banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: bolzano_1989  XML
Profile for bolzano_1989 Messages posted by bolzano_1989 [ number of posts not being displayed on this page: 0 ]
 

xnohat wrote:
Cách này giống ngày xưa mình làm trên thằng Windows XP thì đổi file sethc.exe là file của chương trình stickykey bằng file cmd.exe . Sau khi bấm 5 lần phím Shift thì cmd.exe hiện ra dù đang ở màn hình logon smilie 


WinDak wrote:

maitan_10000 wrote:

xnohat wrote:
Cách này giống ngày xưa mình làm trên thằng Windows XP thì đổi file sethc.exe là file của chương trình stickykey bằng file cmd.exe . Sau khi bấm 5 lần phím Shift thì cmd.exe hiện ra dù đang ở màn hình logon smilie 

bên xp thì dùng được, không biết bên win7 còn dùng được không nhỉ? 


Win7 cũng làm được đấy smilie Windows/System32/sethc.exe
Ngoài ra trong win7 còn có thằng displayswitch.exe smilie) . Lắm "backdoor" quá  


Với Windows XP SP3 thì các cách trên không dùng được cho limited user nữa rồi smilie .
Theo mình một người dùng Linux thường vẫn cần đến phần mềm antivirus.
Các lỗ hổng bảo mật Java mà Flashback dùng thật ra là cross platform, nếu như có kẻ xấu thực hiện việc tương tự với người dùng Linux và hệ thống của họ không được cập nhật, vá lỗi hoặc tối ưu bảo mật phù hợp thì máy tính những người dùng Linux này vẫn có thể nhiễm phần mềm độc hại như thường khi duyệt web.

Carberp, Blackhole, and CVE-2012-0507 | ESET ThreatBlog
http://blog.eset.com/2012/03/30/blackhole-cve-2012-0507-and-carberp
This week Blackhole has been updated to version 1.2.3 and includes a new exploit for the Java CVE-2012-0507 vulnerability, which ESET calls Java/Exploit.CVE-2012-0507.
The first information about a working exploit for CVE-2012-0507 was released by the company Immunity with reference to the 7.03.2012 product update of Immunity CANVAS Modules. The first In-the-Wild detections were recognized during the week beginning on March 12, 2012. The CVE-2012-0507 vulnerability was remediated on February 15 as part of a critical patch update advisory. Today a public module for Metasploit Framework was released, working on a range of platforms: Windows, Linux, Solaris and OSX. The Metasploit module for exploitation of CVE-2012-0507 looks the same as the exploit version seen in the updated Blackhole version. 

Dùng CMC Antivirus quét toàn máy đi bồ smilie .

Ikut3 wrote:

@Bolzano_1989 : bạn ni bớt cái CMC InfoSec lại tí tí nha. Hữu xạ tự nhiên hương mà smilie 


Hì anh mrro nói là thị trường cho nhóm công việc 1 về An toàn sản phẩm (product security) rất ảm đạm ở Việt Nam, mình chỉ muốn góp 1 góc nhìn cho thấy bức tranh đang dần sáng sủa hơn đấy chứ smilie . Thông tin tuyển dụng việc làm cho nhóm công việc này mình gửi ở trên là thông tin mới (tin được đăng vào ngày 23.04.2012), anh mrro có lẽ cũng chưa đọc được khi viết bài viết trên nên việc mình muốn chia sẻ với mọi người cơ hội việc làm này là bình thường thôi, mình cũng chỉ gửi những miêu tả công việc ngắn, cậu có điều gì không vui chăng? Mình cũng rất mong các bạn có thông tin về những cơ hội việc làm khác trong thị trường có vẻ "ảm đạm" này cùng chia sẻ để bổ sung cho bài viết của mrro smilie .

mrro wrote:

2.1 An toàn sản phẩm (product security)

Công việc chính của nhóm này là làm việc với các đội phát triển sản phẩm để đảm bảo sản phẩm làm ra an toàn cho người dùng và an toàn cho hệ thống của công ty, cụ thể là:

* Kiểm định mã nguồn và thiết kế của sản phẩm

* Phát triển các giải pháp kỹ thuật và quy trình phát triển phần mềm an toàn để phát hiện và ngăn chặn những kỹ thuật tấn công đã biết

* Đào tạo nhân lực để nâng cao nhận thức về an toàn thông tin cũng như kỹ năng viết mã an toàn

* Nghiên cứu các hướng tấn công mới có thể ảnh hưởng hệ thống sản phẩm và dịch vụ của công ty

Tóm gọn lại thì nhóm này chuyên tìm lỗ hổng và kỹ thuật tấn công mới. Đây là công việc của tôi và tôi thấy đây là công việc thú vị nhất trong ngành smilie.

Ở Mỹ thì thông thường thì chỉ có các hãng có phần mềm và dịch vụ lớn như Facebook, Google, Microsoft, Oracle, v.v. hay các tập đoàn tài chính ngân hàng lớn mới có đội ngũ tại chỗ để đảm nhiệm công việc này. Các công ty nhỏ thường chỉ thuê dịch vụ của các công ty tư vấn. IBM và Big Four đều có cung cấp dịch vụ tư vấn này. Dẫu vậy nếu được chọn lựa thì tôi sẽ chọn làm cho các công ty chuyên sâu như Matasano, iSec, Leviathan, Gotham, IOActive, Immunity, v.v.

