cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64= oNIx2zknAa67WFSorZQv/Q== slIbnSGRCPPsJeFM/jPcYQ== 90/u7E7RZcQ=  

cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64= oNIx2zknAa67WFSorZQv/Q== slIbnSGRCPPsJeFM/jPcYQ== 90/u7E7RZcQ=  

cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64= oNIx2zknAa67WFSorZQv/Q== smtp.gmail.com 587 False 1TtkPA9wSPz7EXzOGfb+0A== Az93AnVF5+c= Az93AnVF5+c=  

using System;
using System.Collections.Generic;
using System.Text;
using System.IO;
using System.Security.Cryptography;

namespace Decode
{
    public class cTripleDES
    {
        private byte[] m_key;
        private byte[] m_iv;
        private TripleDESCryptoServiceProvider m_des = new TripleDESCryptoServiceProvider();
        private UTF8Encoding m_utf8 = new UTF8Encoding();

        public cTripleDES(byte[] key, byte[] iv)
        {
            this.m_key = key;
            this.m_iv = iv;
        }

        public string Decrypt(string text)
        {
            string str = null;
            byte[] buffer = null;
            byte[] bytes = null;
            try
            {
                buffer = Convert.FromBase64String(text);
                bytes = this.Transform(buffer, this.m_des.CreateDecryptor(this.m_key, this.m_iv));
                str = this.m_utf8.GetString(bytes);
            }
            catch (Exception ex)
            {
                Console.WriteLine(ex.Message);
            }
            return str;
        }

        public byte[] Transform(byte[] input, ICryptoTransform cryptoTransform)
        {
            CryptoStream stream = null;
            MemoryStream stream2 = null;
            byte[] buffer = null;
            stream2 = new MemoryStream();
            stream = new CryptoStream(stream2, cryptoTransform, CryptoStreamMode.Write);
            stream.Write(input, 0, input.Length);
            stream.FlushFinalBlock();
            stream2.Position = 0L;
            buffer = new byte[((int)(stream2.Length - 1L)) + 1];
            stream2.Read(buffer, 0, buffer.Length);
            stream2.Close();
            stream.Close();
            return buffer;
        }
    }

    class Program
    {
        static void Main(string[] args)
        {
            byte[] key = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 0x10,
                                      0x11, 0x12, 0x13, 20, 0x15, 0x16, 0x17, 0x18 };
            byte[] iv = new byte[] { 0xff, 70, 60, 50, 40, 30, 20, 10 };
            cTripleDES tripleDES = new cTripleDES(key, iv);
            string str = tripleDES.Decrypt(args[0]);
            Console.WriteLine("String decoded: " + str);
            Console.ReadLine();
        }
    }
}

À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ? 

TQN wrote:

À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ? 

Ủa? Chủ đề đó em post trong mục nào vậy? Anh không nghĩ có ai xoá đâu em. Em tạo chủ đề đó ngày nào? Cho anh biết để anh lục lại coi? PS: đám STL này có lẽ nghĩ rằng họ "invisible" ;). 

conmale wrote:

TQN wrote:

À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ? 

Ủa? Chủ đề đó em post trong mục nào vậy? Anh không nghĩ có ai xoá đâu em. Em tạo chủ đề đó ngày nào? Cho anh biết để anh lục lại coi? PS: đám STL này có lẽ nghĩ rằng họ "invisible" ;). 

chủ đề đó tên là Introduction x64 reverse engineering gì đó, link hình như thế này https://www.hvaonline.net/hvaonline/posts/list/39189.html nhưng mà giờ không vào được nữa anh. 

Lạ thiệt. Tìm không ra. Em có nhớ chủ đề này được tạo ra khoảng thời gian nào không? 

conmale wrote:

Lạ thiệt. Tìm không ra. Em có nhớ chủ đề này được tạo ra khoảng thời gian nào không? 

Vào khoảng ngày 15-06 gì đó anh, em có download file của anh TQN share trong chủ đề đó, thấy file last modify vào 15 tháng 6. 

Sẽ viết tiếp chứ em, cho anh thời gian, từ từ chứ em. Bên đó còn thằng core dao360.dll.mui mà. Tụi STL đặt tên là Đao 360 đấy, kinh không ? Còn đám Vecebot của tụi nó nữa mà. Bát ngát, đọc không hết đâu. Nhưng mà em buồn là RCE đám "meo que" này làm mất thời gian của em quá, bỏ thì không được, vương thì mệt, chả mang lại đồng cắc bạc nào hết. Đang RCE, "rau" nó réo cũng phải lựa lời từ chối: anh đang bận, anh có công việc đột xuất ;) À mà quên chứ, Scan_Page.scr còn bày đặt dùng FTP để up nữa chứ. Vài thông tin về FTP server ftp.drivehq.com của nó đây: Nhưng buồn một cái là code FTP này còn bị lỗi, nên nó không hoạt động được. Em đố bà con nó bị lỗi gì ??? 

