| |
|
|
Bạn huydd đang làm trong lãnh vực nào vậy, xem các topic create và post của bạn, tôi hơi có dấu ? Shellcode này tương đối phức tạp, bạn muốn nắn gân, thử sức anh em phải không ?
Sếp bạn là ai, cơ quan nào, tại sao lại có 2 file tiếng Việt này gởi tới đích danh như vậy ?
Thời điểm cậu post và up hai con .rtf này lên, tui có nhận được mail này, có liên hệ gì không, muốn thử xem Thằng Cu Anh này có bó tay không phải không ?
Hi TQN
Dạo này thấy đồng chí có vẻ căng thẳng vụ BKIS quá nhỉ!  hôm nào phải trao đổi một chút về BKIS và các vấn đề liên quan cái nhỉ...
Lần này mình lại muốn nhờ một chút, đợt trước cậu có đề cập đến việc mất pass thông qua file word liên quan đến STL, mình đang cần thông tin về file word đó (tính độc, các hành vi và một số phân tích của bạn nếu có), do mình không phải chuyên gia như TQN nên cần phân tích hành vi hơn là dòng mã, nếu có nghi ngờ sẽ gửi cho TQN phân tích mã giúp, mình đang muốn kiểm tra STL chính xác là ai...
Trân trọng cám ơn trước nếu TQN có thể chia sẻ
Nếu bạn này chịu khó search, thông tin phân tích file .doc đó tui đã post lên từ lâu, từ đầu tiên trong thời gian đấu với stl rồi.
stl là ai thì tự bản thân ai cũng biết rồi, khỏi nói, khỏi cần điều tra.
|
 |
|
|
Con này quả là khó gặm, hơi bị phức tạp, đi tới 3, 4 bước extract, decode mới ra được code cuối cùng. Dùng kỹ thuật lạ, nhưng không mới để inject code cuối cùng từ profile.dat vào iexplorer.exe thật của MS - QueueUserAPC.
billgate2012.xicp.net
debug037:00CC0068 szhttpngoisao_netFilesSubject3b9dbb82ty3_jpg_thumb0x105_ db 'http://ngoisao.net/Files/Subject/3b/9d/bb/82/ty3.jpg.thumb0x105.ns.cr140x105.jpg',0
debug037:00CC00B9 db 0BEh ; +
debug037:00CC00BA db 0ADh ; ¡
debug037:00CC00BB db 0DEh ; ¦
debug037:00CC00BC szty3_jpg_thumb0x105_ns_cr140x1051_jpg db 'ty3.jpg.thumb0x105.ns.cr140x105[1].jpg',0
debug037:00CC00E3 db 0DEh ; ¦
debug037:00CC00E4 szHTTP1_1200OKContentTypeimagejpegKeepAlivetimeout6 db 'HTTP/1.1 200 OK',0Dh,0Ah
debug037:00CC00E4 db 'Content-Type: image/jpeg',0Dh,0Ah
debug037:00CC00E4 db 'Keep-Alive: timeout=60',0Dh,0Ah
debug037:00CC00E4 db 'Content-Length: 4805',0Dh,0Ah
debug037:00CC00E4 db 'ETag: "8ef312ff17fccc1:a24"',0Dh,0Ah
debug037:00CC00E4 db 'X-Powered-By: ASP.NET',0Dh,0Ah
debug037:00CC00E4 db 0Dh,0Ah
Sao lại có ngoisao.net trong đây ?
Phân tích đầy đủ cái shellcode và đống đi kèm này chắc cũng phải mất chục trang Word + mấy chục cái hình.
File exe để debug inject code cuối cùng vào IE là file 3.exe và source 3.cpp. Em dùng C++ Builder để compile.
Các bác cứ tập trung vào file 3.exe là sẽ hiểu các kết nối, tạo file, ghi registry của nó.
http://www.mediafire.com/download.php?hajsiw2fze8kruc
Đặt breakpoint vào các hàm WinExec, CreateProcessA/W, CreateFileA/W, các hàm Registry, và quan trọng là các hàm của WinInet. Quan sát trên stack để xem nó kết nối tới đâu, down cái gì về.
Phải công nhận con shellcode này phức tạp thiệt, làm em mất mấy ngày ngồi extract, make exe, RCE.
