Domanda Malware Idee per infettare una macchina trami e-mail....

Eoloprox

Utente Emerald
20 Marzo 2016
605
150
51
415
Ciao a tutti
Se volessi infettare una macchina con un PDF, dovrei prima accertarmi che il target apra il pdf con reader di Acrobat, poi dovrei avere un exploit impacchettato e pronto all'uso no, ci sono altre metodologie al di fuori di un exe che ormai non ci casca piu nessuno?
 
Ci sono queste idee, solo che durano poco perché vengono subito sfruttate da gruppi criminali come Emotet su larga scala, il che forza i vari vendor di sistema operativo, browser o qualsivoglia tool a fare aggiornamenti e prendere provvedimenti. Una volta andava in voga java drive-by, poi flash player, le macro e cosi via... Oggi? Chi sa un modo funzionante non lo pubblica su un forum, ci può fare solo due cose: lo sfrutta (usandolo o vendendolo) oppure segnala la falla a chi di dovere.
 
Ultima modifica:
Beh dove comprarli non è semplice, non è che puoi mandare bitcoin a caso sperando che arrivi un exploit vero, chi compra ha molti soldi e molti contatti, quindi una volta conosciute le persone e aziende giuste si fa una demo in presenza per essere sicuri di quello che si compra.

Dove venderli già è più semplice, ci sono diverse aziende (famose e non) che comprano, se vuoi avere un idea chiara dei prezzi al black market degli 0day, vai sulle taglie di zerodium: quello che pagano per ogni vuln è minimo 1/4 di quanto costa per un privato acquistarla. La più costosa al momento Android full-chain 0click che loro te la comprano a 2.5 milioni $, ma so che se vuoi comprarla tu sono 10 milioni $.

Non so se c'è chi li vende in darknet ma sarebbe follia, perché il venditore non può fidarsi di un escrow, l'exploit si copia come niente e non lascia traccia, e poi potrebbe rivenderlo o usarlo a sua insaputa. Di solito il venditore finché non riceve soldi non dà codice o PoC giustamente e puoi immaginare quanti scam ci siano in giro.

EDIT: avevo formulato male una frase, per essere chiari zerodium dice di non rivendere gli exploit che compra, il prezzo di cui parlo (10kk) si riferisce alle aziende che invece lo fanno, quelle che non si trovano su google.
 
  • Incredibile
  • Love
Reazioni: 0xbro e Eoloprox
Ciao a tutti
Se volessi infettare una macchina con un PDF, dovrei prima accertarmi che il target apra il pdf con reader di Acrobat, poi dovrei avere un exploit impacchettato e pronto all'uso no, ci sono altre metodologie al di fuori di un exe che ormai non ci casca piu nessuno?
Comunque altre tecniche usate recentemente, non relative all'utilizzo di pdf ma che utilizzano sempre come vettore d'attacco le email, sono state:
Non me ne vengono in mente altri che non siano ormai deprecati, però insomma, lo 0-day è proprio l'ultimissima delle opzioni (per ovvi motivi). I classici attacchi continuano a essere quelli di phishing per il recupero delle credenziali, però ad esempio sono andati tantissimo ultimamente quelli relativi al "reciclaggio" di vecchie email degli utenti, rubate in qualche modo, in modo da convincere l'utente che si tratti di un thread email esistente e quindi scaricare l'allegato malevolo
 
Quindi, una mia considerazione:
E' più facile craccare tanti device con attacchi su larga scala (e vedere se entri) che farne uno solo mirato ad una persona che ti sta sul c****? NO?
 
Quindi, una mia considerazione:
E' più facile craccare tanti device con attacchi su larga scala (e vedere se entri) che farne uno solo mirato ad una persona che ti sta sul c****? NO?
Corretto, infatti ormai gli attacchi di phishing o di password guessing prediligono le numeriche alla "bontà" dell'attacco. Su 10.000 dipendenti a cui mandi una mail di phishing, ci saranno almeno 5 o 6 di loro che ci cascheranno.

Lo stesso vale per gli attacchi di password spraying, si è capito che è più efficace e prolifico spammare 10 password comuni su 10.0000 utenti che lanciare un dizionario complesso intero contro 10 (senza tenere in considerazione blocchi e ban vari).