Lúc trưa về nhà, chat vơi anh D, vào thử hộp mail tuonglaivietnam2015, thấy hoảng hồn, trống rỗng. Quái, làm sao mà tụi nó login vào được mà xoá sạch dấu vết cả (IP của thằng đó em đã up lên). Mình share password cho vui, nhưng dùng cơ chế login SMS mà, phải có đt của mình chứ. Nói chuyện với anh D, cứ nghĩ là bug của Google, tức tụi nó login vào Gmail bằng một account #, củng dùng SMS luôn, logout ra, login liền vào tuonglaivietnam2015. Nhưng tối giờ kiểm tra lại, thì không phải. Sorry bà con, em sơ ý và dốt quá. Cái nick Huong Giang với account tuonglaivietnam2010 đấy, lúc trước thằng STL này share account. Em vô tình không xoá nó đi. Thằng STL login bằng account này, vào xoá sạch hết rồi. Nhưng nó không xoá được contact list, change lại password, xoá lịch sử dò tìm trên Google của nó. Vậy lần này chắc chắn tuonglaivietnam2010 đích thị là STL rồi, IP ở trên: 123.21.140.237. Google về mail account này thì không thấy có gì cả.  

Tối hôm qua tớ ngồi phân tích và điều tra sâu hơn thì thấy chưa hẳn "tohoangvu" là thành viên của nhóm STL bởi vì có những thông tin chưa xác thực. Bởi vậy, nếu bà con đè "tohoangvu" ra mà chửi khi chưa xác định một cách tuyệt đối thì e oan uổng. Tớ không loại trừ trường hợp chính hòm thư của "tohoangvu" bị thuổng và danh tánh của "tohoangvu" bị sử dụng nhằm mục đích đánh lạc hướng (nếu bị điều tra). Còn con virus mới "nóng hổi" (12 tháng 5 năm 2011) TQN vừa thảy lên, anh download thử thì bị clamav thộp cổ (lạ thiệt) :).

 

Có hàng của bác TQN từ đêm, ngồi buồn em download về, chán chả thi lại đại học nữa, em ngồi RE cho vui. Lần này phải công nhận là khá cao tay khi các bạn STL đem con VR đi phát tán dạng file giả icon doc. Kịch bản nó như sau: Chạy file doc giả, nó dump ra 1 đống file trong đó có 2 file svchost.exe trong thư mục %windir% ( chứ không phải system32 nhé) là giả mạo. Đồng thời đi kèm nó là 1 DLL: svcph.dll 1 file sys tên là sysaiudor.sys có nhiệm vụ ẩn tiến trình và key trong registry, vì thằng svchost.exe có ghi 1 key run là Network balancing trong HKCU\Software\Microsoft\Windows\CurrentVersion\Run Nội dung chính của bộ "mèo" ( bắt chước bác TQN chút :D ) toàn chứa trong resource ,cần phải được giải mã. Thôi thì em giải mã tý chút Bọn này dùng smtp của yahoo( lại đổi rồi, chắc chán gmail ) trong đó có 2 email đáng chú ý:

xuann28@yahoo.com ngnamhungntt@gmail.com  

Vì thế bạn nào mà gặp dấu hiệu trên, có file, có key thế kia thì mau tìm cách loại bỏ Em ngồi hóng cao nhân tiếp 

wujianan-PC 192.168.1.100 00-24-1D-88-E4-79 

Hì hì, vậy là cái modem của cậu ngokiennam này đặt default pasword rồi, phải không cr4zyb0y ? Còn cái tên wujianan này nữa, đặc sệt tàu khựa ! 

Hì hì, vậy là cái modem của cậu ngokiennam này đặt default pasword rồi, phải không cr4zyb0y ? Còn cái tên wujianan này nữa, đặc sệt tàu khựa ! 

Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao. Cái thằng giấu mặt là thằng này nè: 123.21.140.237 

Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao. Cái thằng giấu mặt là thằng này nè: 123.21.140.237 

TQN wrote:

Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao. Cái thằng giấu mặt là thằng này nè: 123.21.140.237 

TQN không hiểu vấn đề hay là vờ không hiểu để chọc mình :( cái ip 192.168.x.x là cái ip modem cấp cho các máy client cắm vào nó ( ip LAN ), còn cái ip 123.21.140.237 là do ISP cấp cho modem của khách hàng khi kết nối vào internet ( ip WAN ) Mà các thuê bao ADSL thường là IP động chứ không phải ip tĩnh nên khi reset modem thì ISP sẽ cũng cấp 1 ip mới chứ không phải ip cũ nữa. Bác truy cập vào trang http://checkmyip.com/ xem ip của mình là gì, sau đó reset modem, clear cache của trình duyệt rồi vào lại trang đó bác sẽ thấy ip thay đổi ps: lúc đầu bác vào check port có để ý nó là modem Zoom X5 không, giờ nó là modem TP-Link khác hoàn toàn, không lẽ anh ta thay luôn cả modem  

không đọc những gì mình viết trên kia à, mình có nói rỏ ràng 2 giả thiết nếu ip 123.21.140.237 đã/chưa assign cho thèn khác thì tình huống sẽ khác mà. còn vi phạm pháp luật mẹ gì mình không care, vì mấy anh công an mạng chả quan tâm gì tới mấy cái mình làm đâu =)) , nếu có thì đập tụi STL có ích hơn. tội phát tán malware là đi tù như chơi ấy chứ nhỉ =)) 

