжлөгүүдийг агуулдаг.

RIG Exploit иж бүрдэл

RIG EK нь 2013 оны сүүлээр хортой үйл ажиллагаагаа эхлүүлсэн бөгөөд өнөөдөр Internet Explorer, Java, Adobe Flash болон Silverlight программуудын сул талыг ашиглаж байна.

Хэрэглэгчид эвдэрсэн хуудсан дээр суулгасан JS скриптийг ашиглан ашиглалтын багцтай хуудас руу дахин чиглүүлдэг. одоогийн огноо(CRC32 хэшийг үүнээс авсан) үүсгэдэг домэйн нэрс, ашиглалтын багц код хаана байрладаг.

Эдгээр мөлжлөгүүд нь мөн вирусын эсрэг бүтээгдэхүүн байгаа эсэхийг шалгадаг (гэхдээ зөвхөн Kaspersky болон Trend Micro) - дараах драйверууд байгаа эсэхийг тодорхойлно:

• c: \\ Windows \\ System32 \\ драйверууд \\ kl1.sys
• c:\\Windows\\System32\\drivers\\tmactmon.sys
• c: \\ Windows \\ System32 \\ drivers \\ tmcomm.sys
• c:\\Windows\\System32\\drivers\\tmevtmgr.sys
• c: \\ Windows \\ System32 \\ драйверууд \\ TMEBC32.sys
• c: \\ Windows \\ System32 \\ drivers \\ tmeext.sys
• c:\\Windows\\System32\\drivers\\tmnciesc.sys
• c: \\ Windows \\ System32 \\ драйверууд \\ tmtdi.sys

Энэхүү ашиглалтын багцын өртөг:

• өдөр - 40 доллар;
• долоо хоног - 100 доллар;
• сар - 500 доллар.

Archie Exploit багц

Энэхүү ашиглалтын багц харьцангуй саяхан гарч ирсэн (F-Secure-ийн дагуу - ойролцоогоор өнгөрсөн оны 7-р сарын сүүлчээр). Үүнийг бүтээгчид кодыг өөрсдөө боловсруулахад төвөг удаагүй бөгөөд ашиглалтын модулиудаас авсан Metasploit Framework, тухай мэдээлэл авах Silverlight хувилбарууд, Flash болон бусад зүйлд PluginDetect JS номын санг ашигладаг.

Archie-ийн эхний хувилбарууд нь хэрэглэгчдийг төөрөгдүүлэх эсвэл өөр ямар нэгэн заль мэхээр эрхлүүлдэггүй байсан ч дараагийн хувилбарууд нь URL болон файлын нэрийг нууцлах, шифрлэх, мөн хаягийг шалгах боломжийг нэвтрүүлсэн. виртуал машинуудболон вирусны эсрэг програмууд.

Дүгнэлт

Цаг хугацаа өнгөрөх тусам сул тал болон ашиглалтын багцууд цөөрөхгүй гэдгийг ахмад Обвиус өөрийн сувгийн хайрцагнаас хэлж байна. Тиймээс, нэгтгэн дүгнэхэд бид хэд хэдэн дүгнэлт хийж болно.

• Ихэнх ашиглалтын багцын зохиогчид шууд борлуулалтаас сервер дээрээ түрээслэх рүү шилжсэн бөгөөд тэд ихэвчлэн цэвэрлэгээнээс эхлээд бүх төрлийн үйлчилгээг үзүүлдэг. байнгын шилжилтдомэйн нэр болон вирусны эсрэг илрүүлэх шалгалт;
• бараг бүх exploit-ийн багцууд Java болон Silverlight-ийн эмзэг байдлыг идэвхтэй ашиглаж эхэлсэн;
• олон эксплойтийн багцууд виртуал машин, вирусны эсрэг болон янз бүрийн хакердах хэрэгслүүд байгаа эсэхийг таних функцүүдийг олж авч эхлэв;
• эмзэг байдал CVE 2013-2551нь маш их алдартай бөгөөд бидний тоймоос гарсан бүх ашиглалтын иж бүрдэлд ашиглагддаг.