Và em lại thấy có cái mùi của stl trong nước, sống dậy, lợi hại hơn à ? Chết em, "heo mi" !
Mong các bác tiếp tục, giờ em không còn đầu óc làm mấy cái này nữa. Bị một em gái tình cờ gặp hồi đi đám cưới hớp hồn rồi 
À quên, cậu huydd có máy mó gì trong đó không, shellcode bị một vài lỗi, tui phải workaround khi extract shellcode ra ! File iExplorer.exe và file .doc (.rtf) nguyên thuỷ (tức file gốc, không bị lỗi, không bị chèn shellcode lúc đầu) bị thiếu mất 4 byte sau khi được extract ra. Đoạn code check file size không thoã, phải patch. Bat file thì sinh đủ.
1 đoạn shellcode trong 1 file .rtf, khi run sẽ extract ra 3 file vào %Temp% dir: 1 bat, 1 exe (iExplorer.exe) và 1 rtf (.doc) gốc. Tất cả đều được rút từ file malform .rtf (.doc) ban đầu. Hay, kỹ thuật hay, lần đầu mới gặp.
Khi các bạn debug 1.exe hay 2.exe, ở đoạn check file size = hàm GetFileSize, các bạn patch cho nó khỏi jnz. Và lấy trị hFile mà em in ra để modify esi khi trước khi nó GetFileSize.
iExplorer.exe trong %Temp% dir sẽ create file profile.dat trong Documents xxxx, execute IE thật trên máy victim, rồi dùng vài hàm của ntdll.dll để inject content của profile.dat vào memory của IE.
File 3.exe wrap toàn bộ code inject của profile.dat.
|
|
|
|
Con shellcode này rất phức tạp, khó mà static analyze được. Tôi thấy phải cài MS Office gốc vào rồi mới debug được toàn bộ tính năng của shellcode, dù tôi đã extract mà make thành file exe chứa shellcode để debug và analyze. Trong quá trình debug shellcode này, gặp rất nhiều điểm mà ta không thể patch được. Vì vậy chỉ còn cách debug MS Word với chính 2 file đó. Mà giờ cài Office thì tôi lười lắm.
File source .cpp chứa shellcode của file .doc nhỏ, các bạn có thể dùng VC++ hay Borland CBuilder để compile và test:
Code:
// đã remove, code shellcode extract ra bi bug. Các code và các file cần thiết ở mediafie.
Sơ bộ nó tìm dll base của 3 dll sau: ntdll, kernel32 và advapi32.dll
Parse và tìm address trong 3 dll trên các hàm sau:
Stack[000007E8]:0012FF04 dd offset kernel32_GetTempPathA
Stack[000007E8]:0012FF08 dd offset kernel32_SetCurrentDirectoryA
Stack[000007E8]:0012FF0C dd offset kernel32_WriteFile
Stack[000007E8]:0012FF10 dd offset kernel32_CloseHandle
Stack[000007E8]:0012FF14 dd offset kernel32_TerminateProcess
Stack[000007E8]:0012FF18 dd offset kernel32_WinExec
Stack[000007E8]:0012FF1C dd offset kernel32_CreateFileA
Stack[000007E8]:0012FF20 dd offset kernel32_lstrlen
Stack[000007E8]:0012FF24 dd offset kernel32_lstrcat
Stack[000007E8]:0012FF28 dd offset kernel32_WideCharToMultiByte
Stack[000007E8]:0012FF2C dd offset kernel32_CreateFileMappingA
Stack[000007E8]:0012FF30 dd offset kernel32_MapViewOfFile
Stack[000007E8]:0012FF34 dd offset kernel32_GetFileSize
Stack[000007E8]:0012FF38 dd offset kernel32_QueryDosDeviceA
Stack[000007E8]:0012FF3C dd offset ntdll_NtQueryVirtualMemory
Stack[000007E8]:0012FF40 dd offset advapi32_RegOpenKeyA
Stack[000007E8]:0012FF44 dd offset advapi32_RegDeleteKeyA
Stack[000007E8]:0012FF48 dd offset advapi32_RegCloseKey
Stack[000007E8]:0012FF4C dd offset Kernel32_Base
Nó dùng chính các hàm API trên để read chính nó lại lên bộ nhớ, giãi mã cái đám không phải shellcode thành code để thực thi tiếp.