À mà em quên và thắc mắc một điều này, ai biết giải đáp giùm em cái: Trong 95% các "mèo què" của đám STL này, tụi nó đều code = C++, dùng VC++ 2008, 2010. Số máy và bản instal VS phải từ 3, 4 máy trở lên (dựa trên MS Rich Info). Nhưng tự dưng không không lại có thằng hứng chí lại port các native lib code qua VB.NET, rồi dùng VS 2005 để viết à ? Hay là anh này lúc trước là VB coder, giờ bị sếp ra lệnh code "meo "què" = C++, anh này nằng nặc: dạ không, em không code C++ đâu, em code VB.NET luôn nha ! Sếp ừ, và cuối cùng anh bị lộ ;) Giả định của em đó, góp vui và xả "sờ trét" cho bà con luôn. Căng thẳng quá rồi mà ;)  

Chà công nghệ phát triển có khác giờ mọi người có thể viết virus trên nền các framework nữa. Chắc có virus viết bằng java và python nữa, nghe sao giống cái phong cách viết virus bằng autoit quá. Sau này sẽ có phong trào nhà nhà viết virus bằng VB.NET :D. Mà sao nói nhóm này là nhóm bí mật mà lộ liểu thế này nhỉ :D. Hay là bít mật một cách lộ liểu =)). 

Càng lạc vô "mê hồn trận" của STL càng thấy khủng :-)

(câu hỏi bí mật đúng là bí mật "bà cô mà em ưa thích là ai"). 

chiro8x wrote:

Chà công nghệ phát triển có khác giờ mọi người có thể viết virus trên nền các framework nữa. Chắc có virus viết bằng java và python nữa, nghe sao giống cái phong cách viết virus bằng autoit quá. Sau này sẽ có phong trào nhà nhà viết virus bằng VB.NET :D. Mà sao nói nhóm này là nhóm bí mật mà lộ liểu thế này nhỉ :D. Hay là bít mật một cách lộ liểu =)). 

Về mặt nguyên tắc, hoàn toàn có thể viết virus bằng java và python bởi vì hai ngôn ngữ này cho phép embedded data và data này có thể hoàn toàn là binary hoặc được encode ở một dạng nào đó bằng một thuật toán nào đó. Khi thực thi, nó sẽ "xào nấu" data và trồng mã độc được xào nấu vô những chỗ hiểm yếu trong system. 

Vấn đề là các virus này phải kèm theo famework của nó, hoặc là được cài trước đó hoặc được build vào trong exe. Ngoài ra khi sử dụng các complie thì mã thừa sẽ rất nhiều. Ngoài ra thì còn phải viết các đoạn mã tương tác với system như anh nói, đôi lúc sẽ viết bằng một đoạn mã assembler, vậy việc viết một chương trình bằng assembler ngay từ đầu :-/ có tốt hơn không ?. 

Ủa, đám VC++ đó anh TQN reverse hết rồi, còn gì nữa đâu :D BTW, code của bọn này như rác. Chắc mới học lập trình. Copy+Paste kiddies. 

Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao. Cái thằng giấu mặt là thằng này nè: 123.21.140.237  

chủ thuê bao vnpt của ip 123.21.140.237 là ngokiennam / megavnn1 ........................... MAC Address 00:23:cd:c8:95:50 lúc mình vào thì có 1 cái máy đang sài là wujianan-PC 192.168.1.100 00-24-1D-88-E4-79  

@cr4zyb0y Đây là dải ip động của VNPT khi nghi án reset modem thì ip này đã chuyển cho 1 khách hàng khác của VNPT. với hành vi của bạn sẽ bị qui vào tội truy cập trái phép thông tin khách hàng của VNPT, tự nhiên lòng tốt của bạn sẽ thành rắc rối cho bạn có thể là cho người khác, vui lòng không public những thông tin trên lên đây. 

