Некоторые эксплоиты (и их много, и было бы больше если бы не повальное ковыряние всех в IE 
и тем-ни-менее, подчеркиваю, их много) не используют уязвимости IE-ActiveX. Еще раз повторяю их использует только малая часть всех эксплоитов. Есть много других уязвимостей тогоже IE, да и зачем зацыкливаться на IE. Вообще вспомните RPC DCOM уязвимость… Вспомнили ? Ах сколько порученых локалок (чуть не добавил “готовит просвещения путь” :)). Но это сервис. А теперь возьмите уже упомянутую мной уязвимость в .ANI, работает на всех версиях винды, да да и на висте тоже, о чем свидетельствует мой скриншот в это посте:
https://forums.comodo.com/comodo_memory_guardian_beta_corner/ani_cursors_vulnerability_in_vista-t11933.0.html.
А теперь возьмите эксплоит remote DNS эксплоит (я сечас его поковыриваю, не особо активно правда, бо меня постоянно винят в “несовместимости” CMG с BOClean (А причем тут я спрашивается ? Честно скажу незнаю))… И все это не требует никаких скриптов для “устанвоки”… А уязвимость в обработке .doc файлов (которой меня кстати пытался подловить некий посетитель форума с нулем постов) ?
Tyler Durden, мне кажется,направление наших мыслей в разные стороны ушли… По крайней мере я о другом хотел сказать. Ну да ладно,спасибо за поддержание беседы.
Я имел ввиду что отключай-не-отключай все равно баги есть и эксплоиты к ним тоже.
У меня есть вопросы, так что пишу сюда.
- постоянно когда открываю Firefox, Comodo спрашивает: Разрешить\запретить - при этом постоянно ставлю галку - запомнить выбор и не спрашивать! Достало уже!!!
- именно изза этой траблы я поставил версию 3b - она не спрашивает, раз нажал - она запомнила. Но - эта версия - что-то ужасное!!!
2.1 Нельзя настроить сетевое подключение
2.2 Полностью не удаляется!!! После её удаления, с встроеным в винду файером происходят неприятности: там где Параметры сетевого подключения - пишется что сетевые параметры повреждены, и нужно нажать кнопку для их востановления, что я и делаю, перезагружаюсь,
файер получается включен., нажимаю выключить фаер, перезагружаюсь, и что я вижу - снова сообщение: сетевые параметры повреждены!!! и я никак кроме переустановки не могу её починить.
тоесть Comodo 3b коцает винду!!!
Вот начало алгоритма для проведения атаки с использованием эксплойтов. Самый распространенный вариант на мой взгляд:
- Сканируем хост ( рекомендовано с nmap)
- Смотрим открытые порты и что на них висит
- Телнетимся на открытые порты и узнаем версии демонов
- Находим дырявый демон
и т.д. …
делаем первый шаг- упираемся в фаер…Если фаера нет,идем дальше.
делаем второй шаг-можем ничего не найти… Ни одного порта на listening
а для обхода фаера нужен минимум свой запущенный процесс в системе жертвы.
Как быть?
На примере DNS сплоита (см. скриншоты на форуме CMG: https://forums.comodo.com/comodo_memory_guardian_beta_corner/sploits_at_work_aka_cm_g_in_da_house-t12097.0.html;new)
- Пускаем его на ip жертвы
- В шелкоде внедряем в explorer dll’ку через реестр (ShellServiceObjectDelayLoad к примеру)
или еще каким-нибудь (каких много) способом обходим фаер - Вобщем говоря, забиваем на фаер антивирус и вообще что-угодно любым из существующих методов
- Делаем что хотим
поведенческий анализатор кричать будет.
Смотря как сделать, если все сделать нормально, а не слямзить с milworm’а какого-нибудь то все будут молчать… Да и не в этом дело, атаку надо предупреждать на момент атаки, а не на момент ее результата
Что- то Вы меня совсем запутали… Ладно,давайте определимся:
Мое мнение- для достижения минимально возможной защиты необходимо отключить потенциально опасные сервисы на уровне системы (не иметь открытых портов и висящих на них сервисов на listening), пользоваться безопасным браузером,например firefox с расширением NoScript. Пользуемся ограниченной учеткой а админ запаролен.При такой конфигурации я считаю крайне сложно получить нужную информацию,требуемую для успешного проведения атаки используя уязвимость. Для этого нужна инфа:
*операционка,версия,сборка.
*Название фаервола,его версия
*Возможные установленные проги,их версии
Причем,я считаю,крайне важно получить точную информацию хотя бы по одному пункту.
Иначе правильно не подобрать эксплойт,соответственно получим атаку-“стрельбу по воробьям из пушки”
надеюсь моя мысль понятна.
Ваша мысль:
Я имел ввиду что отключай-не-отключай все равно баги есть и эксплоиты к ним тоже.
Сервисы тут не причем, баги есть в лбой программекак я Вас понял, Вы считаете что мой вариант не выдержит атаки и ее можно провести на такой конфигурации с успехом в 80-90% Я Вас правильно понял?
Существуют эксплоиты для которых не имеет значение версия ОС. А если использовать Ret2libc то и jmp esp ненадо искать. К тому же версию можно определять и по различным finger-print и вообще как-нибудь необычно (как-то давно я писал реализацию tcp/ip для своей ОС, так вот обнаружилось что на windows >=xp, если на всю процедуру hand-shakin’ tcp потратить только один seq. number то винда откусывает 1б от последующих данных… Такой вот хитрый способ определить винду, и таких куча !)