So ra nó phức tạp hơn shellcode của stl trong file .doc trước nhiều lần.
|
|
|
|
|
2 n2tforever: đoạn code asm trên chính là hàm memcpy của VC++ RTL, trong mso.dll. Làm sao cậu biết xor với 0x91 ?
|
|
|
|
Lỗi này có từ 2006 rồi, update của MS Office fix hết rồi nếu bật Auto Update.
Tip: từ chuỗi hex string, sẽ có một đoạn code convert từ hex string sang hex thiệt. vd: sub al, 30h.
|
|
|
|
Ghê ha, mấy anh em giấu mặt thấy bà con biết cách analyze các file .doc để tìm exploit, malcode rồi, phổ biến rồi, nên lần này né qua dùng RTF (Rich Text Format) exploit trên Office 2003 ha: CVE 2010-3333. Nhưng mà làm sao núp được ?
Hai file mà bạn huydd không phải là file .doc hay .docx, chính xác nó phải là .rtf. Các bạn mở 2 file này ra bằng notepad hay hexeditor nào đó, đừng mở = WordPad hay MS Word, sẽ thấy chuỗi hex string exploit của file này.
Ngộ là 2 file này có tên tiếng Việt đàng hoàng:
1. Chuong trinh Nghi su HN.doc (hay .rtf)
2. Kich ban dieu hanh.doc (hay .rtf)
Tôi đang phân tích và đã extract được shell code. Lại cái trò kéo bầy kéo đống về à ?
|
|
|
|
|
Java library hoàn toàn cung cấp khả năng check 1st instance này. Đọc và tìm lại đi cậu.
|
|
|
|
|
Máy tui cũng có igfxsrv.exe, của card màn hình Intel. Nhưng không có các hiện tượng kỳ dị vậy. Cậu up file đó lên mediafire đi. stl mèo què thường chơi các trò mạo danh tên file exe cũa các hãng lớn.
|
|
|
|
"Quốc gia lâm nguy, thất phu hữu trách", RCA không nhớ à. Em nói vậy mọi người chùn bước hết đấy.
Vào đóng góp một tay đi em !
|
|
|
|
Bạn covirus boot bằng đĩa HirenBoot, tìm và xoá các file sau:
BackupSvc.txt
BackupSvc.exe
DbCompact.txt
DbCompact.exe
DbEntry1.idx
DbEntry2.idx
DbEntry3.idx
_thumbs.db
_desktop.ini
|
|
|
|
2 covirus: tụi nó có súng đấy em, đừng dại mà chơi dao. Né ra đi em !
Sau lần reboot, Từ fake Unikey ban đầu download về, các bạn vẫn có Unikey sạch, quét không ra gì cả. Nhưng máy các bạn đã được stl bonus "mèo què", dấu ở chổ khác. Xin chia buồn. Chỉ còn đợi CMC update và diệt cái đám bonus đi kèm thôi.
|
|
|
|
Sơ bộ vậy chứ chưa xong, covirut à. Thông cảm, không có đầu óc và thời gian nữa, sáng một chút, trưa một chút à.
Em nên liên hệ bolzano để CMC update cái v1.db và đám đi kèm trong bụng.
Cũng chưa có thời gian ngồi đồng phân tích cái đống fake unikey trên. Nhưng nhờ anh em CMC giải thích giúp, ngoài tính năn clean, delete fake unikey, tool của CMC có phát hiện và clean các mèo què đi kèm fake unikey hay không.
Fake unikeys thường, luôn đi theo cách này:
1. User download fakeunikey.exe về. Run.
2. fakeunikey extract unikey thật ra %temp% và extract ra luôn các em bé đính kèm.
3. CreateProcess unikey thât trong temp và kích hoạt các em bé kia.
4. Đánh dấu next reboot, delete fake unikey, move unikey thật vào thư mục ban đầu or %program file%.
Có nghĩa là hầu hết, sau lần run đầu tiên và reboot, fake unikey sẽ bị xoá đi, chỉ còn lại Unikey thật và các em bé được giấu trong hang cùng ngõ hẻm trong hệ thống Win-đâu.
|
|
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
