Exploit.malekal.com : test des protections

[Th°]

EDIT MODERATEUR, on parle de ce sujet : https://www.malekal.com/2011/01/25/test ... -site-web/

Bonjour,

Je viens de faire l'essai en désactivant l'analyse comportementale dans Outpost Free 2009 (que je reteste depuis quelques jours en remplacement d'OA qui bugge un peu chez moi dans sa dernière version).
Le pare-feu d'Outpost est actif, en mode assistant de règles + le guard d'Antivir 10 Free.
(Essai réalisé sous Firefox 3.6.13 + AdblockPlus)
Hosts MVPS et Spywareblaster sont en protection passive
Tous les ports dits critiques sont fermés.
Je suis sous XP SP3 à jour et en mode admin.
(Donc aucun HIPS ni UAC)

Voila les résultats chez moi :
Adpack affiche une Page blanche
Gpack - Page blanche itou
Ice Exploit - Mini-lecteur WMP en haut à gauche de l'écran, apparemment non actif (il ne se passe rien et les boutons sont grisés)
Fire Pack - Erreur 404 - URL Not Found
Poly Exploit - Erreur 404 - URL Not Found
Eleonore Pack - Page blanche
MPack - Page blanche
ArmitagePack - Symbole " ^_~ "
CryExploit - Page blanche
Unique Exploit Pack - Message Windows d'échec d'ouverture du PDF confirmé par le guard d'Antivir qui se manifeste pour la première fois
FraNew - Frame contenant l'url "http://exploit.malekal.com/franew/directshow.php" + mention "rafraïchir la page", mais rien ne se passe
DataLife - Message "This site is under construction" pendant 1 ou 2 secondes puis page blanche (ici, l'icone chargement de la page tourne en boucle).

Tout est apparemment bloqué, en tout cas dans cette config, et calc.exe ne s'est pas ouvert une fois

@+

[Malekal_morte]

Le gros probleme est que les vulnérabilités doivent plus marcher à partir d'un XP SP3 à jour je pense.

Sinon j'en ai rajouté 3 autres :
# Tors Pack
# Red Pack
# Fiesta Pack

Je veux bien des retours dessus.
Sur Vista, ils ne fonctionnent pas.

Unique Exploit Pack - Message Windows d'échec d'ouverture du PDF confirmé par le guard d'Antivir qui se manifeste pour la première fois

Sans Antivir ça lance qq chose ?
Je pense que non, il doit foiré le PDF.

Je changerai le fichier droppé (calculatrice) par un fichier qui ouvre une popup "exploit réussi" et qui normalement devrait déclencher l'UAC.
Le fichier contiendra les strings d'eicar, donc ça devrait faire warner les AV.

[Th°]

Le gros probleme est que les vulnérabilités doivent plus marcher à partir d'un XP SP3 à jour je pense.

OK

Sinon j'en ai rajouté 3 autres :
# Tors Pack
# Red Pack
# Fiesta Pack

Je veux bien des retours dessus.
Sur Vista, ils ne fonctionnent pas.

toujours avec la même config (XP SP3 en mode admin et analyse comportementale désactivée dans Outpost) et Antivir Guard activé :
# Tors Pack me donne une page blanche avec ce code affiché : a:1:{i:1;s:223:"";}
# Red Pack : Message d'erreur Warning: mysql_num_rows(): ... 404 Not Found
# Fiesta Pack : Page blanche.

Unique Exploit Pack - Message Windows d'échec d'ouverture du PDF confirmé par le guard d'Antivir qui se manifeste pour la première fois

Sans Antivir ça lance qq chose ?
Je pense que non, il doit foiré le PDF.

j'ai donc désactivé Antivir et il semble que ça passe. Foxit s'est ouvert sur une page blanche affichant VFcCUWEJjpZTZTX9 en grands caractères.
Qu'en penses-tu ?
Edit 19h40 : je viens de comprendre que le test est concluant vu que la calculatrice ne s'est pas lancée

Je remets le lien vers les tests ici ; )

Les infos de connexions :
url http://exploit.malekal.com/ (la propagation DNS a été lancée y a deux heures - si ça dit not foud, retente plus tard).
user : exploit
Pass: oeL3mEszeZ

@+

[Malekal_morte]

Merci pour les tests !

