Exploit.malekal.com : test des protections

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Th°
Messages : 44
Inscription : 14 janv. 2009 07:48

Exploit.malekal.com : test des protections

par Th° »

EDIT MODERATEUR, on parle de ce sujet : https://www.malekal.com/2011/01/25/test ... -site-web/

Bonjour,

Je viens de faire l'essai en désactivant l'analyse comportementale dans Outpost Free 2009 (que je reteste depuis quelques jours en remplacement d'OA qui bugge un peu chez moi dans sa dernière version).
Le pare-feu d'Outpost est actif, en mode assistant de règles + le guard d'Antivir 10 Free.
(Essai réalisé sous Firefox 3.6.13 + AdblockPlus)
Hosts MVPS et Spywareblaster sont en protection passive
Tous les ports dits critiques sont fermés.
Je suis sous XP SP3 à jour et en mode admin.
(Donc aucun HIPS ni UAC)

Voila les résultats chez moi :
Adpack affiche une Page blanche
Gpack - Page blanche itou
Ice Exploit - Mini-lecteur WMP en haut à gauche de l'écran, apparemment non actif (il ne se passe rien et les boutons sont grisés)
Fire Pack - Erreur 404 - URL Not Found
Poly Exploit - Erreur 404 - URL Not Found
Eleonore Pack - Page blanche
MPack - Page blanche
ArmitagePack - Symbole " ^_~ "
CryExploit - Page blanche
Unique Exploit Pack - Message Windows d'échec d'ouverture du PDF confirmé par le guard d'Antivir qui se manifeste pour la première fois
FraNew - Frame contenant l'url "http://exploit.malekal.com/franew/directshow.php" + mention "rafraïchir la page", mais rien ne se passe
DataLife - Message "This site is under construction" pendant 1 ou 2 secondes puis page blanche (ici, l'icone chargement de la page tourne en boucle).

Tout est apparemment bloqué, en tout cas dans cette config, et calc.exe ne s'est pas ouvert une fois PDT_008

@+
Malekal_morte
Messages : 110317
Inscription : 10 sept. 2005 13:57

Re: Exploit.malekal.com : test des protections

par Malekal_morte »

:)

Le gros probleme est que les vulnérabilités doivent plus marcher à partir d'un XP SP3 à jour je pense.

Sinon j'en ai rajouté 3 autres :
# Tors Pack
# Red Pack
# Fiesta Pack

Je veux bien des retours dessus.
Sur Vista, ils ne fonctionnent pas.
Unique Exploit Pack - Message Windows d'échec d'ouverture du PDF confirmé par le guard d'Antivir qui se manifeste pour la première fois
Sans Antivir ça lance qq chose ?
Je pense que non, il doit foiré le PDF.

Je changerai le fichier droppé (calculatrice) par un fichier qui ouvre une popup "exploit réussi" et qui normalement devrait déclencher l'UAC.
Le fichier contiendra les strings d'eicar, donc ça devrait faire warner les AV.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Th°
Messages : 44
Inscription : 14 janv. 2009 07:48

Re: Exploit.malekal.com : test des protections

par Th° »

Malekal_morte a écrit ::)

Le gros probleme est que les vulnérabilités doivent plus marcher à partir d'un XP SP3 à jour je pense.
OK :)
Sinon j'en ai rajouté 3 autres :
# Tors Pack
# Red Pack
# Fiesta Pack

Je veux bien des retours dessus.
Sur Vista, ils ne fonctionnent pas.
toujours avec la même config (XP SP3 en mode admin et analyse comportementale désactivée dans Outpost) et Antivir Guard activé :
# Tors Pack me donne une page blanche avec ce code affiché : a:1:{i:1;s:223:"";}
# Red Pack : Message d'erreur Warning: mysql_num_rows(): ... 404 Not Found
# Fiesta Pack : Page blanche.
Malekal_morte a écrit :
Th° a écrit :Unique Exploit Pack - Message Windows d'échec d'ouverture du PDF confirmé par le guard d'Antivir qui se manifeste pour la première fois
Sans Antivir ça lance qq chose ?
Je pense que non, il doit foiré le PDF.
j'ai donc désactivé Antivir et il semble que ça passe. Foxit s'est ouvert sur une page blanche affichant VFcCUWEJjpZTZTX9 en grands caractères.
Qu'en penses-tu ?
Edit 19h40 : je viens de comprendre que le test est concluant vu que la calculatrice ne s'est pas lancée :)

Je remets le lien vers les tests ici ; )
Malekal_morte a écrit :Les infos de connexions :
url http://exploit.malekal.com/ (la propagation DNS a été lancée y a deux heures - si ça dit not foud, retente plus tard).
user : exploit
Pass: oeL3mEszeZ
@+
Malekal_morte
Messages : 110317
Inscription : 10 sept. 2005 13:57

Re: Exploit.malekal.com : test des protections

par Malekal_morte »

Merci pour les tests !
th° a écrit :
Malekal_morte a écrit :
Th° a écrit :Unique Exploit Pack - Message Windows d'échec d'ouverture du PDF confirmé par le guard d'Antivir qui se manifeste pour la première fois
Sans Antivir ça lance qq chose ?
Je pense que non, il doit foiré le PDF.
j'ai donc désactivé Antivir et il semble que ça passe. Foxit s'est ouvert sur une page blanche affichant VFcCUWEJjpZTZTX9 en grands caractères.
Qu'en penses-tu ?
Ca lance un PDF malicieux qui doit prendre partie d'une vulnérabilité sur Adobe Reader.
Comme ça lance avec Foxit, ça ne fonctionne pas.