WWW

Саяхан эх кодууд RIG Exploit Kit алдагдсан Үнэгүй нэвтрэх. Та энэ талаар ярьж болно

Мөлжилт гэж юу байдгийг сайн ойлгоогүй хүмүүст зориулсан мэдээлэл.
Мөлжигч гэж юу вэ?
"Албан ёсны" тодорхойлолтыг компьютерийн нэвтэрхий толь бичгээс уншиж болно. Энэ нь надад таалагдаж байна: "Зорилгооос хамааран програм хангамж, код эсвэл скрипт нь програм хангамжийн хяналтанд байгаа аливаа програм хангамжийн сул талыг ашиглах боломжийг олгодог." Нэг ёсондоо ухаалаг утсанд цохиулсан алх нь төхөөрөмжийг устгах гэсэн үндсэн зорилготой ажилладаг техникийн мөлжлөг юм. Системийг хакердахдаа мөлжлөгийн мөн чанар, хэрэглэх зарчим, гүйцэтгэх үүргийг авч үзье. Ашиглалтыг хаанаас авах, татаж авах эсвэл худалдаж авах нь утга учиртай эсэх, батлагдсан мөлжлөг яагаад ажиллахгүй байж болох вэ гэсэн асуултуудыг авч үздэг.

• Мөлжилт гэж юу вэ
• Ямар төрлийн мөлжлөгүүд байдаг вэ?
• Эмзэг байдлын талаар бага зэрэг
• Систем рүү халдлагад мөлжлөгийн үүрэг
• Амжилттай ашиглалтын жишээ
• Өгөгдлийн санг ашиглах
• Ашиглалтын асуудал

• үйлчилгээний мөлжлөг
• үйлчлүүлэгчийн мөлжлөг
• давуу эрх ашиглах

Системийн буулт хэрхэн ажилладаг зарчимд аажмаар ойртож байна. Эдгээр үе шат бүр нь олон боть гарын авлага шаарддаг маш нарийн төвөгтэй үйл явц юм. Гэхдээ үүнийг схемийн дагуу дараах байдлаар харуулж болно.

• эмзэг байж болзошгүй системийг нээлттэй портууд болон ажиллаж байгаа үйлчилгээнүүдийг шалгадаг
• цохиж болох цэгүүдийг тодорхойлсон
• дээр алсын компьютермэдэгдэж байгаа эмзэг байдлын ашиглалтыг энэ эсвэл эдгээр цэгүүдэд илгээдэг
• мөлжлөгт ачаалал хавсаргасан (энэ нь хохирогчийн системийг хянах боломжийг танд олгоно)
• хэрэв мөлжлөг ажиллаж байгаа бол (энэ нь эхнийх нь эхлүүлсэн) бөгөөд хохирогчийн систем хариу үйлдэл үзүүлбэл ачааллыг эхлүүлнэ; Ачааллын кодыг гүйцэтгэсэн үр дүнд үндэслэн хакер хохирогчийн компьютерт нэвтрэх эрх олж авдаг

• nmap -v -n 192.168.0.162

• -vхаягийн талаар дэлгэрэнгүй тайлан авах боломжийг танд олгоно
• -nурвуу DNS хайлтыг идэвхгүй болгодог

nmap -T4 -A -v 192.168.0.162

Маш их мэдээлэл байна. Бид ажил хаялт болох газрыг сонгодог.
Дайсны системд нэвтрэх боломжит арын хаалга болох олон тооны портууд нээлттэй байна.
Энэ нь нээлттэй портуудын нэг байх болтугай 135 -тай ажиллаж байгаа үйлчилгээ mcrpc(aka Microsoft Windows RPC - системийн алсын процедурын дуудлагын үйлчилгээ). Бидний хийх ёстой зүйл бол тодорхой процесст тохирох мөлжлөгийг сонгох явдал юм.
Өгөгдлийн санг ашиглах. Онолын хувьд хэдэн секунд.
Хэрэв та одоо Калид сууж байгаа бол суурь нь хурууны үзүүр дээр байна. Танд хэрэгтэй бүх зүйл бол сүлжээний холболт болон ажиллах явдал юм msfconsole(Metasploit хэрэгсэл гэх мэт). Та консолыг ажиллуулснаар яг одоо харж болох байнгын шинэчлэгдэж байдаг мөлжлөгийн суурь msfconsole болон тушаалыг бичнэ мөлжлөгийг харуулах,мөлжлөгийн жагсаалтыг харуулах болно:

Дэлгэц дээр жагсаалтыг харуулах нь танд юу ч хэлэхгүй. Тэдгээрийг цагаан толгойн үсгийн дарааллаар хэвлэгдсэн огноо, хэрэглэх зэрэглэл, ашиглалтын найдвартай байдал, юунд чиглэгдсэн талаар товч тайлбартайгаар толилуулж байна.
Суурийн нэг төрлийн тольалдартай нөөц юм
Энэ нь бүхэлдээ мөлжлөгт зориулагдсан. Мөн эндээс та (толь бичгээр зэвсэглэсэн) мөлжлөгийн түүхтэй илүү дэлгэрэнгүй танилцаж, шууд татаж авах боломжтой (хэрэв та өөрөө эксплойт зохиохыг хүсвэл дараа нь илүү дэлгэрэнгүй), мөн эксплойтийн талаархи мэдээлэлтэй танилцах боломжтой. Ерөнхийдөө бүх амттан энд байрладаг. Гэхдээ өөр зүйл бий.
Муу нөөц бишСонирхолтой зүйлийг хаанаас олж болох вэ:
ru.0day.today/
Олон хэлээр ярьдаг эх сурвалж нь зөвхөн сайн мэддэг (уншсан: удаан бүрхэгдсэн) мөлжлөгүүд төдийгүй оролцогчдын өөрийн хувилбаруудыг санал болгодог. Мөнгөний төлөө. Очоод шалгана уу: тэнд орос хэлийг бас дэмждэг.
Үргэлжлүүлье. Бид тохиромжтой мөлжлөг хайж байна.
Метасплоитнь exploit мэдээллийн сантай шууд холбогддог тул та харж буй алхмуудыг санах шаардлагагүй: Metasploit-ийн сайн тал нь түүний алхамууд автоматжуулсан байдаг (гэхдээ энэ нь үргэлж сайн байдаггүй). Нийтлэл нь мөлжлөгийн тухай бөгөөд бид үүнийг зөвхөн ашиглах болно, i.e. гараар. Олоод авъя, татъя, оруулъя. Яагаад гараар? Энэ талаар илүү ихийг Exploit Problems догол мөрөнд үзнэ үү.
Сонирхсон мөлжлөгөө хэрхэн олох вэ?
Хэрэв та тодорхой платформ эсвэл програмын эсрэг ашиглаж болох мөлжлөгийг сонирхож байгаа бол тушаалаар харуулсан нэг ба хагас мянга гаруй гар ажиллагаатай үйлдлийн жагсаалтыг гүйлгэх шаардлагагүй.
мөлжлөгийг харуулах
Үүний оронд та нээлттэй Metasploit сесс дээр дараах тушаалыг бичиж болно:
хайлтын нэр: smb төрөл: ашиглах платформ: windows
Метасплоит нь зөвхөн Windows үйлдлийн систем дээр ажилладаг мөлжлөгүүдийг харуулах болно. Дараа нь, хэрэв та Windows үйлдлийн систем дээрх хөтчийн мөлжлөгийг сонирхож байгаа бол тушаалд нэр нэмнэ үү. Харах:
msf > хайлтын нэр: хөтчийн төрөл: ашиглах платформ: windows

Нэмж дурдахад, Kali Линукс дээр та Metasploit сессийг ажиллуулахгүйгээр шууд терминалаас шууд хайлт хийх боломжтой. Форматаар мөлжлөг хайх командыг бичнэ үү:
searchsploit интернет хөтөч
Терминал нь долоо хоног бүр шинэчлэгддэг мэдээллийн санд байгаа бүх боломжуудыг танд буцааж өгөх болно.
Үргэлжлүүлье...
Тиймээс, бид үйлчилгээг мэддэг, бид OS төрлийг харж байна. Тиймээс мэдээллийн санд бид бичнэ: Хайх- хүсэлтийг оруулсны дараа товчлуур:
windows rpc
Хайхаасаа өмнө роботын шалгалтыг хийж, үр дүнтэй танилцъя:

Энд манайх байна. Бид холбоос дээр дарж, дараах Татаж авах холбоос руу ороход энэ нь бидний компьютер дээр байна файлын хувьд 66.c.
БИ ДАВТАЖ БАЙНА . Дээр дурдсан бүх зүйлийг илүү хурдан хийх боломжтой. Metasploit ажиллаж байгаа үед өөрийн Калигаас ашиглах командыг бичнэ үү:

Мөн би exploit хоёртын файлыг шууд XP хохирогч руу түлхэж байна:
./66 6 192.168.0.162

Систем хариу өгсөн. Шинжлэх ухааны үүднээс үүнийг системийн эвдрэлийн амжилттай үр дүн гэж нэрлэдэг. Үнэн хэрэгтээ энэ компьютер аль хэдийн хакерын гарт орсон байна. Хакер түүнийг компьютер дээр сууж байгаа мэт хардаг - тэр консолын командуудыг ашиглан системийг удирдаж чаддаг. Одоо Metasploit-ийн удирдлагатай мөлжлөгийг хэрхэн ашиглаж байгааг харцгаая. Хохирогчийн портууд бид аль хэдийн байна Nmap ашиглан "цагирагласан". Таны анзаарснаар бусад хүмүүсийн дунд энэ нь бас нээлттэй байна 445 үйлчилгээний хяналтанд байдагMicrosoft-ds. Metasploit цонхноос тохирох ашиглалтыг сонгоно уу:
exploit/windows/smb/ms08_067_netapi
ашиглах
Компьютер нь эзэмшигчийнх байхаа больсон.

"Бэлэн"-д дуртай хүмүүст зориулсан асуудлууд эсвэл догол мөрийг ашигла.
Энэ хэсэг нь тусдаа сэдэв байх ёстой. Гэхдээ зөвхөн догол мөр хангалттай. Exploit ашиглах замд пентестерийг юу хүлээж байна вэ? Би үүнийг энгийн үгээр тайлбарлах болно (мэргэжилтнүүд намайг уучлаарай):

• Эхний асуудал бол хөгжүүлэгчид бараг тэр даруй засвар суулгадаг эмзэг байдлын хөгшрөлт юм. Тийм ээ, мөлжлөгийн дийлэнх нь байгаа тул таны анхаарлыг татахуйц биш юм. Тэдгээр нь ашиггүй - аюулгүй байдлын шинэчлэлтүүд нь тэдгээрийг бүрхдэг. Тиймээс цөөн хэдэн сонголт байна: бид ашигладаг 0 өдөрмөлжлөг ( тэг өдөр) - хэрэв та олж, өргөдөл гаргаж чадвал; эсвэл бид толгойгоо эргүүлж, өөрсдөө ажилладаг; Энэ бол №1 асуудал - бид үүнээс суралцах ёстой үйлдлийн системүүдболон хөтөлбөрүүд өмнөх үеийнхэн: шалтгаан нь энгийн - хөгжүүлэгчид дэмжлэг үзүүлэхээ больсон (Windows XP бол ердийн жишээ) бөгөөд албан ёсны мэдэгдлээр ч гэсэн шинээр гарч ирж буй сул талуудад хариу үйлдэл үзүүлэхгүй (гэхдээ энэ эмзэг байдал нь програмын ажлын хувилбаруудад гарч ирэх эсэхийг шалгахын тулд мартаж болохгүй) эсвэл үйлдлийн системүүд).
• хоёр дахь асуудал (эхнийх нь дараа) - хэрэв эмзэг байдал нийтлэгдсэн бөгөөд түүнийг ашиглах боломж байгаа бол олон арван мэргэжилтнүүд энэ эмзэг байдал өнгөрсөн хэвээр үлдэхийн тулд аль хэдийн ажиллаж байна. Тэд цалин авдаг. Мөн эмзэг байдлыг хайж байгаа хүмүүс бас цалин авахыг хүсдэг. Тиймээс сайн дэвссэн эмзэг байдалд найдах хэрэггүй: зам багатай газарт гоо үзэсгэлэн оршдог. Хэрэв танд хэрэгтэй зүйл гарч ирвэл, гэхдээ танд оюун ухаан, туршлага байхгүй бол та заримдаа үүнийг төлөх шаардлагатай болдог (үр дүнгүй, мөнгөгүй үлдэх эрсдэлтэй). Энэ нь үргэлж эмзэг байдлын анхдагч, мөлжлөгт зохиолчийн буруу биш юм. Гурав дахь асуудал байгаа болохоор л...
• Exploit-ийг ашиглах техникийн тал нь Windows-ийн англи хэл дээр АЖИЛЛАСАН НЬ ХАМГИЙН БОЛОМЖТОЙ юм. ҮГҮЙОРОС ХЭЛЭЭР УНАЛНА. Америкт зориулж бичсэн Exploit Windows хувилбаруудОросын системд ажиллахгүй нь үндэслэлтэй. Програмын үр дүн гэнэтийн байж магадгүй: Metasploit төрлийн чимээгүй алдаа Exploit амжилтгүй болсон бололтойхохирогчийн системийн тал дахь үйлчилгээний доголдол нь түүнийг болгоомжлоход хүргэх хүртэл.