Ở Việt Nam thì thị trường việc làm cho người làm an toàn sản phẩm có vẻ ảm đạm hơn. Cho đến nay tôi biết chỉ có một vài công ty ở Việt Nam là có nhân viên chuyên trách lĩnh vực này. Các công ty khác (nếu có quan tâm đến an toàn thông tin) thì hầu như chỉ tập trung vào an toàn vận hành. Các công ty tư vấn an toàn thông tin ở Việt Nam cũng không tư vấn an toàn sản phẩm, mà chỉ tập trung tư vấn chung chung về các quy trình và tiêu chuẩn an toàn thông tin.

2.2 An toàn vận hành (operations security)

Công việc chính của nhóm này là đảm bảo sự an toàn cho toàn bộ hệ thống thông tin của doanh nghiệp, với ba nhiệm vụ chính:

* Ngăn chặn: đưa ra các chính sách, quy định, hướng dẫn về an toàn vận hành; kiện toàn toàn bộ hệ thống thông tin, từ các vành đai cho đến máy tính của người dùng cuối; cấp và thu hồi quyền truy cập hệ thống; quét tìm lỗ hổng trong hệ thống, theo dõi thông tin lỗ hổng mới và làm việc với các bên liên quan để vá lỗi, v.v.

* Theo dõi và phát hiệ: giám sát an ninh mạng.

* Xử lý: phản hồi (incident response) và điều tra số (digital forensics) khi xảy ra sự cố an toàn thông tin, từ tài khoản của nhân viên bị đánh cắp, rò rỉ thông tin sản phẩm mới cho đến tấn công từ chối dịch vụ.

Đây là công việc khó nhất, nhưng lại ít phần thưởng nhất của ngành an toàn thông tin.

Tương tự như trên, chỉ có các hãng lớn của Mỹ mới có đội ngũ tại chỗ để phụ trách toàn bộ khối lượng công việc đồ sộ này, nhất là mảng xử lý và điều tra. Đa số các công ty chỉ tập trung vào ngăn chặn và sử dụng dịch vụ của bên thứ ba cho hai mảng còn lại. Các hãng như Mandiant, Netwitness hay HBGary cung cấp dịch vụ điều tra các vụ xâm nhập và có rất nhiều hãng khác cung cấp dịch vụ giám sát an ninh mạng.

Ở Việt Nam thì thị trường việc làm cho người làm an toàn vận hành tương đối phong phú hơn so với an toàn sản phẩm. Các công ty và tổ chức tài chính lớn đều có một vài vị trí chuyên trách về an toàn vận hành. Đa số người làm về an toàn thông tin ở Việt Nam mà tôi biết là làm trong lĩnh vực này. Dẫu vậy hầu như chưa có ai và công ty tư vấn nào làm về phản hồi và điều tra sự cố.
 


Mình bổ sung là cả 2 nhóm công việc chính trong ngành việc làm an toàn thông tin anh Thái nêu trên (An toàn sản phẩm (product security)
An toàn vận hành (operations security)) đều có ở CMC InfoSec bên cạnh nhóm công việc Tìm diệt mã độc và các nguy cơ khác (threat analysis):
CMC InfoSec | Chuyên viên bảo mật
http://www3.cmcinfosec.com/Tuyen-dung/Chuyen-vien-bao-mat/1159.epi
- Thực hiện tấn công đánh giá
- Dò tìm lỗ hổng ứng dụng
- Khai thác lỗ hổng ứng dụng
- Thiết kế hệ thống bảo mật
- Xử lý sự cố bảo mật 


Malware analyst - .:: HVAOnline ::.
/hvaonline/posts/list/40802.html
- Phân tích malware
- Phát triển công cụ phát hiện bằng C/C++
- Tạo chuỗi phát hiện malware  
Cảm ơn anh mrro đã chia sẻ những kinh nghiệm quý báu.
doremon-nobita: Bạn lập chủ đề mới đi nhé.
Thật ra gửi lên VirusTotal là các hãng antivirus đều sẽ nhận được mẫu rồi, trang uploadmalware.com cũng là 1 kênh nhận mẫu như VirusTotal thôi anh TQN.
Quan trọng là mỗi hãng sẽ có độ ưu tiên cập nhật cho từng kênh lấy mẫu virus khác nhau.
Hãng antivirus nào cập nhật chậm thì đến lúc họ cập nhật xong, nhóm stl đã cập nhật và thay thế bằng các trojan mới trước rồi. Muốn các hãng antivirus cập nhật nhanh nhất thì tốt nhất là gửi các mẫu này qua càng nhiều kênh nhận mẫu của họ càng tốt.
Mình thấy Apple có lối hành xử rất kém với cộng đồng bảo mật whitehat hacker, có vẻ như họ không muốn thế giới biết về những điểm kém trong bảo mật của họ.
Trước đây là tước giấy phép iOS Developer Program của chuyên gia, hacker Charlie Miller:

Apple Exiles A Security Researcher From Its Developer Program For Proof-of-Concept Exploit App - Forbes
http://www.forbes.com/sites/andygreenberg/2011/11/07/apple-exiles-a-security-researcher-from-its-developer-program-for-proof-of-concept-exploit-app/

Apple just sent a clear message to malicious hackers and security researchers alike: Keep your hands off the App Store.

Just hours after security researcher Charlie Miller told me about a new, potentially dangerous bug he’d found in Apple’s iOS operating system that allows unapproved code to be run on iPads and iPhones, he received an email from Apple, nixing his license as an Apple developer.

“This letter serves as notice of termination of the iOS Developer Program License Agreement…between you and Apple,” the email read. “Effective immediately.”

Miller had, admittedly, created a proof-of-concept application to demonstrate his security exploit, and even gotten Apple to approve it for distribution in Apple’s App Store by hiding it inside a fake stock ticker program, a trick that Apple wrote violated the developer agreement that forbid him to “hide, misrepresent or obscure” any part of his app. But the researcher for the security consultancy Accuvant argues that he was only trying to demonstrate a serious security issue with a harmless demo, and that revoking his developer rights is “heavy-handed” and counterproductive. “I’m mad,” he says. “I report bugs to them all the time. Being part of the developer program helps me do that. They’re hurting themselves, and making my life harder.”
Apple didn’t immediately respond to my request for comment.

Miller has found and reported dozens of bugs to Apple in the last few years, and had alerted Apple to this latest flaw on October 14th. 


Bây giờ thì là "đá bát" với cộng đồng bảo mật đã giúp mình:

Apple Snubs Firm That Discovered Mac Botnet, Tries To Cut Off Its Server Monitoring Infections - Forbes
http://www.forbes.com/sites/andygreenberg/2012/04/09/apple-snubs-firm-who-discovered-mac-botnet-tries-to-cut-off-its-server-monitoring-infections/

Until it was revealed last week that more than half a million Macs were infected with Flashback malware, Apple had little experience working with the community of security researchers who aim to dissect and shut down botnets. And according to the firm that discovered this new outbreak, it could use a lesson in teamwork.

Boris Sharov, chief executive of the Moscow-based security firm Dr. Web says he learned Monday from the Russian Web registrar Reggi.ru that Apple had requested the registrar shut down one of its domains, which Apple said was being used as a “command and control” server for the hundreds of thousands of PCs infected with Flashback. In fact, that domain was one of three that Dr. Web has been using as a spoofed command and control server–what researchers call a “sinkhole”–to monitor the collection of hijacked machines and try to understand their behavior, the technique which allowed the firm to first report the size of Apple’s botnet last week.

They told the registrar this [domain] is involved in a malicious scheme. Which would be true if we weren’t the ones controlling it and not doing any harm to users,” says Sharov. “This seems to mean that Apple is not considering our work as a help. It’s just annoying them.

Sharov believes that Apple’s attempt to shut down its monitoring server was an honest mistake. But it’s a symptom of the company’s typically tight-lipped attitude. In fact, Sharov says that since Dr. Web first contacted Apple to share its findings about the unprecedented Mac-based botnet, it hasn’t received a response. “We’ve given them all the data we have,” he says. “We’ve heard nothing from them until this.

I’ve contacted Apple for comment, but haven’t yet heard back from the company either.

In Apple’s defense, it may not have recognized Dr. Web as a credible security firm when the company contacted Apple earlier this month–I hadn’t heard of the firm either until its discovery and analysis of the Flashback botnet. But the better-known security firm Kaspersky confirmed Dr. Web’s findings on Friday. A Kaspersky representative said it hadn’t contacted Apple with its findings and hadn’t had any direct communication with Apple, and Kaspersky researcher Kurt Baumgartner wrote in a statement that “from what we’ve seen, Apple is taking appropriate action by working with the larger internet security community to shut down the Flashfake [also known as Flashback] C2 domains. Apple works vigorously to protect its brand and wants to rectify this.” Kaspersky wouldn’t offer more details on how Apple is working with the security community.

 


Update: Apple now says it will release a Flashback removal tool and is “working with ISPs worldwide” to disable the botnet’s command and control servers.

Locating and shutting down command and control servers is typical practice for a company trying to behead and cripple a botnet targeting its computers. Sharov says that Dr. Web has worked with Microsoft several times in the past on those efforts. But Apple, which has never dealt with a botnet the size of the Flashback infection, has fewer ties to firms like Dr. Web, Sharov says. “For Microsoft, we have all the security response team’s addresses,” he says. “We don’t know the antivirus group inside Apple.”

Sharov, like others, criticizes Apple for its delay in issuing a patch for a security vulnerability in Java that the Flashback malware exploited to invisibly install itself on Macs when users visit infected web pages. The bug was patched by Oracle in February, but Apple didn’t fix the flaw until earlier this month. “Their response should have been much earlier when they should have updated their Java,” says Sharov. “Now calling registrars to shut down domains is not as important. The infection has already taken place. There are dozens of domains [controlling] the botnet. Shutting down one does nothing.

 


Apple’s less-than-diplomatic handling of Dr. Web’s work wouldn’t be the first time it’s raised the hackles of the security research community. When well-known Apple researcher Charlie Miller created a proof-of-concept app demonstrating a flaw in Apple’s security restrictions, the company responded by revoking his developer’s license.

Sharov says he can understand Apple’s brusque response to his researchers’ work. “These are not pleasant days for them,” he says. “They’re not thinking about us. The safety of Macintosh computers is going down very quickly, and they’re thinking what to do next. They’re thinking about how to manage a future where the Mac is no longer safe.” 
http://blog.eset.com/2012/04/13/fighting-the-osxflashback-hydra
Flashback evolved a lot in the last few months. The authors moved fast and added obfuscation and fallback methods in case the main C&C server is taken down. The dropper now generates 5 domain names per day and tries to get an executable file from those websites. The latest variants of the dropper and the library encrypt its important strings with the Mac hardware UUID. This makes it difficult for researchers to analyze a variant reported by a customer if they don’t also have access to the UUID.