Unique Exploit Pack - Message Windows d'échec d'ouverture du PDF confirmé par le guard d'Antivir qui se manifeste pour la première fois

Sans Antivir ça lance qq chose ?
Je pense que non, il doit foiré le PDF.

j'ai donc désactivé Antivir et il semble que ça passe. Foxit s'est ouvert sur une page blanche affichant VFcCUWEJjpZTZTX9 en grands caractères.
Qu'en penses-tu ?

Ca lance un PDF malicieux qui doit prendre partie d'une vulnérabilité sur Adobe Reader.
Comme ça lance avec Foxit, ça ne fonctionne pas.

Edit 19h40 : je viens de comprendre que le test est concluant vu que la calculatrice ne s'est pas lancée

ok !

j'en ai rajouté encore un nouveau !

[Th°]

Hello,

Je viens de faire le dernier test (Siberia), toujours dans les mêmes conditions.
Guard Antivir activé, Siberia affiche une page blanche contenant un cadre vide en haut à gauche. Rien de cliquable et aucun warn de la part d'Antivir.
Même résultat Antivir désactivé.
A tout hasard, j'ai nettoyé le cache FF entre les deux (dans le doute)

[édité]
Pour mon instruction personnelle, comme je n'y connais pas grand-chose en exploits et droppers, je serais protégé dans ces tests par le simple fait d'être à jour de mes updates et d'être derrière AdblockPlus et Hosts ? (Antivir n'ayant warné que sur un test. Mais sans lui l'exploit n'a pas fonctionné non plus, mes PDF s'ouvrant avec Foxit)

Merci en tout cas Malekal, ces tests sont fort instructifs  ; )

[Malekal_morte]

Merci pour les tests;

Pour mon instruction personnelle, comme je n'y connais pas grand-chose en exploits et droppers, je serais protégé dans ces tests par le simple fait d'être à jour de mes updates et d'être derrière AdblockPlus et Hosts ? (Antivir n'ayant warné que sur un test. Mais sans lui l'exploit n'a pas fonctionné non plus, mes PDF s'ouvrant avec Foxit)

AdblockPlus n'entre pas en jeu.
Pour qu'un exploit fonctionne, il faut que le logiciel avec la version dont la vulnérabilité est testée soit présent sur le système et que par exemple dans le cas d'un PDF, ce dernier s'ouvre sur ce logiciel.
Si tu as un Adobe Reader avec la version vulnérable et que les PDF s'ouvre avec Foxit, bha le PDF malicieux va s'ouvrir avec Foxit et il se passera rien.
Donc mettre à jour ses logiciels protègent oui, après tu as le cas des vulnérabilités 0-day, où il n'y a pas de correction d'où l'utilisation de logiciels tiers (mais si c'est une vulnérabilité Windows, bha t'es bonbon sauf si y a des solutions pour amoindre la vulnérabilité) ;

voila en espérant que ce soit clair.

[Gilles Gropaquet]

Bonjour,

XP SP 3, Firefox admin, Webguard Antivir désactivé, no script désactivé.

1 à 3 : page blanche
4 et 5 : 404
6 et 7 : page blanche
8 : ^_
9 et 10 : page blanche
11 : "rafraichir la page..." + cadre avec adresse du site écrite (Fragus)
12 : error serveur mysql
13 : a:f:{i:1;s:223:"";}
14 : error serveur mysql
15 : page blanche
16 : cadre blanc

Tests réussis.

@+

[Th°]

voila en espérant que ce soit clair.

Merci, tout est clair ; )
Je n'avais pas vu les commentaires laissés en bas de la page des tests

@+

[EboO]

Les derniers exploits ne passent pas sous 7 64 bits, uac on, plugins à jour (testé sur une vm).

[Malekal_morte]

OK donc ça marche pas sur un XP SP3 \o/

c'pas super pour les tests \o/

Merci !

[EboO]

Ca va venir, patience

[Gilles Gropaquet]

Ca marcherait bien si je ne tenais pas mon XP et les logiciels à jour..

@+

[EboO]

Dans un sens c'est rassurant si pour se prémunir de la plupart des exploits il suffit d'avoir un os et des logiciels à jour.
D'un autre côté si on pouvait tester un exploit basé sur une faille 0-day ce serait pas mal.

[Malekal_morte]

C'est pourtant ce qui est expliqué un peu partout quand ça parle d'exploit :/
C'est pas clair ?

[EboO]

C'est pourtant ce qui est expliqué un peu partout quand ça parle d'exploit :/
C'est pas clair ?

Ce que je voulais dire c'est que c'est des failles qui sont révélées non ? Ou il y en a qui sont utilisées et non répertoriées ?