2 mv1098: Cái VNPT và cái modem đó có tính năng tranfer, hiển thị IP qua thằng người Hoa ở chổ khác xa lắc xa lơ à. La vậy, em cũng đang dùng VNPT nè, nãy giờ nghe anh nói, em vào cái modem em, lục tới lục lui toàn ra IP mấy cái mấy trong nhà em không à. Sao lạ vậy, chả lẽ VNPT transfer IP của mình cho thằng nào khác lạ hoắc ở huyện #, tỉnh # thì nó alo cho mình à ? Hay là thằng cha wujianan cùng ngồi trong cái nhà đó, cùng dùng chung cái modem đó để ra Internet ??. Cậu xem lại cái hình đi: DHCP IP Pool nhé. Modem nó cấp IP trong cái LAN đó cho thằng tàu khựa wujianan rành rành ra đó. Cậu thừa biết vậy mà còn hù doạ em với bạn crazyboy nữa. Hu hu, em sợ quá !  

Câu trả lời là: dù có những nhược điểm rõ ràng về nhiều mặt, nhưng WAN dynamic IP lại có một ưu điểm tuyệt đối là giữ được bí mật cho người dủng, rất khó truy tìm dấu vết họ, vì moi người có thể có nhận định là: Không thể căn cứ vao đia chỉ IP động để bắt tội cho ai được, vì IP này có thể được gán cho bất kỳ ai trong pham vi dãy IP do một DSLAM quản lý.  

Mình thấy bàn luận public việc truy tìm mấy thằng ôn STL này không có lợi lắm. Bọn nó chỉ cần vào đây, xem chúng ta biết những gì và tìm cách ứng phó trước.  

PXMMRF wrote:

=> Không tuyệt đối đâu bác PXMMRF, tuy WAN IP được cấp động nhưng cấp cho thuê bao nào và thời điểm nào đều được ISP log hết. Vấn đề là ai có thẩm quyền để yêu cầu ISP cấp cái log này thôi ạ.  

To bác PX: em đồng ý với bạn hvthang ở chỗ màu vàng. Nếu có gì khác, mong bác góp ý và chia sẻ thêm.

5- Còn một điểm rất quan trong nữa là nếu thành viên STL áp dụng thường xuyên kết nôi "Bridge mode" cho modem, thì khả năng "mất " IP động cũ (123.21.140. 237) càng khó xảy ra. Vì với Bridge mode thì dòng dữ liệu (hay gọi là dòng packet cho nó... khó hiểu để doạ ai đó... hi hì) từ Internet vào sẽ không qua NAT của modem, có thể coi như bỏ qua modem và vào thẳng một router nối sau modem hay đến thẳng máy tính (computer). Lúc này WAN dynamic IP (123.21.140. 237) từ DSLAM sẽ đươc cấp, gán thẳng cho card mạng (NIC) của computer (chứ không phải cho modem, như khi áp dung PPPoE mode) và muốn truy cập Internet thì user phải đánh username và password do ISP cấp để truy câp ADSL ngay trên một cửa sổ máy tính, chứ không phải trên modem (Ngoài Win XP, để áp dụng Bridge mode, một sô HDH khác phải cài các phần mềm hỗ trợ).  

Bác PX, em đã từng nghĩ đến trường hợp họ (STL) gán thẳng (static) cái IP 123.21.140.237 cho card mạng luôn. Em nghĩ rằng nếu họ lỡ bị mất kết nối khoảng vài giây (mất nguồn modem chẳng hạn) thì xác suất để cho ISP cấp cái IP 123.21.140.237 cho khách hàng khác sẽ không cao. Vì thế, họ có thể giữ cái IP đó một thời gian dài. Vài lời chia sẻ, em đang chờ bài phân tích RFC 1483 của bác ;) Thân]]> /hvaonline/posts/list/39504.html#243500 /hvaonline/posts/list/39504.html#243500 GMT /hvaonline/posts/list/39504.html#243503 /hvaonline/posts/list/39504.html#243503 GMT

exception wrote:

Nói đi nói lại, thực ra STL là người của ai thì mọi người cũng lờ mờ đoán ra rồi. Nhưng chẳng lẽ một nhóm được đầu tư tiền bạc, thời gian như thế mà lại làm ra các sản phẩm "gà mờ" như thế sao (qua các bài phân tích của anh TQN)? Có lẽ tiền của người đầu tư rơi nhầm chỗ rồi thì phải :lolz Nhưng thôi, quay lại chủ đề kỹ thuật, anh TQN cho em xin ít mẫu xem nào. Sẵn tiện đang free không có gì phải làm đây.  

bác đoán là ai vậy, em thì chịu. còn chiện vung tiền, đầu tư nhìu mà sản phẩm gà mờ như bác nói thì ngoài đường thiếu gì, hay là bác hiện không ở VN :-?]]> /hvaonline/posts/list/39504.html#243505 /hvaonline/posts/list/39504.html#243505 GMT

hvthang wrote:

@bác PXMMRF: việc STL đổi modem để xoá dấu vết như bác lập luận có phần chưa thoả đáng. Em thì nghĩ đơn giản là WAN IP của STL đã là động thì giá trị 123.21.140.237 không còn ý nghĩa gì nữa sau khi họ reset modem. IP đó có thể vẫn "sống" nhưng nó đã được cấp cho một thuê bao khác và thuê bao đó dùng modem khác. Trong trường hợp vẫn IP đó và modem khác nhưng vẫn thực hiện các hành vi của STL thì mới có cơ sở để tạm thời kết luận là họ thay modem (em chưa tìm được chi tiết đó trong bài phân tích của anh TQN). 

Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó. Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe. Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address). Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng. Cũng cần phải lưu ý là tuy STL dùng IP động nhưng lai muốn giữ IP không thay đổi trong 1 thời gian dài để tiên liên hệ (để mạng botnet có thể gửi thông tin về IP này). Đó cũng có khía cạnh mâu thuẫn giữa cần bí mật và muốn có sự tiện lơi. Việc giữ IP động cho hệ thống của STL trong một thời gian đủ dài bằng cách nào thì tôi đã viết và bạn DLKC dưới đây đã bổ sung một cách khá thông minh rồi đấy. To DLKC: Vấn đề là cơ quan điều tra sẽ ít nghi hay không để ý đến các user dùng hay được cấp IP động (như là ít người nghi kẻ đi bộ sẽ có thể cướp tiệm vàng ấy). Còn đã nghi rồi thì tìm ra dễ thôi, như DLKC đã viết. ]]> /hvaonline/posts/list/39504.html#243511 /hvaonline/posts/list/39504.html#243511 GMT

PXMMRF wrote:

Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó. Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe. Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address). Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng.  

MAC cũng quan trọng nhưng đâu quan trọng bằng username và password của phiên kết nối đó bác PXMMRF. Đây mới là căn cứ có cơ sở để xác thực một đối tượng nhận được IP vào một thời điểm nào đó của ISP. Em nghĩ căn cứ này mới đủ mạnh. MAC hoàn toàn có thể đổi được nếu quay số từ máy tính (not modem), trước đây một số ISP fix MAC address với tài khoản (thay modem phải gọi điện mới vào mạng được) nhưng giờ họ không làm thế nữa. Trong hầu hết trường hợp, tài khoản thuê bao và đường line vật lý thì đã được ISP fix.]]> /hvaonline/posts/list/39504.html#243512 /hvaonline/posts/list/39504.html#243512 GMT

hvthang wrote:

PXMMRF wrote:

Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó. Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe. Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address). Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng.  

MAC cũng quan trọng nhưng đâu quan trọng bằng username và password của phiên kết nối đó bác PXMMRF. Đây mới là căn cứ có cơ sở để xác thực một đối tượng nhận được IP vào một thời điểm nào đó của ISP. Em nghĩ căn cứ này mới đủ mạnh. MAC hoàn toàn có thể đổi được nếu quay số từ máy tính (not modem), trước đây một số ISP fix MAC address với tài khoản (thay modem phải gọi điện mới vào mạng được) nhưng giờ họ không làm thế nữa. Trong hầu hết trường hợp, tài khoản thuê bao và đường line vật lý thì đã được ISP fix. 

Tất nhiên là nếu ISP mà điều tra một user thuê bao của mình thì làm sao user thoát được (thí dụ điều tra về việc trốn trả tiền thuê bao chẳng hạn). Nhưng ở đây đang nói về điều tra chuyện khác cơ, chuyện phát tán virus và trojạn chẳng hạn. Khi đó thì các website khảo sát mạng online chỉ có thể xác định được IP của black-hat hacker và cao cấp hơn là MAC address của thiết bị nó đang dùng thôi chứ. Làm sao họ biết đươc username và password vào ADSL của hắn ta, mà thưc sự cũng không cần biết. Ngoài ra nếu một ISP muốn điều tra-kết tội một user vì chuyện phát tán virus, trojan, spam (dù rất ít khi ISP làm việc này trong thưc tế) thì cũng phải bắt được tang chứng, vật chứng chứ (modem+server chứa đầy virus+ danh sách nạn nhân thông kê trong server....). Không thì đâu có chứng cớ buộc tội. Xác định đúng thủ phạm là việc khó, nhưng lấy được bằng chứng để có thể kết tội họ về các hành động xấu trên mạng thưc ra khó hơn nhiều Ngoài ra ở nước ngoài các ISP cho phép user đổi password và username vào ADSL. Còn ở ta thì không quản được, nên cấm luôn. Hì hì ]]> /hvaonline/posts/list/39504.html#243516 /hvaonline/posts/list/39504.html#243516 GMT /hvaonline/posts/list/39504.html#243518 /hvaonline/posts/list/39504.html#243518 GMT còn chiện vung tiền, đầu tư nhìu mà sản phẩm gà mờ như bác nói thì ngoài đường thiếu gì, hay là bác hiện không ở VN 

Nói đi nói lại, thực ra STL là người của ai thì mọi người cũng lờ mờ đoán ra rồi. Nhưng chẳng lẽ một nhóm được đầu tư tiền bạc, thời gian như thế mà lại làm ra các sản phẩm "gà mờ" như thế sao (qua các bài phân tích của anh TQN)? Có lẽ tiền của người đầu tư rơi nhầm chỗ rồi thì phải :lolz Nhưng thôi, quay lại chủ đề kỹ thuật, anh TQN cho em xin ít mẫu xem nào. Sẵn tiện đang free không có gì phải làm đây.  