The fallback mechanism that Flashback uses when it is unable to contact its C&C servers is quite interesting. Each day, it will generate a new Twitter hashtag and search for any tweet containing that hashtag. A new C&C address can be provided to an infected system this way. Intego reported this last month, but the latest version uses new strings. Twitter has been notified of the new hashtags and are working on remediations to make sure the operator of the botnet cannot take back control of his botnet through Twitter. 


ESET cũng chỉ ra cách đếm số máy bị nhiễm malware Flashback dựa trên Mac hardware UUID của các hãng khác có thể sẽ cho ra con số thấp hơn so với thực tế do nhiều máy Mac OS X có thể có cùng 1 UUID.
When it comes to disclosing a realistic number of unique infected hosts, we strive to be as accurate and objective as possible. Defining a unique host is not trivial, even if OSX/Flashback uses hardware UUIDs. Our data indicates many UUIDs that connected to our sinkhole (a server we set up to capture incoming traffic from bot-infected machines trying to communicate with their command-and-control servers), came from a big range of IP addresses, indicating that there may be UUID duplicates. Virtual Machines or so-called Hack-intosh installations may explain this.

When browsing Hack-intosh forums, we found out that everyone who is using the fourth release candidate of a special distribution has the same hardware UUID (XXXXXXXX-C304-556B-A442-960AB835CB5D) and even discuss ways to arbitrarily modify it.

Oddly enough, we found this UUID connected to our sinkhole from 20 different IP addresses. This indicates that those who considered UUID to count the number of distinct infected hosts probably have underestimated the botnet size. 

goldenscale1618 wrote:
Em thử truy cập thì KIS 2011 báo rằng:

Đối tượng được yêu cầu ĐÃ BỊ LÂY NHIỄM MÃ ĐỘC bởi loại virus sau: HEUR:Trojan.Script.Iframer
 


Các iframe của trang này hiện tại đều là iframe lành cả, bà con có thể an tâm:
Code:
<div id="tabcontent1"><iframe width="290" height="270" src="http://www.youtube.com/embed/videoseries?list=PLC29372CCA86D291C&hl=vi_VN" frameborder="0" allowfullscreen></iframe></div>
<div id="tabcontent2"><iframe width="290" height="270" frameborder="0" src="http://files.slidemypics.com/app/js/iframe.html?bg_color=1f1f1f&hash=549d2a6f456731e459dcc4dc2a352728&r=0.7226283978670835"></iframe></div>

xuanphongdocco wrote:

bolzano_1989 wrote:
Bạn bấm vào "Show details" với "More info" rồi gửi ảnh chụp các kết quả lên xem.
Trang web bạn gửi nhờ kiểm tra hiện tại không thể truy cập được. 


Xin lỗi mọi người, đích thị là DucPhoGroup.com. Hôm nay em bị mờ mắt rồi. 


Bạn bấm vào "Show details" với "More info" rồi gửi ảnh chụp các kết quả lên xem.
Tôi không thấy dấu hiệu nào từ trang chủ của website này cho thấy website này chứa exploit của Blackhole Exploit Kit cả, nhiều khả năng đây là false positive của AVG thôi, AVG thường có những phát hiện nhầm lắm.

Ngay cả trang AVG Threat Labs cũng cho kết quả website an toàn:
Ducphogroup.com | Safety: Currently Safe. | AVG Threat Labs
http://www.avgthreatlabs.com/sitereports/domain/ducphogroup.com/


Bạn bấm vào "Show details" với "More info" rồi gửi ảnh chụp các kết quả lên xem.
Trang web bạn gửi nhờ kiểm tra hiện tại không thể truy cập được.
Ngoài nguồn website bị nhiễm mã độc là các blog WordPress được nêu ở trên, Doctor Web phát hiện nhiều nguồn lây nhiễm Flashback khác, trong đó gần đây nhất có 10 website sau bên cạnh trang dlink.com và hơn 4 triệu trang web đã bị thỏa hiệp khác:
Code:
godofwar3.rr.nu
ironmanvideo.rr.nu
killaoftime.rr.nu
gangstasparadise.rr.nu
mystreamvideo.rr.nu
bestustreamtv.rr.nu
ustreambesttv.rr.nu
ustreamtvonline.rr.nu
ustream-tv.rr.nu
ustream.rr.nu


http://news.drweb.com/show/?i=2341lng=en

Systems get infected with BackDoor.Flashback.39 after a user is wwwected to a bogus site from a compromised resource or via a traffic distribution system. JavaScript code is used to load a Java-applet containing an exploit. Doctor Web's virus analysts discovered a large number of web-sites containing the code. The recently discovered ones include:

godofwar3.rr.nu
ironmanvideo.rr.nu
killaoftime.rr.nu
gangstasparadise.rr.nu
mystreamvideo.rr.nu
bestustreamtv.rr.nu
ustreambesttv.rr.nu
ustreamtvonline.rr.nu
ustream-tv.rr.nu
ustream.rr.nu
According to some sources, links to more than four million compromised web-pages could be found on a Google SERP at the end of March. In addition, some posts on Apple user forums described cases of infection by BackDoor.Flashback.39 when visiting dlink.com. 


Similarly to the older versions, the launched malware first searches the hard drive for the following components:

/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app
If the files are not found, the Trojan uses a special routine to generate a list of control servers, sends an installation success notification to intruders' statistics server and sends consecutive queries at control server addresses.