Edit 19h40 : je viens de comprendre que le test est concluant vu que la calculatrice ne s'est pas lancée :)
ok !

j'en ai rajouté encore un nouveau !
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Th°
Messages : 44
Inscription : 14 janv. 2009 07:48

Re: Exploit.malekal.com : test des protections

par Th° »

Hello,

Je viens de faire le dernier test (Siberia), toujours dans les mêmes conditions.
Guard Antivir activé, Siberia affiche une page blanche contenant un cadre vide en haut à gauche. Rien de cliquable et aucun warn de la part d'Antivir.
Même résultat Antivir désactivé.
A tout hasard, j'ai nettoyé le cache FF entre les deux (dans le doute)

[édité]
Pour mon instruction personnelle, comme je n'y connais pas grand-chose en exploits et droppers, je serais protégé dans ces tests par le simple fait d'être à jour de mes updates et d'être derrière AdblockPlus et Hosts ? (Antivir n'ayant warné que sur un test. Mais sans lui l'exploit n'a pas fonctionné non plus, mes PDF s'ouvrant avec Foxit)

Merci en tout cas Malekal, ces tests sont fort instructifs  ; )
Malekal_morte
Messages : 110317
Inscription : 10 sept. 2005 13:57

Re: Exploit.malekal.com : test des protections

par Malekal_morte »

Merci pour les tests;
th° a écrit :Pour mon instruction personnelle, comme je n'y connais pas grand-chose en exploits et droppers, je serais protégé dans ces tests par le simple fait d'être à jour de mes updates et d'être derrière AdblockPlus et Hosts ? (Antivir n'ayant warné que sur un test. Mais sans lui l'exploit n'a pas fonctionné non plus, mes PDF s'ouvrant avec Foxit)
AdblockPlus n'entre pas en jeu.
Pour qu'un exploit fonctionne, il faut que le logiciel avec la version dont la vulnérabilité est testée soit présent sur le système et que par exemple dans le cas d'un PDF, ce dernier s'ouvre sur ce logiciel.
Si tu as un Adobe Reader avec la version vulnérable et que les PDF s'ouvre avec Foxit, bha le PDF malicieux va s'ouvrir avec Foxit et il se passera rien.
Donc mettre à jour ses logiciels protègent oui, après tu as le cas des vulnérabilités 0-day, où il n'y a pas de correction d'où l'utilisation de logiciels tiers (mais si c'est une vulnérabilité Windows, bha t'es bonbon sauf si y a des solutions pour amoindre la vulnérabilité) ;

voila en espérant que ce soit clair.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Gilles Gropaquet

Re: Exploit.malekal.com : test des protections

par Gilles Gropaquet »

Bonjour,

XP SP 3, Firefox admin, Webguard Antivir désactivé, no script désactivé.

1 à 3 : page blanche
4 et 5 : 404
6 et 7 : page blanche
8 : ^_
9 et 10 : page blanche
11 : "rafraichir la page..." + cadre avec adresse du site écrite (Fragus)
12 : error serveur mysql
13 : a:f:{i:1;s:223:"";}
14 : error serveur mysql
15 : page blanche
16 : cadre blanc

Tests réussis.

@+
Th°
Messages : 44
Inscription : 14 janv. 2009 07:48

Re: Exploit.malekal.com : test des protections

par Th° »

Malekal_morte a écrit :voila en espérant que ce soit clair.
Merci, tout est clair ; )
Je n'avais pas vu les commentaires laissés en bas de la page des tests PDT_008

@+
EboO

Re: Exploit.malekal.com : test des protections

par EboO »

Les derniers exploits ne passent pas sous 7 64 bits, uac on, plugins à jour (testé sur une vm).
Malekal_morte
Messages : 110317
Inscription : 10 sept. 2005 13:57

Re: Exploit.malekal.com : test des protections

par Malekal_morte »

OK donc ça marche pas sur un XP SP3 \o/

c'pas super pour les tests \o/

Merci !
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
EboO

Re: Exploit.malekal.com : test des protections

par EboO »

Ca va venir, patience PDT_007
Gilles Gropaquet

Re: Exploit.malekal.com : test des protections

par Gilles Gropaquet »

Ca marcherait bien si je ne tenais pas mon XP et les logiciels à jour..

@+
EboO

Re: Exploit.malekal.com : test des protections

par EboO »

Dans un sens c'est rassurant si pour se prémunir de la plupart des exploits il suffit d'avoir un os et des logiciels à jour.
D'un autre côté si on pouvait tester un exploit basé sur une faille 0-day ce serait pas mal.
Malekal_morte
Messages : 110317
Inscription : 10 sept. 2005 13:57

Re: Exploit.malekal.com : test des protections

par Malekal_morte »

C'est pourtant ce qui est expliqué un peu partout quand ça parle d'exploit :/
C'est pas clair ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
EboO

Re: Exploit.malekal.com : test des protections

par EboO »

Malekal_morte a écrit :C'est pourtant ce qui est expliqué un peu partout quand ça parle d'exploit :/
C'est pas clair ?
Ce que je voulais dire c'est que c'est des failles qui sont révélées non ? Ou il y en a qui sont utilisées et non répertoriées ?
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »