banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 06:06:03 (+0700) | #31 | 243938
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
Đây là một việc cực kỳ nghiêm trọng, một mạng botnet khổng lồ được thiết lập ở Việt nam. Vậy mà chẳng cơ quan có thẩm quyền, báo chí nào lên tiếng cho bà con biết nhỉ.

Thiệt là lạ quá, có chăng TQN & HVA team đang một mình chống lại thế lực với ảnh hưởng lớn, khống chế cả giới truyền thông chăng.

Các ISP của Việt nam nữa, mình nghĩ là họ biết các thuê bao của họ đã bị nhiễm một loại malware dùng để tấn công DDOS, nhưng có vẻ họ không muốn lên tiếng.

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 09:10:49 (+0700) | #32 | 243943
fuga
Member

[Minus]    0    [Plus]
Joined: 27/03/2010 17:46:41
Messages: 3
Offline
[Profile] [PM]
Bách Khoa Antivirus đã diệt được con này chưa anh em? Theo nhận định của anh comale thì phần lớn xuất phát từ IP Việt Nam thì cái BKAV hàng Việt sao ko ưu tiên diệt triệt để mấy con trong nước loại này nhỉ?

(à mà nghĩ lại. Cũng có thể chờ 1 thời gian khi HVA bị dập te tua lúc đó vụ này to lên [/b]báo chí[/b] lên tiếng để PR BKAV đã diệt được con này, mọi người nhớ mua key pro nghe ...) .Thay vì đăng những tin như thế này trong mục CNTT để phòng chống thì đua nhau đăng bài tablet, công nghệ cao và vô số cái từ dễ gây hiểu nhầm trong dấu nháy ' cực kì phản cảm.

cho mình hỏi thêm: loại này nó lây nhiễm qua nguồn nào(và bằng cách nào, lỗ hổng bảo mật nào?) mà số lượng đông đảo vậy? (ví dụ chương trình giả mạo unikey, nhiễm trực tiếp qua website abc.com)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 09:12:01 (+0700) | #33 | 243944
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

acoustics89 wrote:
STL sử dụng bot này tấn công theo hành vi duyệt web của người bình thường, thật là không đỡ được.
Kĩ thuật sử dụng trong Bot này khá hay, hiện tại em chưa nghĩ ra cách gì để chống lại. Các bác admin có hướng nào để phòng trống không? Nó giả danh 1 người dùng nhé

p/s: @phanledaivuong : Government nào thì không biết chứ Government của VN chắc chắn chả bao giờ làm thế. Như bản thân mình thì mình cũng không thích trang danlambaovn và chả bao giờ đọc.
 

Government China bạn ạ ^^.

TQN wrote:
File config mới của tụi STL này tại host direct.aliasx.net giờ đã xoá hết các host target ở cuối file, chỉ còn lại dòng trêu chọc này:
Code:
<targets>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="Postmodenism_tiep_tuc_viet_ky_su.[^.^]" port="80" uri="/" keepCookies="1" crawling="1" referer=""/>
</targets>

 

Bọn STL này hình như hết việc để làm, việc anh conmale có là Postmodenism hay không thì không ảnh hưởng đến "diễn biến hoà bình" của việt nam, cũng không như làm cho Stalin sống lại đề xâm lược được 1 loạt các nước đông âu. LOL


PS: Hiện tại em đang ra quán net choi DotA, vô getdota.com download cái map 7Mb thì 1 click chuột là xong mà vào hva bằng giao thức http thì không vào được, cuối cùng dùng https thì chậm như rùa bò, chắc vẫn bị DDoS.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 09:27:19 (+0700) | #34 | 243945
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

texudo wrote:
Đây là một việc cực kỳ nghiêm trọng, một mạng botnet khổng lồ được thiết lập ở Việt nam. Vậy mà chẳng cơ quan có thẩm quyền, báo chí nào lên tiếng cho bà con biết nhỉ.

Thiệt là lạ quá, có chăng TQN & HVA team đang một mình chống lại thế lực với ảnh hưởng lớn, khống chế cả giới truyền thông chăng.

Các ISP của Việt nam nữa, mình nghĩ là họ biết các thuê bao của họ đã bị nhiễm một loại malware dùng để tấn công DDOS, nhưng có vẻ họ không muốn lên tiếng.

 


Quả là chưa thấy có ISP nào ở VN lên tiếng nhưng thật ra đã có vài anh em HVA làm việc cho một vài ISP đã ngỏ ý muốn giúp điều tra, đặc biệt là anh em làm cho FPT.

Phải nói rằng con bot của STL khá "smart" bởi vì nó áp dụng một số nguyên tắc cần thiết của HTTP để tạo độ tàn phá ở mức cao nhất đó là:
- Thay đổi "User-Agent"
- Sử dụng keep-alive
- Lưu dụng cookie để bảo trì sessions.
- Crawling (như crawlers) để tạo biến thiên cho các requests.

Từ thời "vecebot" một số tính năng nhận chỉ thị từ xml có khả năng thay đổi "user-agent", áp dụng chiến thuật cho cookie và referer, con bot mới này dựa trên căn bản cũ và có những khả năng mới hơn và tàn phá nhiều hơn. Tuy vậy, chính giới hạn của HTTP và những ứng dụng thêm về session khiến cho sự tàn phá vẫn bị giới hạn ở góc độ kỹ thuật.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 10:53:55 (+0700) | #35 | 243952
[Avatar]
KHUNG LONG
Member

[Minus]    0    [Plus]
Joined: 18/01/2005 13:28:51
Messages: 125
Location: TP.HCM
Offline
[Profile] [PM]

xnohat wrote:
Đã submit thêm lên Microsoft

https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1

-------------------------------

Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là wwwect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control 


Sáng nay, thử scan lại thì không diệt được vì bản cập nhật ngày 22/07/2011. smilie Nên Manual cập nhật lên bản mới ngày 23/07/2011 thì kết quả là:



He He He vậy là Microsoft Security Essentials đã kill được con này rồi. Good Job.

Thank you anh TQN nhiều và admin HVA.

-Chình lại tháng cho đúng, thanks latlabao! smilie
XOR
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 12:15:43 (+0700) | #36 | 243958
hanh_bk
Member

[Minus]    0    [Plus]
Joined: 18/08/2004 02:25:07
Messages: 1
Offline
[Profile] [PM]
Chào các bác, hôm rồi bên em cũng bị DDOS với cường độ khá mạnh, file tcpdump em đưa ra đây:
http://www.mediafire.com/?r3mt1znr1tjhkmf
File này em capture trong có vài chục giây đó.
sau khi bị được 30' thì bên VDC báo là ngập toàn bộ mạng Core, bác nào hiểu cho em vài cái phân tích của vụ này với.
Không biết sao dạo này các vụ botnet xảy ra nhiều thế không biết.
Em post bài này ở đây nếu có gì không phải các mod/admin move hộ em đến chỗ nào mà phù hợp giúp em.
Thanks các bác.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 12:33:26 (+0700) | #37 | 243964
latlaobao
Member

[Minus]    0    [Plus]
Joined: 24/06/2011 08:50:43
Messages: 11
Offline
[Profile] [PM]

KHUNG LONG wrote:

xnohat wrote:
Đã submit thêm lên Microsoft

https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1

-------------------------------

Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là wwwect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control 


Sáng nay, thử scan lại thì không diệt được vì bản cập nhật ngày 22/11/2011. smilie Nên Manual cập nhật lên bản mới ngày 23/11/2011 thì kết quả là:



He He He vậy là Microsoft Security Essentials đã kill được con này rồi. Good Job.

Thank you anh TQN nhiều và admin HVA.
 

Hôm nay mới 23 tháng 7 mà đã có bản cập nhật ngày 23/11 rồi à? Microsoft đúng là đi trước thời đại smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 13:05:31 (+0700) | #38 | 243967
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Em chỉ đứng theo phương diện một coder code ra 1 ct, em đã có thể khẳng định, chỉ có 1 STL duy nhất, gồm nhiều team. Mỗi team thì lung tung thành phần, trình độ. Team thì lo code bot, team thì lo code keylog, team thì lo gởi mail dụ victim, team thì lo up virus lên các site download, team thì lo đăng ký, bảo trì host phân phát "mèo què".
Xuyên suốt đám "mèo què" của STL mà em thu thập được, em rút ra ý kiến này: các anh đã lạm dụng zlib quá, đâm ra nó chính là bằng chứng chỉ mặt các anh. Gần đây các anh còn chơi trò mạo danh bmp nữa chứ.
Lúc đầu em hơi phân vân, em nghĩ có 2 nhánh cùng mang tên STL à. Tới giờ này, sau khi phân tích xong AcrobatUpdater.exe ra, em xin kết luận, các anh là một, cùng một cha mẹ cả, chỉ khác là cha mẹ đó có nhiều con thôi.
Em nói đúng không mấy anh STL, mấy anh đừng chối nhé. Bằng chứng rành rành rồi đó. Zlib.lib và Zlib.dll chính là điểm chung của các anh, và đấy cũng là bằng chứng nhận dạng các anh.
Vd nhỏ này nhé: File AcrobatUpdater.exe của các anh đã dùng tới 2 kỹ thuật mới:
1. Mạo danh Bmp Resource: Bitmap Resource với ID = 1 của các anh là bằng chứng. Mạo danh Bmp để qua mặt các AV, nhưng data của Bmp ResID 1 đó chỉ có cái BmpHeader là hợp lệ thôi, còn toàn bộ Bmp Lines Data thì các anh nhúng PE vào. Cái này sao giống Fake_Unikey vậy ha ?
2. File PE DLL nhúng trong Bmp ResID 1 extract ra là 1 dll, pack = UPX, upx -d thì lòi ra nó chính là zlib.dll, ver 1.1.4.0. Các anh sợ extract nó ra System32 đụng zlib.dll nào đó đang run nên các anh đổi tên nó thành jarlib.dll à ?
3. Một loạt các "mèo què" của các anh, từ Nguyễn Văn Lý, Tin Lành, Fake_Unikey, vecebot, daoxx.. các anh đều dùng zlib api và buid với zlib static library, gần như 100%. Signature chình ình ra đó, các anh search thử string "zlib" trong mấy file "mèo què" mấy anh đã build là thấy. Chỉ có AcrobatUpdater.exe này, VB không dùng static lib của C/C++ được nên các anh phải nhúng Zlib dll vào và extract ra, LoadLibrary, GetProcAddress để call. Dựa trên signature này + zlib signature em tự build + PatchDiff2 plugin, em đã vạch mặt, chỉ danh các anh rồi.
Tiết lộ vớ mấy anh STL; em code VB từ hồi năm 1995 lận, từ hồi VB 1 với sách của Peter Norton lận. Sách Hardcore VB của MS Express, tác giả là thằng cầu thủ gì đó của MS thì em đọc nát rồi.

Em nói đúng không các anh STL, em nói vầy các anh tâm phục khẩu phục chưa ? Các anh có code "mèo què" tới cỡ nào em cũng biết được thằng nào trong team của các anh code.
Các anh nghỉ dân VN này dốt lắm à, dể để các anh xỏ mũi lắm à ?

Đi đâu cũng về La mã, khi xưa BKAV đạo code dùng Rar.exe để nén data gởi lên, bây giờ các anh dùng zlib để unzip data nhận về. Sao trùng hợp vậy ha ?

Kỹ thuật mới mà các anh dùng để qua mặt các AV là thay vì chơi nguyên xi PE file vào resource, các anh dùng các xZip để nén các file PE lại, dùng các tool bin2db để convert toàn bộ file zip đó ra hex string, rồi mang toàn bộ hex string array đó vào ct, nhúng ở .data hay .rdata section. Khi run, các anh extract đống datađ ó ra %Temp% file, dùng Zlib function để uncompress nó rồi run file PE đó.
Điển hình: DrWatson.exe của mấy anh, đúng không mấy anh STL ? Kỹ thuật này cũng hiệu quả đấy chứ, ít được dùng và ít phổ biến trong giới "mèo què" quờ rai tờ, qua mặt được các AV smilie

Em đùa tí nhé cho bớt "sờ trít": Nếu các anh chường mặt rao bán các "mèo què", bot của các anh, em sẽ vạch mặt các anh đạo code, vi phạm bản quyền liền.
Em nói mấy anh STL đừng tức nhé, em biết trong team các anh có các bác bằng tuổi ba em, như bác Xxxx gì đó. Nhưng tức thì chịu chứ sao bây giờ, mấy anh làm bậy, làm bẩn mà !!!???

Bitmap gì mà tự dưng không không nhúng vô vầy nè, chả có hình thù gì cả



Mang vào 010Editor với BmpTemplate thử xem:



À, chơi nhúng PE với BmpInfo Header mạo danh à, extract ra thử xem:



UPX à, quá dễ, upx -d xem sao. OK, không phải UPX modified, unpack ngon lành. Xem version info của nó xem sao:



Ặc ặc, lại Zlib nữa, nhưng không sao, thằng này chơi DLL nên dể RCE, nó chỉ dùng 3 hàm của zlib: gzopen, gzunxxx gì nữa vậy bà con RCE ?

Nói ra anh em STL buồn, tự dưng tới giờ em thấy việc RCE "mèo què" của mấy anh là thú vui, là giải trí cho em trong lúc kinh tế khó khăn, ít việc lúc này. Và cũng để em luyện nâng cao tay nghề RCE. Có lúc em thấy khả năng RCE em còn kém quá, "nữa mùa" quá, RCE không kịp, không được 100% các mẩu "mèo què" của mấy anh được liên tục sản xuất ra !!! smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 13:56:50 (+0700) | #39 | 243968
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]

TrojanDownloader:Win32/VB.SK

Encyclopedia entry
Published: Jul 22, 2011

Aliases
Not available

Alert Level (?)
Severe

Antimalware protection details
Microsoft recommends that you download the latest definitions to get protected.
Detection initially created:
Definition: 1.109.171.0
Released: Jul 22, 2011
 


Bạn KHUNG LONG nhầm một chút thôi mà bạn latlabao. Em đây nhiều lúc còn quên tên tháng trong tiếng Anh mà, giờ mà ai bắt em đọc từ tháng 1-12 bằng tiếng Anh là em thua (nhưng em biế July = 7 mà). Mang trả hết cho thầy cô rồi (tội nghiệp mấy thầy cô có thằng học trò như em) !

Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 16:40:11 (+0700) | #40 | 243981
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Mới kiểm tra lại stats của hệ thống thì thấy từ 5 giờ chiều hôm qua đến 5 giờ chiều hôm nay (giờ VN) có 81 triệu cú SYN có dung lượng 4.5Gb đập vào hệ thống và bị /dev/null. Ngoài ra, có khoảng 53 triệu full requests ở dạng DDoS đến HVA có dung lượng 55Gb (mỗi full request có kích thước khoảng 1124 bytes bao gồm SYN, ACK và ACK PSH + HTTP data load).

Hệ thống giảm DDoS từ khoảng 9 giờ tối giờ VN và giảm dần cho đến ngày hôm nay.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 16:46:57 (+0700) | #41 | 243983
[Avatar]
piloveyou
Member

[Minus]    0    [Plus]
Joined: 13/04/2010 21:23:15
Messages: 231
Location: EveryWhere
Offline
[Profile] [PM]
Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 17:33:26 (+0700) | #42 | 243988
[Avatar]
tanviet12
Member

[Minus]    0    [Plus]
Joined: 10/05/2010 12:15:15
Messages: 138
Location: TP - HCM
Offline
[Profile] [PM] [Email]
Không biết mấy anh chị bên VNCERT vào cuộc chưa. Chưa thấy động tĩnh gì hết
BTV
fb.com/buitanviet
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 19:48:53 (+0700) | #43 | 244001
[Avatar]
mechk
Member

[Minus]    0    [Plus]
Joined: 26/01/2007 18:07:00
Messages: 49
Location: đâu
Offline
[Profile] [PM] [Yahoo!]

