2013-05-19 - Panel

Inside Styx Sploitpack 4.0 - Exploit Kit Control Panel

(Lorenz-84 - For the thumbnail)
Styx Logo


In this post we'll just see how the panel looks like.
If you want to know more about the price and exploits included see the "Read more" part at the end.

<edit1 2013-05-23>
Have learnt that this Styx is in version 4.0
Here is what's new since the last post.
Original Text :
------------------------------------------
Уважаемые пользователи!

Мы проделали достаточно большой объем работы, чтобы объявить о новой версии Styx Sploit Pack 4.0 с суффиксом High Performance.

Доработки по сравнению с версиями 3.0 и 2.0:

Мультисерверная работа: связка может быть расположена на нескольких серверах, все обновления идут с мастер-сервера;
Полностью переписан на компилируемом языке, что позволило избавиться от РНР чуть более, чем полностью;
Дополнительные фильтры для защиты трафика: блокировка повторных заходов, без рефереров, боты гугля, кравлеры;
Ротатор доменов: позволяет задавать домены либо сабдомены пачками, постепенно ротируя их в зависимости от ситуации; уникальный URL для слива трафика - един, он ведет на текущий домен для слива;
Чекер доменов (позволяет проверять домены на нашем сервисе GhostBusters в автоматическом режиме);
Чекер файлов (позволяет следить за чистотой файлов на нашем сервисе Captain Checker);
Service Desk для оперативной работы с тикетами (с поддержкой работы и нотификаций через Jabber);
Доработан API: полностью все фукнции продублированы в API, что позволяет добавить новый уровень автоматизиции;
Экспорт статистики: простой и удобный - позволяет экспортировать статистику в человеко-читаемом формате, страны, браузеры, общая статистика и т.д.;
Нотификации на Jabber или e-mail о текущей ситуации в системе: детект домена, файла, загрузка файла с нового URL и т.д.;
Собственный плагин-детект: позволяет пробивать только тех, кто пробивается;
Обратная выдача трафика: если по заданным критериям трафик отфильтровался как реджект, он будет слит на указанный вами Back URL, что позволяет не терять трафик;
Черные списки рефереров и юзерагентов с поддержкой масок;
Заливка файла с URL: теперь есть три варианта работы с файлами: загрузить файл на сервер, указать URL для периодической загрузки файла или вовсе грузить файл напрямую с указанного URL, минуя загрузки на сервер связки;
Система весов для АВ, которая позволяет гибко настроить связку под ваш трафик (например, ротировать домен только в том случае, если имеются детекты Kaspersky и Spamhouse, в других случях - не ротировать);
Возможность установить продукт на VPS с минимальной конфигурацией;
Новые и актуальные свежие и чистые сплойты, сердце связки;

Разумеется, как всегда - если у вас есть какая-либо актуальная для вас фича, мы готовы выслушать и реализовать данную возможность для вас.

Русская версия: https://styx-crypt.com/ru/read/styx-pack.xml
------------------------------------------
Translated by google as :
------------------------------------------
Dear customers!

We have done a considerable amount of work to announce a new version of the Styx Sploit Pack 4.0 with the suffix High Performance.

Improvements compared to versions 3.0 and 2.0:

Multiserver job: bundle can be located on multiple servers, all of the updates coming from the master server;
Completely re-written in a compiled language that will get rid of PHP slightly more than full;
Additional filters for traffic protection: block repeated calls, no referrer, bots of Google, kravlery;
Rotator domains: lets you specify domains or subdomain packs, gradually rotiruya them depending on the situation, a unique URL to drain traffic - one, it leads to the current domain to drain;
Chequer domains (domains allows you to check on our service GhostBusters in automatic mode);
Chequer files (allows to monitor the cleanliness of files on our service Captain Checker);
Service Desk for operative work with tickets (with support for work and notifications via Jabber);
Improved API: all fukntsii completely duplicated in the API, which lets you add a new level of automating the;
Export statistics: simple and convenient - you can export statistics in human-readable format, countries, browsers, general statistics, etc.;
Notification on Jabber or e-mail about the current situation in the system: Crime domain, file, file download from the new URL, etc.;
Detective own plugin: allows you to punch only those breaks;
Contact the issuance of traffic if the traffic on the specified criteria filtered as rejections, it will be merged to your specified Back URL, which allows you to not lose traffic;
Black lists the referrers and yuzeragentov with support of masks;
Fill the file URL: now have three options for dealing with files: download the file, specify a URL for a file or a batch file does ship directly from the specified URL, bypassing the load on the server bundles;
The system of weights for AB, which allows you to flexibly configure a bunch of your traffic (for example, rotate a domain only if there is a detective and Kaspersky Spamhouse, in other cases - do not rotate);
Ability to install the product on a VPS with minimal configuration;
New and current fresh and clean sployty, heart ligament;

Of course, as always - if you have any relevant feature for you, we are ready to listen and to implement this feature for you.

Russian version: https://styx-crypt.com/ru/read/styx-pack.xml
------------------------------------------
</edit>

However here is how look a successful attack with last (known to me) integrated exploit :

Urausy pushed by Styx Using CVE-2013-2423 with Security Bypass (jnlp) - 2013-04-27 
Here is the login screen.
Open, Seasam - Login Screen
The Lorenz-84 is animated :


Statistics - Global - Styx
All menus - Styx
Statistics - Country - Styx
Statistics - Browser & OS - Styx
Those stats raise some questions. But I don't have the answer.
(i tried to land with IE10 last java...nothing terrible happen but I already badly failed in recognizing new bullet)

Flow - Styx
(No Traffic. So Empty)
Settings - Domains - Styx
Settings - Files - Styx
Settings - Filters - Styx
(hello "402 Payment Required" :)  )

Settings - Notifications - Styx
Settings - API - Styx
(Unfolded : /api/stats_global)
At the bottom of the API page :


Which you can get here : styxAPI-samples.7z
(unmodified files - Owncloud via Goo.gl - just remove the .zip extension)

"Another problem with your file, my Lord. Captain Checker says it's NOT ok"
Screenshot of StyxAPI sample.php
Settings - Global Settings - Styx
Settings - Global Settings - Show BL Weigths - Styx


And we'll finish by the 404 (have to admit i love it - Lorenz-84 rotating here too)

Great job!
You've just broke it.

Styx Panel in one word ?
Professional.
(but it seems some protection functionality are missing)

Read more :
Presentation :
Crossing the Styx ( Styx Sploit Pack 2.0 ) - Meet CVE-2012-4969 via JS heapspray  - 2012-12-22
Last integrated exploits :
CVE-2013-2423 integrating Exploit Kits (search for Styx) - 2013-04-23
CVE-2013-1493 (jre17u15 - jre16u41) integrating Exploit Kits (search for Styx) - 2013-03-09
CVE-2013-0431 (java 1.7 update 11) ermerging in Exploit Kits  (search for Styx) - 2013-02-25
For fast network sigs :
Styx Exploit Kit by @malwaresigs
How is it being used :
The path to infection - Eye glance at the first line of "Russian Underground" - 2012-12-05

Some References :
An Overview of Exploit Packs - Contagio  - Mila
Wild Wild West - Kahu Security