It should be noted that the malware utilizes a very peculiar routine for generating such addresses. It can also switch between several servers for better load balancing. After receiving a reply from a control server, BackDoor.Flashback.39 verifies its RSA signature and then, if successful, downloads and runs payload on the infected machine. It may get and run any executable specified in a directive received from a server.

Each bot includes a unique ID of the infected machine into the query string it sends to a control server. Doctor Web's analysts employed the sinkhole technology to wwwect the botnet traffic to their own servers and thus were able to count infected hosts.

Over 550 000 infected machines running Mac OS X have been a part of the botnet on April 4. These only comprise a segment of the botnet set up by means of the particular BackDoor.Flashback modification. 


Flashback Cleanup Still Underway—Approximately 140,000 Infections | Symantec Connect Community
http://www.symantec.com/connect/blogs/flashback-cleanup-still-underway-approximately-140000-infections

Command-and-control (C&C) servers

The graphic below lists the upcoming C&C servers that are to be contacted by OSX.Flashback.K over the coming week.
lianbmuht02%elcitra/1315122/egami/weiv/resworbegami/tcennoc/moc.cetnamys.www//:ptth

Payload C&C server

The Flashback payload is considerably larger than the initial stage downloading component. Analysis is ongoing; however, one of the new features of the Trojan is that it can now retrieve updated C&C locations through Twitter posts by searching for specific hashtags generated by the OSX.Flashback.K hashtag algorithm.
Người dùng có thể vào trang sau để kiểm tra máy tính có bị nhiễm Backdoor.Flashback.39! theo Dr.Web:
Dr.Web Anti-Flashback
https://www.drweb.com/flashback/?lng=en

conmale wrote:
Chưa thấy nơi nào có cái technical analysis cho đến nơi đến chốn nhưng đọc chung chung thì thấy có khá nhiều điểm phi lý, ví dụ:

"It is being distributed via infected websites as a Java applet that pretends to be an update for the Adobe Flash Player. The Java applet then executes the first stage downloader that subsequently downloads and installs the main component of the Trojan. The main component is a Trojan-Downloader that continuously connects to one of its command-and-control (C&C) servers and waits for new components to download and execute."

Làm sao những site pretends là "Adobe Flash Player" có thể intercept máy để force người dùng update đồ dỏm?

Muốn trigger cái Java Applet, ngườu dùng phải access một URL nào đó và những sites đó là site nào? Cho đến nay vẫn không có những thông tin cụ thể và chính xác. 


Đoạn anh conmale trích ở trên được viết không đầy đủ nên dễ gây bối rối cho người đọc. Đầu tiên là chúng sẽ thử exploit Java JRE/JDK/SDK/JavaFX nhờ các working exploit (malware Flashback được phát tán quá nhanh với số lượng lớn là nhờ điểm này), sau đó nếu không khai thác được thì chúng mới dùng Social Engineering với người dùng, giả làm các bản cập nhật phần mềm.

Anh conmale có thể xem 3 bài phân tích sau:

Flashback Mac Trojan Horse Infections Increasing with New Variant - The Mac Security Blog
http://www.intego.com/mac-security-blog/flashback-mac-trojan-horse-infections-increasing-with-new-variant/

New Flashback Variant Changes Tack to Infect Macs - The Mac Security Blog
http://www.intego.com/mac-security-blog/new-flashback-variant-changes-tack-to-infect-macs/

Flashback Mac Malware Uses Twitter as Command and Control Center - The Mac Security Blog
http://www.intego.com/mac-security-blog/flashback-mac-malware-uses-twitter-as-command-and-control-center/

How this malware infects Macs

This new variant of the Flashback Trojan horse uses three methods to infect Macs. The malware first tries to install itself using one of two Java vulnerabilities. If this is successful, users will be infected with no intervention. If these vulnerabilities are not available – if the Macs have Java up to date – then it attempts a third method of installation, trying to fool users through a social engineering trick. The applet displays a self-signed certificate, claiming to be issued by Apple. Most users won’t understand what this means, and click on Continue to allow the installation to continue.




It is worth noting that Flashback.G will not install if VirusBarrier X6 is present, or if a number of other security programs are installed on the Mac in question. It does this to avoid detection. It seems that the malware writers feel it is best to avoid Macs where the malware might be detected, and focus on the many that aren’t protected. 


The new version of the Flashback malware installs after Mac users visit infected web sites. In Intego’s tests, the installation procedure was somewhat odd, as web sites display a spinning gear for some time, before finally displaying a password request dialog pretending to be from Software Update, Apple’s tool for downloading and installing software.



Flashback forces Safari to quit, installs a file at /tmp/Software Update, then installs two invisible files in Safari’s resources, taking advantage of the root rights it obtained when the user entered his or her administrator’s password.

Next, Flashback injects code in Safari when the browser is launched.
 


Và phần thú vị nhất, con đường dẫn đến Flashback smilie :
In addition, it is now clear that the Flashback malware has been created by the same people who were behind the Mac Defender fake antivirus which infected many Mac users beginning in May, 2011.

Websense Security Labs published a blog post pointing out that tens of thousands of WordPress blogs were infected by code that wwwected them to web sites serving fake antiviruses, including Mac Defender. Sucuri Security narrowed this down to a plugin called ToolsPack, which installs a backdoor on servers where it is installed. But David Dede of Sucuri Security said, “Many of the blogs compromised in these recent attacks were running outdated WordPress versions, had vulnerable plug-ins installed or had weak administrative passwords susceptible to brute force attacks.”