TQN wrote:

Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1 


Sau khi đọc xong thì em thấy kết nhất là cái ảnh ở đầu bài viết smilie
sắp !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 20:10:08 (+0700) | #44 | 244004
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]

piloveyou wrote:
Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ? 


2 bác ấy không đơn độc đâu, còn có Scrutiny System của em nữa smilie)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 05:52:17 (+0700) | #45 | 244016
LlyKil
Member

[Minus]    0    [Plus]
Joined: 22/01/2008 18:33:58
Messages: 16
Offline
[Profile] [PM]
Chào mọi người,

Tính chất cũng như kĩ thuật tấn công đã được nêu rõ, hy vọng biện pháp phòng thủ sẽ là chủ đề kế tiếp thay vì cứ bàn những vấn đề rời rạc khác. Đó mới là mục đích chính và cũng là phần thú vị (nếu RCE thì có thể "up" cái topic của bạn TQN lên tránh lạc đề smilie).
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 10:33:58 (+0700) | #46 | 244023
nobitapm
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 13:54:41
Messages: 5
Offline
[Profile] [PM]
E đã submit cái file AcrobatUpdater.exe, size=282624 bytes mà anh TQN post lên cho Symantec hôm 22/07/2011 đến hôm nay 24/07/2011 thì nhận được câu trả lời là file đó không nguy hiểm, và cái thằng Norton Internet Security 2011 của em hôm nay quét cũng không diệt được cái file AcrobatUpdater.exe smilie. Nguyên văn trả lời của Symantec như sau :
This message is an automatically generated reply -- do not reply to this
message.

This system is designed to analyze and process suspicious file submissions
into Symantec Security Response and cannot accept correspondence or
inquiries.

---------------------------------------------------------------------------
Submission Summary
---------------------------------------------------------------------------

We have processed your submission (Tracking #20779850) and your submission
is now closed. The following is a report of our findings for the files in
your submission:

File: AcrobatUpdater.exe
Machine: Machine
Determination: Please see the developer notes.

---------------------------------------------------------------------------
Customer Notes
---------------------------------------------------------------------------

This file control bonet systemn for DDOS

---------------------------------------------------------------------------
Developer Notes
---------------------------------------------------------------------------

AcrobatUpdater.exe Our automation was unable to identify any malicious
content in this submission.
The file will be stored for further human analysis


---------------------------------------------------------------------------

This message was generated by Symantec Security Response automation.

Should you have any questions about your submission, please contact our
regional technical support from the Symantec Web site, and give them the
tracking number included in this message.


Symantec Technical Support 
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 11:09:10 (+0700) | #47 | 244025
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

piloveyou wrote:
Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ? 


1- Đâu chỉ có TQN và conmale, còn cả tôi -PXMMRF- nữa mà. Tôi cũng đã viết một số bài đấy chứ. Hì hì. Liên quan đấn STL, không chỉ có topic này mà còn những topic khác năm rải rác ở các box khác trong forum: "RCE", "Những thảo luận khác"....
Ngoài ra đứng sau các HVA Admin. còn có khá nhiều Mod. và member khác. Secmac vừa qua chẳng viết một bài khá hay là gì.
Có điều là TQN đã viết ra quá nhiều thông tin rất có giá trị. Chúng tôi cũng phải có thời gian để nghiền ngẫm nôi dung, mới viết bổ sung được. Vả lai cũng quá bận công viêc mưu sinh, nuôi con ăn học... nên nhiều khi phải tranh thủ thời gian. Có đêm phải thức đến 1-2 h nghiền ngẫm, khai triển những phát hiện của TQN. Tôi cũng vừa phải đi công tác Hà nôi tới hơn 1 tuần.

TQN wrote:
Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1 


2- Xác đinh nhân thân của STL là một việc tốn nhiều thời gian, công sức, phải qua nhiều năm. Không thể từ một sự kiện (event) mà tìm ra được. Những dự đoán của TQN là đúng. Sự xác định của bạn "phanledaivuong" liên quan đến STL, ở một post phía trên, cũng là đúng.
Thưc ra tôi đã theo dõi các hiện tượng khá lạ (sau này chúng dường như mang tên STL) từ khi domains: pavietnam.net và pavietnam.com bị chiếm đoat quyền sử dung. Gọi là lạ, vì tôi thấy đây là một hành đông lấy cắp domain tinh vi, chuyên nghiệp, có liên quan đến một tổ chức mafia IT có trình độ cao của Nga (Russian). Có dịp tôi sẽ nói thêm về tổ chức tội phạm này. Hiện tại có những bằng chứng rõ ràng là STL vẫn còn liên quan đến tổ chức tôi phạm nói trên. Đây là một tổ chức hoạt đông rất rộng trên mạng, nhưng nó lai không có một website-server chính thức nào để có cơ sở truy tìm dấu vết.

Nếu các bạn đọc kỹ các bài viết của tôi về STL (bên ngoài và trong box BQT HVA), sẽ thấy từ khá lâu tôi đã xác định chúng là ai, do ai chỉ đạo, trả tiền....Và điều này ngày càng rõ. Rõ ràng là mọi việc đều cần thời gian dài để mọi người thấy rõ.
Các bạn có thể tham khảo các comment của tôi (PXMMRF-HVA và PHAM XUAN MAI) về vấn đề liên quan tại bài viết trên McAfee blog: "Vietnamese Speakers Targeted In Cyberattack"
http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack
Khi đó tôi đã xác định tác giả của W32/VulcanBot là Chinese hacker, mà cụ thể là là STL

3- Tôi đồng ý với một số nhận định trong bài viết của bạn "CHIẾN SĨ AN NINH" tại:
http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1
Quả thưc lưc lượng AN NINH thì làm việc vất vả, luôn phải đối phó với hiểm nguy, khá trong sạch, vì ít có cơ hôi tham nhũng. Nhưng tất nhiên cũng không phải không có một vài cá nhân, trường hợp không hay. Các trường hơp này tuy ít về số lượng, nhưng nếu có thì quy mô và tác hại lại rất lớn. Cũng có trường hợp có người giải quyết vấn đề một cách manh đông, thiếu suy nghĩ chín chắn. Tuy nhiên điều nay cơ bản là tôi đồng ý với ý kiến của bạn "CHIẾN SĨ AN NINH".

Nhưng điều tôi không đồng ý là: thưc ra theo tôi "Không có bất cứ một thoả thuận nào giữa TQ và VN về hỗ trợ lẫn nhau trong an ninh và bảo vệ mạng truyền thông quốc gia". Có nhiều lý do, trong đó có lý do này. Trước các năm 80, Internet chưa có tại TQ và Việt nam. Chẳng ai lai đi bàn và ký kết các hiệp đinh liên quan đến mạng truyền thông. Sau các năm 80 thì hậu quả của các trận chiến TQ xâm lược VN năm 1979, trận chiến Trường sa 1988... rất nặng nề. Hai bên có nhiều bất đồng, chỉ "bằng mặt mà không bằng lòng", luôn luôn dò xét và canh chừng lẫn nhau. Một hiệp định quan trọng về thông tin, bảo mật như vậy rất khó được đề cập.
Tôi có hỏi một vài người bạn cùng học phổ thông, nay đang đảm nhân một vài chức vụ nào đó ở lưc lương ưu tú nhất của lưc lượng AN NINH, về sự hiện diện nếu có về một hiệp định như vậy. Câu trả lời của họ là "Không-Dứt khoát là Không"

4- Về mặt Trojan, Bot thì trong một quá trình lịch sử dài STL sử dụng nhiều loai Trojan khác nhau để lấy cắp thông tin và tấn công DDoS trên mạng: từ W32/VulcaBot (vào khoảng các tháng đầu năm 2010), đến VeceBot (vào khoảng các tháng cuối năm 2010) và loại Trojan hiện nay mà anh TQN đang phân tích một cách rõ ràng và khá hay, tạm gọi là "STLBot".

Các Trojan này đều có những điểm khá giống nhau và đươc cải tiến dần từ một số nguồn. Nguồn đầu tiên có lẽ là đươc viết ra từ các hacker Nga, trong tổ chức Mafia IT Nga tôi nói ở trên.
Điểm giống nhau là chúng đều được "nhúng" (embedded) vào các phần mềm hay tool thông dung mà rất nhiều, hay hầu hết người Việt nam thường dùng hay phải dùng: thí dụ VPSKeys hay Vietkey2000-2002 (trường hơp W32/VulcaBot), Vietkey2007, Unikey4.x...(trường hơp Vecebot hay các STL bot sau này).
Các phần mềm, tool này được đưa lên một số website VN để tiện download, trong đó có cả website đặt TQ, hoặc STL thâm nhập vào website VN (từ việc lấy cắp mật mã truy cập website) và nhúng trojan vào. Vì vậy số máy VN và nước ngoài (của bà con Việt kiều) bị nhiễm "STLBot" rất lớn
Các trojan trong các máy bị nhiễm mã đôc thường xuyên, tự động liên hệ với một số website để update thông tin, cấu trúc và địa chỉ tấn công DDoS...
STL sử dụng rất nhiều website loai này (tạm gọi là Master websites) và đặt ở rất nhiều nơi trên TG: Mỹ, Anh, Pháp, TQ, Việt nam..... Master website có khi chỉ là một website hosting ở webserver của một công ty dịch vụ web nào đó, có thể đặt trên một webserver riêng do chính STL quản lý (bỏ tiền ra mua, thuê), có thể là các webserver lưu động sử dụng hệ thống tên miền năng động (dynamic domain system) chạy wifi miễn phí....

STL đã tốn rất nhiều thời gian, công sức, tiền bạc (sự tốn kém đến mức kinh ngạc nếu ta thử tính toán, cộng lại các khoản chi phí) để làm việc phát tán virus, lấy cắp password email, quản lý website, blog, tấn công DDoS trên mạng, deface nhiều website...

Ai tổ chức và chi tiền cho việc này. Điều này nay đã khá rõ

5- Để chống lại các cuộc tấn công DDoS trên mạng một cách hữu hiệu, điều quan trong nhất và biện pháp duy nhất trong tình hình hiện nay, theo tôi, là phải tìm mọi cách phát hiện ra các Master website chỉ huy, điều khiển mạng bot và nhanh chóng vô hiệu chúng với mọi phương tiện có thể, cần thiết.
Điều trớ trêu là việc tìm ra các Master websites thưc ra lại không khó khăn gì. Chỉ cần người sử dụng máy tính (bị nhiễm bot và trở thành một zombie) biết được đia chỉ kết nối mà bot liên hệ đến, thông qua một chương trình kiểm soát thường xuyên các kết nối từ máy mình với mạng Internet, là xong.
Trong khi trên mang có tới hàng trăm ngàn máy tính, hay nhiều hơn, đang bị nhiễm bot và trở thành các zombies




The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 12:11:26 (+0700) | #48 | 244026
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đây là 1 phần đoạn mail của bạn trẻ cao thủ gởi cho tui. Post lên đây để anh em đọc cho vui:

Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet.

Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg
đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết.

Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn.
tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được

Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng

Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới smilie Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die smilie
 


Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL" (Giống như cô Phương Nga thôi) smilie

2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù vậy ha ???? Chuyện gì đang xảy ra sau lưng hậu trường ????
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 12:58:59 (+0700) | #49 | 244027
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

TQN wrote:
Đây là 1 phần đoạn mail của bạn trẻ cao thủ gởi cho tui. Post lên đây để anh em đọc cho vui:

Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet.

Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg
đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết.

Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn.
tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được

Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng

Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới smilie Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die smilie
 


Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL" smilie

2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù ???? 



Như tôi đã viết, STL dự phòng rất nhiều master websites và đặt ở nhiều nơi trên thế giới. Có thể dễ dàng thay thế các master mới khi những cái cũ bị phát hiện.
Như vừa rồi khi thấy TQN phát hiện ra các master website http://penop.net/ hay http://direct.aliasx.net, thì STL lập tưc inactive (vô hiệu hoá ) chúng. Khi tôi biết thông tin của TQN, tôi check thẳng vào chúng, không cần quan ngại gì, thì website này đã inactive mất rôi. Đương nhiên các file .jpg hay btm đặt tai webroot không thể tìm thấy.

Tuy nhiên scenario (kịch bản) cụ thể sẽ như sau:

- STL đọc thông tin phát hiện của TQN về các master website
(Không ít thành viên STL đang chăm chú đọc các bài viết của TQN, kể cả bài tôi đang viết nữa .Hì hì)

- STL không inactive ngay các master website, mà duy trì chúng trong một thời gian nào đó, ngắn nhưng đủ dài để các bot update các thông tin mới về muc tiêu DDoS mới cũng như đia chỉ mới của master website (đia chỉ cũ đã lộ thì STL sẽ bỏ đi)

- Do các bot tại hàng trăm ngàn zombies thường xuyên, tự động liên hệ với master website (cũ) và các kết nối ấy là persistent connection (keep-alive) nên chỉ trong một thời gian ngắn, có thể tối đa là 60 sec (với IE 6-7-8) hay 115 sec (với FireFox4-5) hay hơn một chút là trình duyệt của máy zombies đã giúp bot update được các thông tin mới về Master websites (tên miền, IP address). Muc tiêu tấn công DDoS có thể STL không cần thay đổi, như trường hợp HVA vừa rồi.

- Sau đó thì STL mới chính thức thay đổi Master website

Ta hình dung có một cuộc chay đua giữa HVA (TQN-conmale) và STL trong chuyện này. TQN phát hiện master website, STL thay đổi master website, TQN lai phát hiện...vv.

Nhưng tôi tin rằng lão conmale tuy già cả nhưng thường vẫn chạy nhanh hơn. Hì hì


------------
VNCERT: Biên chế ít, nên chỉ có thể quản lý mạng theo kiểu hành chính thôi

BKAV: Đang tập trung vào diệt virus nên có thể không tập trung vào RCE kỹ lưỡng và với mục đích như TQN. Vả lại theo tôi họ không giỏi RCE như TQN.

CMC: do bác Triệu trần Đức, Admin cũ của HVA, là TGD. Họ đang rất quan tâm đến các bài viết về Trojan của STL và đang viết các DAT file diệt các Trojan này. Nói chung, theo tôi họ rất tán đồng và ủng hộ HVA

Báo chí: Đến ta (HVA) mà phải tốn nhiều thời gian, công sức và phải có kiến thức sâu về RCE thì mới discover được đám Bot của STL, thì cánh báo chí sao làm được, biết được. Nhưng chắc họ cũng phải còn nghe ngóng, tìm hiểu thông tin thêm chứ, rồi mới viết bài. Cũng còn một đôi vấn đề chính chúng ta (HVA) cũng còn chưa hoàn toàn thống nhất cơ mà.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 13:18:25 (+0700) | #50 | 244028
[Avatar]
tanviet12
Member

[Minus]    0    [Plus]
Joined: 10/05/2010 12:15:15
Messages: 138
Location: TP - HCM
Offline
[Profile] [PM] [Email]
Hì. HVA ta cũng có mấy huynh bên VNCERT nữa mà. Hy vọng các anh sẽ can thiệp sớm ..
BTV
fb.com/buitanviet
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 14:25:17 (+0700) | #51 | 244030
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chết là chết trong thời gian ngắn đó đấy anh PXM. Tụi nó sẽ cập nhật bot mới lập tức, setup URL download mới lập tức, hy sinh AcrobatUpdater và các URL cũ. Mình sẽ vẫn bị đánh tiếp.
File config mới xc.jpg đã không ra lệnh tắt DDOS vào HVA, mà chỉ thay = dòng trêu chọc đó. Một lượng Bot lớn còn lại vẫn theo config cũ mà dập vào HVA ta.

Đúng là nhức đầu. Giờ ta có dập được cái host direct.aliasx.net thì vẫn bị DDOS, chỉ còn nước tận diệt các bot còn tồn tại và nhanh chóng tìm ra bot mới.