2 micros3ll: Về trình độ code VC++, API, các thành viên của STL phải nói là rất khá, khá hơn rất nhiều VN newbie virus coder. Nhưng so với virus các virus nổi tiếng của Nga, code của con Stuxnet, TDL3/4 rootkit... thì các coder STL còn xa mới theo kịp. Bà con nào down CMC về test thử với đống malwares tui đã úp ở mediafire. Tui thật tình chưa biết mặt mũi CMC ra sao cả. Các bạn có để ý kỹ, đọc kỹ 3 bức hình và bài post của anh conmale không ? Tài khoản Yahoo Mail của xuann28@yahoo.com có liên quan tới một thằng cha bên tàu, đuôi .cn. Chủ nhân xuann28@yahoo.com và xuan28@yahoo.com.vn là một, và email tạo thằng xuan28@yahoo.com.vn là từ một thằng tàu khựa. Địa chỉ xuann28@yahoo.com (các bạn chú ý, xuann , có 2 chữ n nhé) nằm chình ình trong file Exe giả doc sau khi được decode. Và người decode nó là cao thủ giấu mặt và làm giỏi, nhanh hơn thằng già như tui. Cảm ơn bạn trẻ nhé, tuổi trẻ tài cao, cố lên nữa nhé ! 2 Nguyễn Văn Tú: cậu có hỏi tại sao tui nghi ngờ cậu là thành viên STL không ? Cậu hảy trả lời câu hỏi của tui: làm sao cậu biết được Yahoo mail của tui. Tui rất, rất hiếm cho ai là người lạ, không quen biết, chưa từng gặp mặt mail Yahoo của tui, và tui rất hiếm khi chát với ai. Yahoo mail của TQN tui lộ ra hai lần: 1. Lần HVA bị STL lấy được danh sách thành viên và post lên trang sinh tử phập phù. 2. Lần tui bị dính malware của STL, các cậu login vào HVA = account của tui và post Yahoo mail của tui lên. Cậu nói, cậu theo dõi topic RCE của tui, trong đó tui đã cố tình trương chình ình cái mail google của tui lên, nếu cậu không biết gì về tui, thì tại sao cậu không gỡi cho tui theo cái Gmail đấy, mà lại gởi tới cái Yahoo Mail ! 

Càng lạc vô "mê hồn trận" của STL càng thấy khủng :-) Lụm được mấy tấm hình thấy cũng lý thú nên thảy lên cho bà con coi chơi:

(email account và password embedded trong trojan "tha tu do cu huy ha vu")

(Người xài hàng tàu ".cn" hay người tàu xài hàng tàu đây?)

(câu hỏi bí mật đúng là bí mật "bà cô mà em ưa thích là ai"). 

Anh conmale ơi hình như cái của anh khác với cái của em check được đây là thông tin forgot password của 2 cái email trên

 

@ mv1098: mv1098 thì check hộp mail ngnamhungntt@gmail.com. Còn hình của anh conmale là của hộp mail xuan28@yahoo.com.vn Và hộp mail xuann28 còn sống thì có thể là do ai đó đọc topic này đã nhanh chân chiếm hộp mail đó với pass 123456*7(). Tới giờ tui cũng không vào hộp mail đó với pass đó được. Gởi mấy bạn STL link này, đọc chơi cho vui trong khi theo dõi topic này: http://toiphammaytinh.blogspot.com/2011/03/quy-dinh-toi-pham-may-tinh-trong-bo.html Nhưng còn cái tội bán nước, làm tay sai cho ngoại bang thì tội đó nặng lắm nhé, tử hình còn chưa xong đâu, còn thanh danh cha mẹ, bà con, dòng họ nữa. Ê, nhà ông/bà đó có con/cháu xxx bán nước cho xxx đấy ! 

http://www.xmind.net/share/nartcogn/planning-study/

http://webcache.googleusercontent.com/search?q=cache:8L8rMPmAehAJ:wuyuzhen.wordpress.com/2009/11/27/%E2%80%9Cm%E1%BB%95-x%E1%BA%BB%E2%80%9D-v%E1%BA%A5n-d%E1%BB%81-bi%E1%BB%83n-dong/+nartcogn&cd=28&hl=vi&ct=clnk&gl=vn&source=www.google.com.vn

/hvaonline/posts/list/0/39504.html#243006 

Tới bây giờ, với tên tuổi, name, email address, IP của các thành viên STL mà Công An chúng ta không chụp tụi nó, còn chờ đợi thì thiệt là lạ ?????????????????????????????????????????????????????????????????? 