Безопасный браузер ? Т.е. вы считаете что существуют браузеры в которых нету дыр ? Дыры есть везде, поверьте. Я даже в своей Comodo Memory Guardian перед сдачей сорцов обнаружил 3 (три !) возможных переполнения ! ЫЫ, за что боролись называется. Так что определиться можно совершенно: отключайте-неотключайте поломают что угодно. Причем если у вас нет защиты именно от этого класса атак то ломается это очень просто. Порты закрыть это от кидеров, и то которые дальше 2 ссылке goggle не ходят.
Я этого не писал. Не сегодня же родился. Я считаю,его можно сконфигурировать должным образом. Что можно сломать все,я тоже согласен. Но на практике не все так просто как на словах. Вот если бы Вы подкрепили конкретным примером:сплойт+инструкция к применению. Цель-кинуть любой файл в корень. При открытии веб-страницы все должно сработать. Браузер-фаерфокс. Это единственный способ подкрепить Ваши слова. На компе жертвы-браузер и все. Не одного сервиса на listening.
Прошу Вас не расценивать мою просьбу как подстрекательство. Но нужно же вопрос прояснить… С уважением.
Ну ? Таких эксплоитов куча Потом вы отключите скрипты и скажиет “вот ! не работает” ? Берите любой remote exploit под вашу ось и тестите без браузера.
Значит при отключенных скриптах должно сработать.
Но это будет немного не чистый эксперимент,я не должен знать изначально ось,адрес…
Тогда еще вопрос:
*Жертва имеет динамический IP. Как можно его поймать,кроме как при посещении сайта? Опять же только через браузер… Других вариантов нет. Вы согласны?
*при статическом IP вопрос более менее ясен,на посещенном им сайте получим нужную инфу. Атакуем конкретный IP.
Вот ведь вы привязанны к браузерным уязвимостям Ну так возьмите kaht (а вдруг там хп сп1 ?) или возьмите dns sploit (а вдруг там 2kX server ?) или полазьте еще по securitylab.ru, или возьмите любой эксплоит который для “сторонней” проги, yahoo к примеру или джаббер там. Если вы хотите поломать кого-то конкретного, то обычно хоть ICQ у вас его есть ? Хотя я могу с 90% уверенностью сказать у вас XPSP2, ну или Vista. Это простейший способ, ведь большинство действительно стоящих эксплоитов никто никогда на milw0rm не выложит, максимум вы найдете указание на сущ. уязвимость. Меня никогда не интересовали попытки их разыскать-написать. У меня защита от атак как от класса, а вид эксплоита и используемая уязвимость тут не имеет значения. Мы с вами укатились непонятно куда Суть моих заявлений была в том что все предложенные вами защитные действия отсекают в какой-то мере только часть атак переполнения буффера, в самом фаере или том же NoScript может быть полно дыр, да и про уязвимости в других программах (не браузерах) забывать не стоит. Вы ведь хотите быть защищенным ? Или хотите обломать пяток-другой кидеров в вашей местной локалке ?
*Жертва имеет динамический IP. Как можно его поймать,кроме как при посещении сайта? Опять же только через браузер... Других вариантов нет. Вы согласны?А жертва сидит в ICQ ? Пользуется почтовыми клиентами ?
П.С. Вы уязвимость в плагине флэш смотрели ? Ходит “жертвы” толпами, ходят, ходят, а тут (“бац, вторая смена” (С)) баннер флэш, который еще через баннерно-обменную сеть покидали на все “приличные” сайты (а вовсе не на порно, как можно было ожидать :)) и все, “прощай любимые учителя на целый год”… Так, флэш тоже отрубаем. А JPEG’и ? И их “в топку”.
П.С. Вы уязвимость в плагине флэш смотрели ? Ходит "жертвы" толпами, ходят, ходят, а тут ("бац, вторая смена" (С)) баннер флэш, который еще через баннерно-обменную сеть покидали на все "приличные" сайты (а вовсе не на порно, как можно было ожидать :)) и все, "прощай любимые учителя на целый год"... Так, флэш тоже отрубаем.Совершенно верно, не сработает даже с расширением AdBlock.
А JPEG'и ? И их "в топку".Все правильно. Расширение ImgLikeOpera отлично режет все картинки по умолчанию. Да и если в ней закодировать код,он не сработает,потому что все.что открывается в браузере-работает в "песочнице"
Вы так и не поняли меня. Нет,я не хочу никого ломать. Я хотел,чтобы Вы слова
Таких эксплоитов кучаподкрепили конкретным примером.
Ладно,я прекращаю обсуждение этого вопроса. Большое спасибо Вам за поддержание беседы.
Рад был пообщаться. С уважением.
Только что закончил доводку своей версии эксплоита .ani уязвимости, теперь не требуеться никаких html страниц и скриптов, достаточно зайти в папку или пихнуть как курсор на тот же сайт. CMG его ловит есессно. Вы все еще хотите удостовериться что NoScript недостаточно ?
Конечно хочу.
Да,теперь я с Вами согласен. NoScript для защиты от такого вида сплойтов недостаточно.
Но решение найдено.
Угу Вива ля комодо :BNC