Nếu ISP can thiệp, tui nghĩ họ nên firewall 2 host penop.net và direct.aliasx.net.

Bà con nào phát hiện AcrobatUpdater.exe mình và biết cách dùng Wireshark, CommView, TCPView hay SmartSniff (của Nirosoft) có thể giúp mọi người bằng cách: đừng xoá AcrobatUpdater.exe theo dõi thử AcrobatUpdater.exe connect tới host nào, URL ra sao, UserAgent như thế nào ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 14:52:11 (+0700) | #52 | 244032
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

LlyKil wrote:
Chào mọi người,

Tính chất cũng như kĩ thuật tấn công đã được nêu rõ, hy vọng biện pháp phòng thủ sẽ là chủ đề kế tiếp thay vì cứ bàn những vấn đề rời rạc khác. Đó mới là mục đích chính và cũng là phần thú vị (nếu RCE thì có thể "up" cái topic của bạn TQN lên tránh lạc đề smilie).
 


Cám ơn LlyKil đã liên lạc và có một số góp ý hữu ích. Sẵn tham gia trả lời chủ đề này anh hồi âm em luôn là obscurity cũng là một biện pháp trong nhiều biện pháp bảo mật. Đi xa hơn nữa, thật và ảo xen lẫn nhau lại càng có tác dụng hơn smilie.


@ piloveyou: thật ra có rất nhiều anh em HVA nhiệt tình góp ý và đã rất năng động trong việc xử lý zombies trong giới hạn họ quản lý. TQN, conmale, PXMMRF, acoustics89.... chỉ là một số người năng động tham gia phân tích và gởi bài chính thức trên diễn đàn nhưng đằng sau đó, có rất nhiều người đã giúp đỡ và hỗ trợ một cách thầm lặng. Đây là điều đáng mừng vì hầu hết chẳng ai chấp nhận những trò phá hoại một cách bỉ ổi và hèn hạ.

Báo chí VN thì chỉ cầm chừng và cái gì có lợi thì mới làm. Ai hơi đâu mà đăng báo mãi về một diễn đàn HVA vớ vẩn nào đó bị DDoS? smilie . Chuyện quan trọng là một cơ chế cảnh báo hiểm hoạ malware và DDoS một cách rộng rãi và hữu hiệu (vẫn chưa có).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 16:09:04 (+0700) | #53 | 244034
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Mặc bằng chung hiểu biết của người dùng Máy tính và Công nghệ ở VN dừng ở mức khởi động máy -> sài; cài soft(bao gồm cờ rắc) -> sài; Hư->gọi IT(IT gì thì không biết) -> sài. Trong khi đó, IT thì có nhiều mức độ chưa được chuẩn hoá về hiểu biết "sàn". Thấy soft không có crack thì cắm đầu ra internet và tìm mọi cách để có crack. Cài soft anti mã độc cũng phải crack đã hẳn tính, có free cũng không sài vì muốn "crack". -> Tiếp tay cho bot net mở rộng ra.
Vì lý do chủ quan/khách quan ở trên làm cho mớ zombie ngày càng lan rộng. Coi như đã đáp ứng được điều kiện đủ của tụi đi chơi DDOS.
Điều kiện cần là những tay đốt có hệ thống các phương tiện và cách thức phát tán. Chuyện này dân thường không thể làm gì được, phải có các cơ quan chức năng như an ninh gì đó, ISP và cấp quản lý doanh nghiệp các mức độ.

Cấp nhà nước không quan tâm, thì cấp ISP phải lo, cấp ISP không lo thì cấp an ninh dịch vụ phải lo, cấp này không lo nữa thì cấp doanh nghiệp phải tự nhận thức, cấp cuối này DEK nhận thức nữa thì cấp người dùng trực tiếp "PC" nên biết là ko crack/sex.... .

Mọi chuyện đều có hệ thống lớp lang, mà VN thì lớp lang hệ thống là không có 1 cái nhìn nhận ra hồn nào hết.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 17:17:54 (+0700) | #54 | 244035
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe".

Trong suốt quá trình nhiễm này, có hai tiểu đoạn:

1. Tạo ra:
C:\Program Files\Adobe\Updater6
[ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe

2. Điều chỉnh registry:
- Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ]

Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi.

Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 17:56:37 (+0700) | #55 | 244036
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Vụ "administrator" mà anh conmale nói là vấn đề chính ở VN. Đối với các cty như ngân hàng, kiểm toán, chứng khoán đã có nhận thức ở tầm mức nào đó, họ đã đưa chuyện này vào chính sách hoạt động chung. Người dùng ở mức cuối đều không biết đến user mình đang dùng ở mức nào, mọi chuyện đã có bộ phận CNTT lo.
Còn đối với các mô hình kinh doanh khác, vấn đề "administrator" tuỳ vào nhận thức của lảnh đạo về CNTT, về tính tự giác nhận thức của cấp quản lý CNTT. Về mặt bằng nhận thức, đa số doanh nghiệp không quan tâm đúng mực về ảnh hưởng của CNTT vào công việc. Họ chỉ cần "plug and play" hay "power on" là xong rồi.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 18:28:13 (+0700) | #56 | 244037
cayaoanh830
Member