Em hỏi vậy thì anh cũng "ngọng" luôn. Nếu CA không bắt tụi nó vì lý do nào đó thì em chịu, và cũng phải tạm dừng cái chuyện RCE này luôn ;) 

Rất cám ơn HVA và "hiệp sỹ" TQN. Nếu bạn có thể post lên đây bản Unikey sạch cho mọi người tải về thì hay quá. 

.rdata:00426230     szError0xxreadingInitSecurityInterfaceentrypoint:
.rdata:00426230                                             ; DATA XREF: LoadSecurityLibrary+11Ao
.rdata:00426230             unicode 0, <Error 0x%x reading InitSecurityInterface entry point!>,0

125 if(pInitSecurityInterface == NULL) 126 { 127 message("Error 0x%x reading InitSecurityInterface entry point.\n", 128 GetLastError()); 129 return FALSE; 130 }  

PS: Công nhận ông nội Wu Yu Zheng gì đó nhanh tay thật, chỉ một đêm một ngày đã vắt chân lên cổ đi xoá hết thông tin về mình rồi ;) 

Đụng tới thằng Wu Yu Zhen, tụi nó lo sốt vó, sợ lộ tới nơi nên DDOS giằng mặt đấy mà ! To ngnamhungntt@gmail.com : Bán camera an ninh thì lo bán đi nha ông nội, đừng dính dáng vào mấy chuyện chính trị nha ! Bữa nào em ghé vào công ty anh mua vài cái camera nhé, bán giá gốc nhé ! 

cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64= oNIx2zknAa67WFSorZQv/Q== slIbnSGRCPPsJeFM/jPcYQ== 90/u7E7RZcQ=  

cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64= oNIx2zknAa67WFSorZQv/Q== smtp.gmail.com 587 False 1TtkPA9wSPz7EXzOGfb+0A== Az93AnVF5+c= Az93AnVF5+c=  

using System;
using System.Collections.Generic;
using System.Text;
using System.IO;
using System.Security.Cryptography;

namespace Decode
{
    public class cTripleDES
    {
        private byte[] m_key;
        private byte[] m_iv;
        private TripleDESCryptoServiceProvider m_des = new TripleDESCryptoServiceProvider();
        private UTF8Encoding m_utf8 = new UTF8Encoding();

        public cTripleDES(byte[] key, byte[] iv)
        {
            this.m_key = key;
            this.m_iv = iv;
        }

        public string Decrypt(string text)
        {
            string str = null;
            byte[] buffer = null;
            byte[] bytes = null;
            try
            {
                buffer = Convert.FromBase64String(text);
                bytes = this.Transform(buffer, this.m_des.CreateDecryptor(this.m_key, this.m_iv));
                str = this.m_utf8.GetString(bytes);
            }
            catch (Exception ex)
            {
                Console.WriteLine(ex.Message);
            }
            return str;
        }

        public byte[] Transform(byte[] input, ICryptoTransform cryptoTransform)
        {
            CryptoStream stream = null;
            MemoryStream stream2 = null;
            byte[] buffer = null;
            stream2 = new MemoryStream();
            stream = new CryptoStream(stream2, cryptoTransform, CryptoStreamMode.Write);
            stream.Write(input, 0, input.Length);
            stream.FlushFinalBlock();
            stream2.Position = 0L;
            buffer = new byte[((int)(stream2.Length - 1L)) + 1];
            stream2.Read(buffer, 0, buffer.Length);
            stream2.Close();
            stream.Close();
            return buffer;
        }
    }

    class Program
    {
        static void Main(string[] args)
        {
            byte[] key = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 0x10,
                                      0x11, 0x12, 0x13, 20, 0x15, 0x16, 0x17, 0x18 };
            byte[] iv = new byte[] { 0xff, 70, 60, 50, 40, 30, 20, 10 };
            cTripleDES tripleDES = new cTripleDES(key, iv);
            string str = tripleDES.Decrypt(args[0]);
            Console.WriteLine("String decoded: " + str);
            Console.ReadLine();
        }
    }
}