Хөгжлийн үе шатанд хакеруудаас хамгаалах механизмууд нь гаднаас зөвшөөрөлгүй халдлагаас сэргийлдэг цоож зэрэг бүх программууд болон сүлжээнд суурилагдсан байдаг. Эмзэг байдал нь үүнтэй төстэй нээлттэй цонх, энэ нь халдагчийг даван туулахад хэцүү биш байх болно. Компьютер эсвэл сүлжээний хувьд халдагчид эмзэг байдлыг далимдуулан хортой програм суулгаж, хяналтыг олж авах эсвэл зохих үр дагаврыг нь хувиа хичээсэн зорилгоор системд халдварладаг. Ихэнх тохиолдолд энэ бүхэн хэрэглэгчийн мэдэлгүйгээр тохиолддог.

Мөлжилт хэрхэн үүсдэг вэ?

Хөгжүүлэх явцад гарсан алдаанаас болж мөлжлөг үүсдэг програм хангамжҮүний үр дүнд программыг хамгаалах системд сул талууд гарч ирдэг бөгөөд кибер гэмт хэрэгтнүүд програмын өөрөө болон түүгээр дамжуулан бүхэл бүтэн компьютерт хязгааргүй нэвтрэх эрхийг амжилттай ашигладаг. Хакерын ашигладаг эмзэг байдлын төрлөөр нь мөлжлөгүүдийг ангилдаг: zero-day, DoS, spoofing эсвэл XXS. Мэдээжийн хэрэг, програм хөгжүүлэгчид илэрсэн согогийг арилгахын тулд аюулгүй байдлын шинэчлэлтүүдийг удахгүй гаргах болно, гэхдээ тэр хүртэл програм нь халдагчдад өртөмтгий хэвээр байна.

Мөлжилтийг хэрхэн таних вэ?

Програм хангамжийн хамгаалалтын механизмын цоорхойг ашиглаж байгаа тул энгийн хэрэглэгч тэдний байгаа эсэхийг илрүүлэх боломж бараг байдаггүй. Ийм учраас дэмжих нь маш чухал юм суулгасан програмуудялангуяа програм хөгжүүлэгчдийн гаргасан аюулгүй байдлын шинэчлэлтүүдийг нэн даруй суулгахын тулд шинэчлэгдсэн. Хэрэв програм хангамж хөгжүүлэгч програм хангамжийнхаа мэдэгдэж буй сул талыг засахын тулд аюулгүй байдлын шинэчлэлтийг гаргасан боловч хэрэглэгч үүнийг суулгаагүй бол харамсалтай нь програм нь шаардлагатай вирусын тодорхойлолтыг хүлээн авахгүй.

Хэрхэн мөлжлөгийг засах вэ?

Мөлжилт нь алдааны үр дагавар байдаг тул тэдгээрийг арилгах нь хөгжүүлэгчдийн шууд үүрэг тул алдаа засварыг бэлтгэж, түгээх ажлыг зохиогчид хийх ёстой. Гэсэн хэдий ч хакерууд эмзэг байдлыг ашиглахаас урьдчилан сэргийлэхийн тулд суулгасан програмуудыг шинэчилж, шинэчлэлтийн багцуудыг цаг тухайд нь суулгах үүрэгтэй. Нэг нь боломжит арга замуудХамгийн сүүлийн үеийн шинэчлэлтүүдийг бүү алдаарай - бүх суулгасан програмууд шинэчлэгдсэн эсэхийг шалгах програмын менежер ашиглана уу, эсвэл бүр илүү сайн хэрэглүүрийг ашигла. автомат хайлтболон шинэчлэлтүүдийг суулгаж байна.

Хакерууд эмзэг байдлыг ашиглахыг хэрхэн зогсоох вэ гуравдагч талын програмууд

• Бүх програмын аюулгүй байдлын хамгийн сүүлийн үеийн шинэчлэлтүүд болон засварууд байгаа эсэхийг шалгаарай
• Онлайнаар аюулгүй байж, шинэчлэгдэж байхын тулд бүх шинэчлэлтүүдийг гарсан даруйд нь суулгаарай.
• Суулгасан програмуудыг автоматаар шинэчлэх боломжтой дээд зэрэглэлийн вирусны эсрэг програм суулгаж ашигла