[Minus]    0    [Plus]
Joined: 13/06/2011 09:34:01
Messages: 37
Location: Nowhere
Offline
[Profile] [PM] [Email] [Yahoo!]
Theo như sự phân tích ở trên thì các vụ tấn công Ddos đều giả các cuộc lức wed bình thường nhưng dù gì thì máy tính vẫn là máy tính nó không có trí thông minh bằng người chế tạo ra nó được nó cũng chỉ làm theo những dòng code có sẵn. dựa vào sự suy nghĩ trên em nghĩ ra được 1 cách không biết có được không nếu có gì sai xin các bác bỏ qua cho em . dừng chém em tội nghiệp em lắm smilie :
=>Tại sau chúng ta không phân biệt sự truy cập đó là người hay là máy bằng cách đưa ra các câu hỏi (như 10+5 = ? hoặc đưa ra một từ tiếng anh mất 1 chữ và nghĩa tiếng việt của nó để ta điền vào ...) để người nào muốn truy cập vào một trang bất kì của HVA cũng phải giải nó.
...Yesterday - Today - Tomorrow...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 18:47:39 (+0700) | #57 | 244040
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]

cayaoanh830 wrote:
Theo như sự phân tích ở trên thì các vụ tấn công Ddos đều giả các cuộc lức wed bình thường nhưng dù gì thì máy tính vẫn là máy tính nó không có trí thông minh bằng người chế tạo ra nó được nó cũng chỉ làm theo những dòng code có sẵn. dựa vào sự suy nghĩ trên em nghĩ ra được 1 cách không biết có được không nếu có gì sai xin các bác bỏ qua cho em . dừng chém em tội nghiệp em lắm smilie :
=>Tại sau chúng ta không phân biệt sự truy cập đó là người hay là máy bằng cách đưa ra các câu hỏi (như 10+5 = ? hoặc đưa ra một từ tiếng anh mất 1 chữ và nghĩa tiếng việt của nó để ta điền vào ...) để người nào muốn truy cập vào một trang bất kì của HVA cũng phải giải nó.
 


Đến lúc đống zombie đó kết nối được đến tầng này thì chắc server nào bị dội cũng sụm bà chè rồi. Hehe
Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):
http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404)
https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)
 

với User-Agent đều là:
Gozilla_2/General (??) 


Đang tiếp tục vọc tiếp ...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 19:21:30 (+0700) | #58 | 244042
cayaoanh830
Member

[Minus]    0    [Plus]
Joined: 13/06/2011 09:34:01
Messages: 37
Location: Nowhere
Offline
[Profile] [PM] [Email] [Yahoo!]
Các bác phân tích con "AcrobatUpdater.exe" bằng chương trình gì vậy?
...Yesterday - Today - Tomorrow...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 19:44:37 (+0700) | #59 | 244043
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bằng các công cụ đã post ở đây: /hvaonline/posts/list/2865.html

Giữa 1 rừng malware của STL, em giờ rối luôn, không biết tiếp tục với thằng nào cho xong được khoãng 80-90% ?

Hiện tại, cả em và anh conmale đều chưa xác định được thằng nằm vùng nào đã download images01.gif về rồi xor toàn bộ file content với 0x19 để cho ra AcrobatUpdater.exe.

Theo lời cao thủ trẻ tuổi acoustics89 (tiết lộ luôn, chứ cứ phải viết cao thủ trẻ tuổi giấu mặt thì mệt quá) thì GoogleCrashHandler.exe down nó về. Nhưng GoogleCrashHandler.exe thì có lẽ mấy cái AV gặp là nó nhai xương rồi.

Vậy ai download AcrobatUpdater.exe về, GoogleCrashHandler.exe hay còn 1 thằng .exe/.dll/.xxx giấu mặt nào khác mà anh em ta chưa biết. Nếu còn chưa xác định được thằng nằm vùng này, chúng ta còn phải chạy theo STL dài dài smilie

Có vài tool free, nhỏ gọn, không cần install, tụi mạn phép đề nghị anh em khách, thành viên HVA nào không có Wireshark nên down về kiểm tra máy mình:
1. CurrPorts:http://www.nirsoft.net/utils/cports.html
2. SmartSniff: http://www.nirsoft.net/utils/smsniff.html

Down và extract ra, run 1 trong 2, đóng mọi kết nối Internet không cần thiết như Chat, Browser. Quan sát xem process nào connect tới tienve.org, port 80. Process đó chính là bot.
Xem Process nào connect tới penop.net hoặc bất cứ host lạ nào: thằng này là thằng nằm vùng.

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 20:48:57 (+0700) | #60 | 244044
[Avatar]
tanviet12
Member

[Minus]    0    [Plus]
Joined: 10/05/2010 12:15:15
Messages: 138
Location: TP - HCM
Offline
[Profile] [PM] [Email]
Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi.  


Hix, ngày xưa em cũng từng cài rất nhiều máy windows. Toàn cho người dùng với quyền administrator, bởi không bị giới hạn trong cài đặt phần mềm... Nhưng lâu rồi thì mới biết, những mấy như thế rất dễ bị virus, "mèo què" gây hại, bởi hiểu một cách đơn giản: dễ với mình thì cũng dễ với mã độc.

Bởi vậy, nếu có cách anh chị nào hay cài đặt PC cho bạn bè, người thân, máy tính của công ty mình. Lưu ý nên cài với user bình thường, tạo các policy để giới hạn quyền... Phòng bênh trước khi chữa bệnh!
BTV
fb.com/buitanviet
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
3 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|