Intego has examined some of the WordPress blogs infected with this code and found that they wwwect Mac users to sites that serve the Flashback malware. It is important that people running WordPress sites ensure that their installation is up to date, that they have secure passwords, and that they especially don’t use this ToolsPack plugin. 


Kết quả phân tích được công bố ở McAfee blog bởi David Marcus:
Variant of Mac Flashback Malware Making the Rounds | Blog Central
http://blogs.mcafee.com/mcafee-labs/variant-of-mac-flashback-malware-making-the-rounds
As of this writing, this Trojan is targeted at vulnerable Java plug-ins related to the CVE-2012-0507 vulnerability. When a user visits a compromised page, it often uses an iframe tag that wwwects the user to another malicious page, where the actual exploit is triggered by the malicious Java applet.
OSX/Flashfake (the official detection name) is dropped by malicious Java applets that exploit CVE-2012-0507. On execution, the malware prompts the unsuspecting victim for the administrator password. Regardless whether the user inputs the password, the malware attempts to infect the system; entering the password only changes the method of infection.
The Trojan may arrive as the PKG file comadobefp.pkg and comes disguised as a Flash player installer:




It prompts the user for administrative rights:




Once the malware package is successfully installed, it tries to make contact with its remote sites to download any necessary configuration files:




Another characteristic of this malware is that it checks whether a firewall is installed on the target system. If one is found, it will remove the installation. (Other versions of Flashback are delivered via the sinkhole exploit.) 


Về lỗ hổng bảo mật CVE-2012-0507, anh chị em có thể vào xem
Oracle Java Critical Patch Update - February 2012
http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
Chú ý là lỗ hổng bảo mật CVE-2012-0507 được Oracle ghi nhận là "may be remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password".

Ở video demo sau anh chị em sẽ thấy người dùng chỉ cần duyệt website chứa mã tấn công, không cần bất kỳ thao tác nào khác của người dùng để máy tính của họ bị kiểm soát bởi kẻ tấn công:
CVE2012-0507 Java AtomicReferenceArray Type Violation Vulnerability Metasploit Demo - YouTube
http://www.youtube.com/watch?v=25CcRw-6hVQ

conmale wrote:

Muốn trigger cái Java Applet, ngườu dùng phải access một URL nào đó và những sites đó là site nào? Cho đến nay vẫn không có những thông tin cụ thể và chính xác. 

Thông tin về các website bị nhiễm mã độc này thường được giữ kín smilie , muốn biết thì chỉ có cách hỏi thăm hoặc tự điều tra thôi anh smilie .
Bạn gửi các file lên, mình kiểm tra lại cho.

phuoctrung wrote:
Chào mọi người! Hiện tại mình đang quản lý hơn 100 pc trong mạng LAN (mạng nội bộ trong công ty).
Nếu kiểm tra thông thường thì rất tốn thời gian.
Mình cần tìm 1 phần mềm nào đó để kiêm tra giúp mình sự sống còn của PC trong mạng LAN
vd như: Nếu máy vào mạng hoạt động bình thường thì nó sẽ ping cho mình biết và ngược lại, nếu không ping thì PC có sự cố cần phải sửa.
Đơn giản chỉ là 1 server và 100 client. 100 client báo về server: "Ờ TAO CÒN SỐNG" smilie thì ok
còn 100 client mà có vài client k báo về có nghĩa là: "TAO CẦN SỰ GIÚP ĐỠ"
cảm ơn mọi người 


Dùng Nmap smilie .
Bạn có thể dùng chương trình Memtest86+ .

Memtest86+ - Advanced Memory Diagnostic Tool
http://www.memtest.org/

nuocmat wrote:
oh, mình phục hồi lại thì được rồi, xác định được danh tính người đó luôn, ý mình là mình muốn biết phương thức cụ thể để có cách đối phó, rùi có thể chơi xỏ cái thằng đó đc k? 


Với cách cung cấp thông tin của bạn thì chắc không ai chỉ ra giúp cho bạn được đâu.
Để tìm hiểu chính xác cần phải thực hiện forensics máy điện thoại của bạn.

vikjava wrote:

TQN wrote:

Hay là hacker Nga, TQ, VN share nhau kỹ thuật đây ? 


smilie để ý thì thấy anh em với nhau cả 


Em nghĩ là chôm hàng cả thôi, chẳng có bắt tay share nhau kỹ thuật nào với hacker quốc tế cả, cũng chẳng phải bọn Trung Quốc nốt, chỉ là người Việt Nam được nuôi béo để theo lệnh mà hãm hại người vô tội là đồng bào Việt Nam thôi smilie .
Anh rongchaua và người anh của anh conmale đều gặp các tấn công tinh vi có chủ đích. Anh rongchaua thì đang ở nước ngoài rồi, chắc cũng được liệt vào tầm ngắm của đám Sinh Tử Lệnh này.

Theo bolzano_1989 thì đám stl ("Sinh Tử Lệnh") lần này chôm Blackhole exploit kit bản 1.2.2 (được release trong tháng 2 2012) hoặc bản 1.2.3 (được release trong tháng 3 2012):
BH EK 1.2.3 Exploit - Pastebin.com
http://pastebin.com/2LrmqiLa

Bạn đọc chú ý sẽ thấy PluginDetect version của cả bản exploit kit được dùng ở trên và Blackhole exploit kit bản 1.2.2 hoặc bản 1.2.3 đều là "0.7.6" smilie .
Về Blackhole exploit kit, bạn đọc có thể tham khảo các tài liệu kĩ thuật sau:
Sophos Technical Paper: Exploring the Blackhole Exploit Kit, March 2012
http://sophosnews.files.wordpress.com/2012/03/blackhole_paper_mar2012.pdf
Inside Blackhole Exploit Kit HTML
http://lumenasrt.files.wordpress.com/2012/02/20120227_1436_inside_blackhole_html_v0nsch3lling.pdf

quygia128 wrote:
Em không tải được file wpbt0.dll, KIS 2012 nó chặn địa chỉ này, tắt KIS dow từ http://fb-sv10.co.uk/w.php?f=c01c5&e=1 được 1 file info.exe file này hình như code bằng Delphi, không biết đang chơi trò gì nữa, không lẽ có random nứa sao.

File ở đây:

http://www.mediafire.com/?wt99t6vpk39kasz

Pass là: malware 





Sao lại có Spyeye và Zbot ở đây, stl ("Sinh Tử Lệnh") chôm hàng của hacker Nga à?
Trojan.Spyeye!conf [Symantec]
PWS-Spyeye!conf [McAfee]
TSPY_EYECONF.SM3 [Trend Micro]
Troj/SpyEyeCn-A [Sophos]

TQN wrote:
Sao đợt này code phức tạp, mã hoá, obfuscated tùm lum vầy nè. Em có lộn không, sao lại thấy có mùi code cao cấp của hacker Nga trong đây. Chiều giờ nó quần em đuối luôn, sinh EXE trong bộ nhớ và harddisk tá lã, rồi xài code inject để download nữa. Mà lạ là cái máy cùi ngoài xưỡng em, cài MS Essential lại bắt hết.
Rầu, nhanh thiệt, mấy anh lại ngồi túc trực HVA này, em wget http://fb-sv10.co.uk/w.php?f=c01c5&e=1 không được, mấy anh chơi xoá mất tiêu rầu. Mới chưa được 2 tiếng đồng hồ.
Em lại sơ ý để MS AV xoá mất tiêu file wpbt0.dll nữa rồi. Bà con ai down kịp share lại giúp em cái ! Ngày mai em làm tiếp, làm cho ra. Giờ thì em út gọi đi nhậu mới chết, nói: em làm mồi nhậu cho anh nè, nhớ anh quá. Theo bà con thì ngồi RCE hay đi nhậu đây ? 


Anh còn lưu lại hash MD5 của file wpbt0.dll đó không, CMC InfoSec sẽ tìm giúp HVA nếu có thông tin về hash file.

Encyclopedia entry: Exploit:JS/Blacole.O - Learn more about malware - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Exploit%3AJS%2FBlacole.O

Có vẻ có nhiều phiên bản của wpbt0.dll:
wpbt0.dll MD5:06e4528eb8a96a606ee3ea578174fd95 - VirSCAN.org 22% Scanner(s) (8/36) found malware!
http://r.virscan.org/11a26eed20fee8a6b5fa777a73a20fd4
WPBT0.DLL - Trojan.Agent/Gen-Reveton | SUPERAntiSpyware
http://www.superantispyware.com/malwarefiles/WPBT0.DLL.html
thanhclub69, bạn đang dùng tool ở môi trường Windows nào?
Bạn click vào mục "View problem details", copy nội dung lên diễn đàn hay chụp ảnh và gửi lên nhé.
Chủ topic vào Google tìm Autoruns của Sysinternals, tải về tập dùng là vừa rồi.
Cài 1 antivirus cho chiếc điện thoại của bạn đi, bạn có thể cài CMC Antivirus chẳng hạn.
Nếu bạn ở Hà Nội thì nếu điện thoại trên của bạn bị hack, cài trojan bạn có thể mang đến CMC InfoSec nhờ lấy mẫu để update.
Bạn tải và dùng công cụ sau rồi quét toàn máy tính:
CMC Information Security's Trojan-Downloader.Win32.FakeUnikey.1 removal tool:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip

Có phải bạn dùng tool kiểm tra của anh xnohat? Nếu vậy thì bạn hãy gửi thông tin mã MD5 được thông báo khi dùng công cụ của anh ấy lên diễn đàn.

doanpv22 wrote:

bolzano_1989 wrote:


Bạn liên lạc mấy cậu Kaspersky VN phải không? 

Vâng! hix! Nói chung là không được hài lòng lắm vì sự support! Hix công ty em mua 150PC chứ có ít đâu! hơi thất vọng!hixhixx! 


Đã dùng Kaspersky thì bạn liên lạc support từ Kaspersky USA ấy (tụi này làm chuẩn), đừng dính với mấy ông Kaspersky Việt Nam làm gì, mấy ông VN này không vững chuyên môn đâu, hay phát biểu và support tào lao lắm.

lehoabc wrote:

nkp wrote:
Zing thì mình không biết. Nhưng bóng đá số (bongdaso.com) thì chắc chắn là có.



Site này bị SQL Injection từ năm 2009. Mới check lại thì vẫn còn bị, chưa fix.
 


Em tải về nhưng không hiểu rõ lắm về SQT Ịnection? Pro nào giải thix rõ cho em với. Cảm ơn nhiều nhiều 


Đã nhiều ngày không có ai ở forum giải thích giúp bạn nên tôi trả lời luôn vậy smilie :
Tấn công SQL injection thành công một website ngoài khả năng làm lộ, mất mát thông tin, dữ liệu còn có khả năng chỉnh sửa trái phép dữ liệu của website đó. Cụ thể là kẻ tấn công có thể chèn các đoạn mã HTML script (JavaScript, VBScript,...) hoặc các IFrame object độc hại vào các trường văn bản của cơ sở dữ liệu mà sau đó sẽ được sử dụng để tạo các trang HTML với các mã tấn công trả về cho trình duyệt web của người dùng, khai thác các lỗ hổng bảo mật, gây nguy hại cho người dùng và máy tính của họ.

