Эксплоит эксплоиту рознь: обзор популярных связок
Трафик всегда востребован на рынке хак-услуг. Объясняется это просто: он позволяет осуществлять загрузки ботов, а боты, в свою очередь, позволяют... ну, ты понял. Проблема в том, чтобы грамотно воспользоваться имеющимся количеством трафа, а именно - превратить его в n-ное число загрузок. Как? Разумеется, с помощью мега-функциональной связки эксплоитов.
Для начала – ликбез (если ты регулярно читаешь Х и варишься в теме, как в собственном соку, можешь смело пропускать ближайшие два абзаца).
Итак, связки представляют собой набор эксплоитов под различные уязвимости (ОС, браузер, и т.д.), позволяющие загрузить и запустить на компе юзера нужный нам софт. Установив связку эксплоитов у себя на сервере и направив по линку пользователей, мы получим загрузки, а именно - определенное число зараженных компов, на которые был загружен наш exe'шник. Количество протрояненных юзеров напрямую зависит от качества связки и свежести используемых в ней сплойтов. На основании статистики загрузок высчитывается так называемый "пробив связки" - процент зараженных машин от общего числа пользователей, перешедших по твоему линку. Проще говоря, чем выше пробив, тем лучше связка. Заманить потенциальных жертв на связку можно либо спамом, либо при помощи вставки iframe-кода, содержащего линк на эксплоит, в контент поломанного ресурса.
Как видишь, все довольно просто. Однако приобретение связки требует немалых затрат (цены варьируются от нескольких сотен до нескольких тысяч американских президентов). Дабы облегчить тебе жизнь и сохранить в целости твой кошелек, я решил внимательно изучить рынок связок на сегодняшний день.
Что и почем?
Я постараюсь максимально подробно описывать связки, руководствуясь следующими параметрами:
- Сплойты, используемые в связке
- Пробив
- Функциональность админки
- Поддержка продукта
- Стоимость
Fiesta
Начнем, пожалуй, с одной из самых популярных и доступных связок - Fiesta. На данный момент последняя версия продукта - 2.4, так что речь пойдет именно о ней:
- В основе связки лежат 7 эксплоитов различной давности, включая Acrobat <= 8.1.2
- Пробив Ослика 4/5/6 версии в среднем 30%
- Пробив Оперы версий ниже 9.2 порядка 15%
- Простенькая админка (стата по ОС/браузерам/странам)
- Официальная цена - $700
От себя добавлю, что пробив на миксе (неотфильтрованном трафике) составляет более 30%, что, в принципе, приемлемый результат. Но связка перестала обновляться, а выход новой версии регулярно откладывается. Так или иначе, продукт вполне работоспособен. Что будет дальше - время покажет :).
Unique Pack
Следующий гость студии - связка Unique Pack версии 1.1 Full. В состав связки входят такие эксплоиты, как:
- MDAC (модифицированный)
- PDF VIS - двойной PDF-сплойт старой и новой версии (v.8.1.1 + v.8.1.2)
- MS OFFICE SNAPSHOT
- IE 7 XML SPL - XML сплойт для IE 7
- FF EMBED
- Пробив на миксе - более 30%
- Удобная админка
- Цена базового комплекта - порядка $600 + $100 за апдейт
Следует отметить встроенный криптор и наличие шифрования эксплоитов.
G-Pack
Перейдем к связке под названием G-Pack:
- Пробив на ру-трафике около 30%
- Пробив IE <= 6 версии, отсутствует поддержка IE 7
- Простота в установке и настройке
- Криптор, позволяющий обходить антивири с обновленными базами
- Ценник - $100
Сразу скажу: связка представляет собой довольно простой вариант, предназначенный в основном для ру-трафика. Выжать какой-либо процент загрузок с буржуйского трафа можешь даже и не пытаться - не пройдет :).
