****
*****
*****
****
*****
****
Ответы на часто задаваемые вопросы
Трафик (трафф) - это количество уникальных посетителей на определенный сайт, которых можно перевести на другой сайт. Считается в тысячах (К).
Пример:
Куплю RU траф, до 500К в сутки - означает, что покупается трафик, пользователи должны быть из России, и покупается до 500 000 посещений в сутки. Каждый посетитель такого сайта помимо просмотра нужного сайта в фоне грузит сайт указанный злоумышленником.
Источники трафика:
Ифрэйм (iframe) - это трафик полученный с реальных сайтов путем вставки в код сайта конструкции HTML кода вида "iframe src=".
FTP - это полный синоним ифрэймового. Имеется ввиду что заражение сайтов для ифрэйма происходит через ftp подключение.
Дорвейный/сателитный - основное отличие от ифреймового траффа в том, что дорвей - это специальным образом сделанный сайт который не имеет смысловой нагрузки, а предназначен для поисковых роботов таких как гугл и яндекс. Такие поисковые системы считают, что сайт правильный и посылают на него посетителей.
Спамовый - это трафик полученный путем спама через e-mail, icq, vkontakte и т.д. Обычно трафик такого типа очень неплох по своим показателям.
Адалт - трафик такого типа получают с сайтов/дорвеев/сателитов эротической или порнографической тематики. Зачастую имеет низкие показатели качества, т.к. посетители таких сайтов из-за стереотипов включают все возможные антивирусы/фаерволы.
Генеренный - трафик создаваемый не пользователями, а ботнетами. Используется в 90% для накрутки рейтингов и счетчиков сайтов. Для других целей практически бесполезен.
Эксплойт - это компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).
Классификация:
Удалённый эксплойт - работает через сеть и использует уязвимость в защите без какого-либо предварительного доступа к уязвимой системе;
Локальный эксплойт - запускается непосредственно в уязвимой системе, требуя предварительного доступа к ней. Обычно используется для получения взломщиком прав Суперпользователь.
Связка - это набор эксплоитов направленный на несколько программ (версий) и/или под разные уязвимости в них. В последних версиях связок производится выбор эксплойта именно под конкретную программу пользователя.
Виды связок:
Приват - это связки сплоитов разрабатываемые не для продаж. Обычно имеют "на борту" 0day уязвимости (т.е. уязвимости которые или вообще неизвестны разработчикам ПО или не исправленные разработчиками).
Паблик - есть платные (это связки которые можно купить. Обычно содержат общедоступный список уязвимостей) и бесплатные (бывшие платные связки волей случая попавшие для всеобщего скачивания на форумы/сайты)
Шелл-код - это двоичный исполняемый код, который обычно передаёт управление командному процессору, например '/bin/sh' Unix, command.com в MS-DOS и cmd.exe в операционных системах Microsoft Windows. Шелл-код может быть использован как полезная нагрузка эксплойта, обеспечивающая взломщику доступ к командной оболочке в компьютерной системе.
Лауды (инсталлы, загрузки) - это количество уникальных установок вашего софта на определенные компьютеры. Считается в тысячах (К).
Лоадер - некое программное обеспечение выполняющее функции доставки ваших файлов на компьютер жертвы. Это небольшого размера исполняемый файл, который при запуске скачивает из интернета один или несколько ваших файлов на компьютер жертвы и запускает их.
Типы:
Нерезидентные - запускаются в системе, выполняют задания, а после перезагрузки умирают.
Резидентные - при первом запуске прописываются в системе (либо в реестре, либо как сервис, либо в атозагрузку и т.д.), и только после этого начинают выполнять задания.
Обход:
Обход UAC - это срабатывание не вызывающее стандартные сообщения windows о запускаемом ПО и разрешение на добавление в стандартный фаервол.
Обход проактивки определенного антивируса или набора антивирусов.
Частичный обход - при данном обходе фаервол/антивирус выпускает ваш файл в сеть, но выдает пользователю некое окошко в котором уведомляет о автоматически созданном правиле, либо о добавлении данного файла в категорию слабых ограничений.
Обход фаервола - это незаметный выход в сеть вашего файла и при этом ни один из указанных фаерволов никак не среагируют.
Пример:
1) В описании малвари написано: обход KIS, comodo, avast - значит, что на указанном программном обеспечении на стандартных настройках не возникнет никаких надписей.
2) Обход KIS - частичный обход (или обход с уведомлением) NIS (norton internet security).
