На страницах «Хакера» ты наверняка встречал немало упоминаний об эксплоит-паках. Однако за редким исключением речь шла о паках-однодневках, исчезающих с рынка спустя год-два после первого попадания в лаборатории. В этой статье мы поговорим о паках-долгожителях, которые упорно отказываются уходить в прошлое. Некоторые из них лишь набирают популярность.

 

Старая гвардия

 

MPack-kit

Год появления: 2006
Пик популярности: 2006–2007
Цена: 1000 долларов в год

Все началось с небезызвестного MPack-kit, который появился в 2006 году благодаря сообществу трех русских программистов Dream Coders Team. Идея была в том, чтобы создать удобную в использовании упаковку для нескольких эксплоитов сразу, причем уже известных или же купленных у сторонних разработчиков. Стоил он относительно недорого (500–1000 долларов) и часто обновлялся. Также существовала возможность докупать модули с новыми эксплоитами отдельно и получать поддержку разработчиков.

Все это фактически делает MPack-kit первым действительно успешным теневым бизнес-проектом в этой сфере, авторы которого отвечали за качество и за свой продукт. За время его существования (а это порядка двух лет успешной работы) при помощи этого пака только по официальной статистике было заражено свыше 160 тысяч серверов. Из громких происшествий можно вспомнить атаку на Банк Индии в 2007 году: есть подозрение, что в ней применялся этот пак и эксплоиты из него, однако это так и не было подтверждено.

INFO

В MPack-kit в числе прочего входят эксплоиты CVE-2006-0003, CVE-2006-0005, CVE-2006-3643, CVE-2006-5745, CVE-2006-3730, CVE-2006-5198, CVE-2007-0015 и CVE-2007-0038.

Сами исходники MPack довольно незамысловатые. Начинаются они вот с такой порции спагетти.

if (strstr($user_agent, "Nav")) $browser = "Netscape";
elseif (strstr($user_agent, "Netscape")) $browser = "NetScape";
elseif (strstr($user_agent, "Firefox")) $browser = "Firefox";
elseif (strstr($user_agent, "Lynx")) $browser = "Lynx";
elseif (strstr($user_agent, "Opera")) $browser = "Opera";
elseif (strstr($user_agent, "WebTV")) $browser = "WebTV";
elseif (strstr($user_agent, "Konqueror")) $browser = "Konqueror";
elseif (strstr($user_agent, "Bot")) $browser = "Bot";
elseif (strstr($user_agent, "MSIE")) $browser = "MSIE";
else $browser = "Unknown";
if (strstr($user_agent, "Windows 95")) $os = "Windows 95";
elseif (strstr($user_agent, "Windows NT 4")) $os = "Windows NT 4";
elseif (strstr($user_agent, "Win 9x 4.9")) $os = "Windows ME";
elseif (strstr($user_agent, "Windows 98")) $os = "Windows 98";
elseif (strstr($user_agent, "Windows NT 5.0")) $os = "Windows 2000";
elseif (strstr($user_agent, "SV1")) $os = "Windows XP SP2";
elseif (strstr($user_agent, "Windows NT 5.1")) $os = "Windows XP";
elseif (strstr($user_agent, "Windows NT 5.2")) $os = "Windows 2003";
else $os = "Unknown";

После определения браузера и ОС запускались скрипты на JS.

echo "<SCRIPT language=\"javascript\">\n var url=\"".$url."\";\n";
include("rds.js");
echo "\n\n";
include("FolderIcon.js");
echo "</script>";

При помощи них уже и происходит эксплуатация.

В сравнении с ближайшими последователями этот эксплоит-кит имел крайне продуманную админку. Она позволяла получить данные о целях в удобнейшем виде.