Ice-pack
Рассмотрим еще одну известную связку с похожей начинкой - Ice-pack. Она обладает рядом полезных возможностей:
- Криптор сплойтов
- Блокировка по IP
- Возможность загрузки файлов через админку
- Встроенный ftp-чекер и ftp-ифраймер
- Фильтрация трафика по странам и браузерам
- Возможность перенаправления ненужного трафа (в том числе, с использованием фильтрации)
- Наличие системы распределения загрузок (например, для каждой страны - отдельный exe'шник)
- Стоимость - $200
Связка отличается расширенным функционалом админки, который весьма и весьма приятен в работе. Лично мне доводилось использовать продукт лишь в качестве теста, и он показал, что для отборного USA-трафика связка малопригодна. Тем не менее, можешь запросто использовать ее, например, под азиатский траф.
Infector by xod
Теперь перейдем к более дорогим и функциональным образцам. Номер один в списке – Infector by xod. На момент продажи связка обладала такими атрибутами:
- Подробный мануал по настройке и использованию
- Возможность использования системы без установки дополнительных PHP-модулей
- Шифрование сплойтов полиморфным алгоритмом с поддержкой контрольной суммы
- Блокировка по IP
- Учет инсталлов
- Встроенный в переполняющие эксплоиты алгоритм удаления забитой памяти. Это обеспечивает более быстрое срабатывание эксплоитов.
- Невидимость для антивирусов
- Распределение наборов сплойтов в зависимости от ОС, браузера и наличия загрузки
- Автоматическое предотвращение повторных загрузок
- Возможность повторного использования трафика путем дальнейшего перенаправления
- Четыре способа оптимизации при работе сплойтов и ведении статистики:
- Использование SQL
- Использование TEXT DB
- Использование упрощенного TEXT режима
- Выключение статистики - Три различных админ-панели для каждого вида статистики и оптимизации
- Удобный инсталлер и админка
- Возможность загрузки файлов через админку
- Наличие множества фильтров статистики в админке (по странам, браузерам, ОС, и т.д.)
- Цена на момент написания - около $1000
Нужно сказать, связка собрана действительно грамотно. И дело даже не в используемых сплойтах, а в удобной системе управления трафиком. Она позволяет отфильтровывать и перенаправлять траф по своему усмотрению. Проблема лишь в том, что разработчика творения давно не видно, а связка продолжает лежать без апдейтов. Зато есть надежда, что и цена, скорее всего, упадет :).
Neosploit-2
Настала очередь связки Neosploit-2, о которой ты, наверняка, слышал, но, возможно, не видел. Этот зверь обладает такими функциями, как:
- Анализ ОС, браузера и установленного на компе жертвы ПО перед выдачей сплойта. Как результат - наибольшая вероятность срабатывания (увеличение пробива)
- Шифрование сплойтов в режиме реального времени, невозможность дешифровки javascript-кода стандартными средствами
- Блокировка повторной загрузки exe'шника (по дефолту – на 1 час) и блокировка повторного срабатывания связки. В случае обнаружения каталога с exe-файлом на сервере, юзер имеет возможность слить exe'шник лишь один раз в течение установленного времени – и только со своего IP.
- Наличие в админке статистики по сплойтам и статистики по загрузкам, а также стата по ОС, браузерам, странам и реферерам
- Определение уникальности загрузки по IP (вплоть до обнуления статы)
- Поддержка мультиюзерности. Можно создавать аккаунты, устанавливать каждому индивидуальный лоадер и exe'шник. Раздельная статистика по каждому пользователю связки.
- Система распределения трафика (например, по странам)
- Пробив IE и FireFox последних версий
- Цена на момент написания статьи - около $1500
Как видишь, связка имеет массу дополнительных возможностей и приспособлений. Увы, но и этот продукт со временем перестал поддерживаться должным образом. В результате - о каком-либо точном проценте пробива говорить не приходится. Тем не менее, практика показывает, что даже из "бывалых" связок можно выжать "чуть-чуть" на определенном трафе :).
Не дай себя обмануть
Если заметил, то на разных связках пробив варьируется в пределах какого-либо процента. Связано это, прежде всего, с качеством трафика. Одна и та же связка может запросто показывать пробив 50% на ру-трафе и не более 20% – на USA. Причина кроется в свежести эксплойтов и наличии соответствующих заплаток у юзеров. Так что, перед покупкой связки рекомендуется сделать тест, скажем, на 1-2k твоего трафика. В большинстве случаев это убережет тебя от лишних затрат. Будь внимателен при выборе продукта, и не дай себя обмануть.
4/04/10 - 