Отстук - успешный процент запуска.
Пример со связки:
Допустим ваш файл загружали со связки. В этом случае связка показывает некое число пробитых компьютеров. Скажем - 1000.
В админке у вас показывает, что всего 645 зараженных машин (далее - ботов). В этом случае отстук бота со связки составляет 645*100/1000=64,5%.
Показатели отстука во многом зависят от ряда факторов: самой связки, качества бота, чистоты бота (т.е. определяют ли его антивирусы или нет), качества крипта, качества трафика и т.д.
Пример с лаудера:
Некоторые продавцы загрузок отказываются напрямую грузить ваш файл мотивируя тем, что неизвестно какого он качества и не понятно как он будет отстукивать. И грузят со связки свой лоадер с хорошими показателями отстука, а только затем ваш лоадер/вирус/и т.д. по списку.
Криптор - программа предназначенная для скрывания ваших вирусов от антивирусов (крипт).
Виды крипторов:
Рантайм\скантайм - этими выражениями определяется будет ли файл выходить из своей оболочки помещая оригинальную копию файла в Windows(или другую папку) или нет. (Имеют стаб)
Полиморфный - для каждого файла создается отдельная сигнатура по которой потом шифруется весь файл. (Стаба не имеют)
Метаморфный - полностью или частично заменяют код программы оставляя саму программу в рабочем состоянии. (Стаба не имеют)
Стаб - это размер на который увеличится ваш файл после крипта.
Крипт - процесс сокрытия вашего вредоносного кода от антивирусов (АВ).
Ифрейм - это два понятия объединенные одним словом.
Ифрейм код - это способ управления трафиком, а вернее - способом его отправки на нужный нам адрес. Данный способ заключается в вставке в страницу сайта специально сгенерированного кода, который незаметно от пользователя подгружает в фоновом режиме нашу страницу.
Ифрейм процесс - это сам процесс внедрения нашего iframe кода на страницы. Он бывает ручным и автоматическим. сайта
Шелл - интерпретатор команд операционной системы, обеспечивающий интерфейс для взаимодействия пользователя с функциями системы.
Джоинер (joiner) - программа для склеивания (соединения) двух и больше файлов. Применяется в основном для маскировки трояна под песню, картинку, другую программу и т. д.Склеивать можно совершенно разные файлы от jpg, mp3 и txt до exe, scr и др. Все зависит от самой программы.
Кейлоггер (keylogger) - перехватчик нажатых на клавиатуре клавиш. Данная программа записывает и отсылает хозяину все что было набрано на клавиатуре, хотя часто обладает дополнительным функционалом, таким как чтение данных из буфера обмена, снятие скриншотов и прочими функциями.
Сниффер (анализатор трафика) - сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.
RAT - Remote Administration Tool (программа для удалённого администрирования) - такие программы часто используются для слежения за компьютером. Крысы могут делать снимки рабочего стола, прослушивать микрофон и подсматривать в веб-камеру, воровать пароли от сайтов, залезать жертве на жесткий диск и в реестр, использовать компьютер жертвы как прокси или же в DDOS атаке, а так же разные игрушки, такие как отключение всего рабочего стола, удаление с него всех значков, отключение экрана, открывание дисковода и прочее.
Стилер - специальная программа, предназначеная для воровства сохранённых на компьютере жертвы паролей. Чаще всего воруются пароли от браузеров, мессенджеров, почтовых и фтп-клиентов. Полученные данные стилер может отправлять на FTP, почту или гейт.
Социальная инженерия (СИ) — это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным.
DoS-атака - атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён.
DDoS-атака - атака выполняется одновременно с большого числа компьютеров.
Http-флуд атака - это наиболее распространенная flood атака. В ее основе – отсылка HTTP-запросов GET на 80-й порт. Это приводит к такому состоянию загрузки сервера, что он оказывается неспособным к обработке других запросов.
Ping-флуд - тип атаки на сетевое оборудование, ставящий своей целью отказ в обслуживании. Ключевой особенностью (по сравнению с остальными видами флуд-атак) является возможность осуществления атаки «бытовыми средствами» (программами и утилитами, входящими в состав домашних/офисных версий операционных систем).
SYN-флуд - одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок.
Руткит - компьютерная программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита).
Класификация по уровню привилегий:
Уровня пользователя (user-mode)
Уровня ядра (kernel-mode)
Собственно это все. Статья написана для новичков. Использованы материалы с этого сайта. На нем вы можете найти более полное объяснение терминов.