 

WebAttacker

Год появления: 2006
Пик популярности: 2006–2007
Цена: рекордно малые 50 долларов за самую первую копию, 400 долларов в месяц за последующие доработки первой версии

Примерно в это же время развивался пак WebAttacker, создатели которого не раз взаимодействовали с Dream Coders Team. Он был более дешев (350–400 долларов), однако проект быстро сдулся, и обещанная к 2007 году вторая версия так и не вышла, несмотря на регулярные обновления до этого момента.

Объяснить исчезновение можно одним важным отличием команды создателей WebAttacker от Dream Coders Team. «Дримкодеры» не раз говорили, что не планируют заниматься никакой преступной деятельностью, работают на обычных «белых» должностях, а паком занимаются в свободное время. Что до создателей WebAttacker, то они больше склонялись к сообществу киберпреступников, при этом сам продукт не был конкурентоспособен для теневого рынка.

На короткое время наследником MPack-kit стал IcePack, который во многом превзошел предшественников, но за его быстрым взлетом последовало столь же быстрое падение. В то время эксплоит-паки стали обычным товаром на рынке киберпреступников. Уже в 2007 году появились NeoSploit, Phoenix, Armitage и Tornado.

И если Tornado и Armitage практически не зашли, то на NeoSploit буквально за пару лет стало приходиться 30% зараженных компьютеров. Он просуществовал вплоть до 2011 года, обновившись в 2010-м до второй версии.

 

AdPack и FirePack

Год появления: 2008
Пик популярности: 2008
Цена: информация утрачена

В 2008 году вышли AdPack и FirePack, которые, впрочем, не нашли своего покупателя и скоро почти бесследно погасли, несмотря на их удобство. Оба имели встроенные крипторы, были очень просты в установке, а также имели ряд полезных фич в админке (например, фильтрация по странам). Пережив по паре версий, оба исчезли с рынка.

Во многом это можно списать на не слишком удачный год выхода на рынок. Ведь в 2008 году антивирусные компании уже окончательно утвердились в своих опасениях по поводу вреда от эксплоит-китов. К этому времени MPack, IcePack и NeoSploit заразили огромное количество компьютеров. На графике ниже, составленном одной из антивирусных компаний, как раз видно это затишье.

График компании Trend Micro
График компании Trend Micro
 

Eleonore

Год появления: 2009
Пик популярности: 2009–2010
Цена: 1000 долларов в год

В 2009 году, напротив, появились достойные экземпляры. Как, например, Eleonore. Этот эксплоит-кит стал хитом 2009–2010 годов. За время его существования было выпущено шесть версий. Основными векторами для атак были фреймворк Java и продукты Adobe.

В отличие от своих предшественников Eleonore не имел жесткой привязки к браузерам — как раз за счет того, что внедрение зачастую проходило через PDF.

INFO

К 2012 году, когда вышла последняя версия, в Eleonore входили CVE-2006-0003, CVE-2006-4704, CVE-2008-2463, CVE-2010-0188, CVE-2010-0806, CVE-2010-1885, CVE-2010-4452, CVE-2011-0558, CVE-2011-0559, CVE-2011-0611, CVE-2011-2462, CVE-2011-3521, CVE-2011-3544.

 

Phoenix

Год появления: 2009
Пик популярности: 2009–2012
Цена: 2200 долларов в год

Следующим в том же 2009 году вышел Phoenix, который составил мощную конкуренцию Eleonore. За время существования он девять раз обновлялся и, вероятно, поэтому был самым дорогим на рынке — 2000–2200 долларов. Для атак точно так же использовались устаревшие версии плагинов Adobe и Java, причем эксплоитов для продуктов Adobe было неприлично много — целых семь. По некоторым данным, автор пака AlexUdakov был арестован в 2013 году. По крайней мере, он об этом написал на сайте, где продавался эксплоит (увы, сейчас это сообщение уже убрали).

Скриншот продажника
Скриншот продажника

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Оставить мнение

Check Also

Каждый пятый магазин, пострадавший от MageCart, заражают повторно через несколько дней

Независимый ИБ-эксперт Виллем де Грот (Willem de Groot) предупреждает, что сайты, подвергш…