TQN wrote:
Tiếp tục nào anh em, ta sẽ đi tiếp với wbmain.dll.
File này nguyên bản được pack = PE Compact. Em đã manual unpack nó ra, dể dàng, do tụi STL này không biết cách dùng các plugin của PE Compact. File đã unpack là file em đã up lên mediafire. Em chỉ nhớ hồi mấy tháng trước em cách ly nó từ thư mục <Windows\Sytem32\Wbem".
Bà con vào thử thư mục này, thấy có file wbmain.dll này không. Tụi này nhét malware của nó tuốt trong đó.
Còn cơ chế load của nó thì em sorry, lúc em cách ly, em quên ghi lại nó được load như thế nào. Bà con thông cảm cho em nhé.
Thằng wbmain.dll này là một trong những thằng chính, làm nhiệm vụ download các đống malware khác về.
À, tư dưng em nghĩ: không lý VN ta có những thằng giấu mặt viết malware khá vậy à. Ai là sư phụ của STL vậy, mấy đại ca ? Cho em đi theo học sư phụ đó với, bỏ nghề buôn bán VLXD luôn (tụi mày nói trật lất về cái nghề chính của tao rồi);
File này lại do thằng khác trong đám STL viết, thằng này lại viết theo kiểu thuần C++ hơn thằng viết hardkbd.dll. Nó không chơi khai báo local buffer bự tổ chảng mà lại dùng operator new để alloc memory.
Thằng viết hardkbd.dll thì dùng đồ mới, VS 2010, Linker version = 10.0, build vào ngày 03/05/2010, 08:43.
Còn thằng viết wbmain.dll thì dùng VS 2008, linker verison = 9.0, build vào ngày 06/08/2010, 04:03.
MS Rich data hiển thị thông tin về compiler, linker, lib version của VS mà 2 thằng coder của STL dùng như sau:

Đây là MS Rich data của hardkbd.dll:


Đây là MS Rich data của wbmain.dll:


Thằng code hardkbd.dll lại hớ hênh, build với debug info, không xoá debug info nên thư mục source code của nó còn nằm chình ình trong file dll:


Bà con gấu gồ với key: CyberGame thì sẽ tìm ra điều thú vị. Không lẽ có dính đến học viên của Aptech à ????

Qua debug info của hardkbd.dll, ta có thể kết luận, thằng coder STL này create project với name là ieframe.dll, sau đó nó mới đổi tên ieframe.dll thành hardkdb.dll và ieframe.ocx. Vậy chắc có lẽ ieframe.ocx không cần nữa, nhưng nếu ai đó up cho tui thì tốt.

Trong wbmain.dll, STL coder này dùng một số hàm API WinHttp rất ít dùng, ít phổ biến (thậm chí em khi còn là coder cũng không biết tới, chỉ biết WinInet API, sau này search tới search lui mới biết). Các hàm WinHttp này nằm trong Winhttp.dll, khi build include Winhttp.h và link với Winhttp.lib:



Và HTTP header của nó:



Google với key WinHttpOpen, chỉ những trang tiếng Việt, nó cho ta topic (theo tui là chính xác nhất, cả Gecko gì đó luôn): http://forums.congdongcviet.com/showthread.php?p=202006#post202006

Không biết lequochoang2 này là ai, và sorry Kevin Hoàng nhé, em có dính dáng gì không ?
À mà quên, cái Gecko string này chỉ là 1 trong 1 đống Gecko string của tụi nó, từ từ em post sau.
Thằng coder wbmain.dll này dùng tá lã hết, copy code hả em, khi thì dùng socket API, khi thì dùng WinHttp API. Em chả hiểu nổi nữa.

Bà con đừng giận em câu giờ, câu bài nhé, thích thì em mới làm thôi. Cái của nợ dll, exe này em có từ năm ngoái lân, nhưng chưa bao giờ RCE xong xuôi, ra đầu ra đũa cả. Bây giờ mới móc ra mà làm, post lên !

Sao có mình em độc diễn vầy nè, buồn quá ! Bà con reversers khác vào tham gia cho vui chứ ! 


Lạ thật, một ảnh anh TQN gửi ở trên đã bị xóa rồi:
http://img830.imageshack.us/img830/7923/hardkbddbginfo.gif
Chắc ban quản trị forum phải tiếp tục backup các ảnh anh TQN đã gửi lên rồi.

Theo mình biết thì hiện tại vẫn có nơi ở Việt Nam đang tiếp tục tuyển các lập trình viên đang hoặc đã từng viết malware, trojan, virus,...
Nhu cầu này bức thiết đến nỗi cho phép làm việc từ xa nữa smilie .

Bài sau cũ rồi, tình cờ đọc được:
Tác giả virus VLove là sinh viên FPT Aptech
http://fpt.aptech.edu.vn/chitiet.php?id=616
Thực hành thật nhiều, năng đọc và giúp đỡ các thành viên khác về Python, bạn sẽ tiến bộ nhanh hơn.
 
Go to Page:  First Page 1 2 3 5 6 7 Page 8 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|