Hì hì, anh em STL theo dõi topic này kỹ vậy à, cái http://speed.cyline.org - port 443 đành phải hy sinh nó à, uổng vậy. Mấy anh giàu thiệt nha, thuê host tuốt bên Pháp luôn à. Chắc thấy cái URL có Computer Name: ThangChaMayTuiSTL và UserName: OngNoiMayNe nên lo đóng host rồi phải không ? Có anh em cao thủ giấu mặt PM cho em nói em nên im lặng, âm thầm theo dõi để cái host này cập nhật malware rồi trace tiếp. Nhưng em lại không đồng ý. Với số lượng lớn computer bị nhiểm fake Unikey như vầy thì chỉ trong vòng 1h, "mèo què" của STL lan tràn vài triệu máy (SleepEx của mấy anh STL đấy), em thì lo việc ngoài suốt, đâu rãnh rỗi mà ngồi track xem cái BlueSphere.bmp dùng steganography cập nhật "mèo què" mới được ?!. Thông cảm cho em, chặn từ đầu luôn, dập luôn cái kỹ thuật phát tán "mèo què" mới nguỵ trang file bmp này, dùng bmp đánh lừa bà con, trong đấy lại nhúng URL và nhúng Exe. Rảnh rỗi thì em sẽ post phân tích về kỹ thuật steganography mà tụi STL này đang dùng. Bà con đợi xem nhé. Em có một bài tập cho anh em RCE đây: trong file FakeUnikey.rar mà em đã post ở Mediafire, có 2 file .bmp: flower.bmp và BlueSphere.bmp. Bà con hảy phân tích tụi STL dùng kỹ thuật steganography gì để extract URL và Exe nhúng trong hai file .bmp đó ? Gợi ý: 2 file bmp đó định dạng gì, row, col ra sao, thuật toán extract data em đã sơ bộ mô tả trong file uxtheme.idb ! 2 file bmp đó được download từ http://speed.cyline.org:443/xxx của tụi STL. Thằng "Wu Yu Zheng" này thì chắc chắn là du học sinh của tàu khựa rồi, thằng tohoangvu thì để chình ình lên Facebook là từng học ở US về. Vậy có phải đám này là "du côn học sinh" không ? Ông nội nào có tiền thuê đám này thì giàu thiệt ha, lương mấy thằng này phải cỡ ngàn USD trở lên. Đã vậy, thằng nào em không biết, 30/04, ngày nghỉ lễ, vậy mà vẫn ở nhà lọ mọ build "mèo què" ? Bó 3 chân.com luôn ! 

Hì hì, người bạn của em lại vừa gởi cho em một mẫu mới nữa của đám STL này. Mạo danh là file .doc. Viết = VC++ 2010. Anh em đợi em vài ngày. Em sẽ post kết quả "rờ c... em" lên. File này hơi bị mới, build vào ngày 12-05-2011, 10h sáng. Đính kèm trong ruột (resource) của nó một đống "méo què" nữa. Ai chà chà, dùng crypto Bas64, SHA-256 để mã hoá à, lần này lại nhắm vào IE nữa à. Chơi toàn interface của IE không ha ? Tiêu mấy anh STL nữa rồi. Ặc ặc, lần này code lên tay quá rồi ha, chơi dùng SSL nữa ha: Code:

Vftable  Method count Class & structure info          
-------  ------------ ----------------------          
00436AEC 0001         CKllPrss;  [SI]                 
004374F8 0008         CSHA256: CHash;  [SI]           
00437900 0001         TBuffer;  [SI]                  
004380F8 0002         CSSLFtp: CSSLSocket;  [SI]      
004381A4 0002         CSSLHttp: CSSLSocket;  [SI]     
0043844C 0002         CSSLMail: CSSLSocket;  [SI]     
00438DB4 0002         CSSLSocket;  [SI]               
004394B4 0001         CVcRcdXP;  [SI]

Copy code của CSSLSocket trên CodeProject phải không, mấy đại ca STL. Không lý mấy cậu có hẳn 1 team được tài trợ để ngồi code "méo què" à ? CKillProcess thì chịu khó viết đầy đủ ra, coding standard đâu, đặt tên CKllPrss thì đố thằng nào hiểu. Còn CVcRcdXP là gì nữa đây ? Bày đặt còn call native API của Ntdll.dll để antidebug nữa à. Mấy cái trò này mấy cậu học trong mấy cái article AntiRE, antiunpacking tricks phải không ? Lần này khá hơn, xài rootkit nữa ha. Vậy là em phải install lại Win cho máy ảo VB của em để remote debug rồi. Nhưng công nhận mấy anh code VC++ khá lắm đấy ! Nhưng chưa đủ để em đọc không hiểu đâu, vì em code System từ còn thời Win31 lận, thời mấy anh còn ở truồng tắm mưa mà ;) Mấy cái hàm này em RCE quen quá rồi, nhìn quen mặt luôn. Code của mấy anh là cái chắc, 100%. Sẵn đây em nói luôn, đã build code ở mode Unicode thì Unicode 100% nhé, đừng lẫn lộn code, call API, C RTL functions cho ANSI, MBCS, UNICODE lung tung như vậy nhé. Mấy anh tìm document về TCHAR mà đọc đi nhé. Hay bữa nào gặp em, em seminar về TCHAR cho. Code vầy là không được đâu ! Lần này em nói trước nhé, mấy anh lo change pass và bảo vệ cái hộp mail và FTP account mà mấy anh đang dùng trong con này đi. Lần này em phá thẳng tay đấy ! Nói một lời thôi. Gmail có bug nên mấy anh login vào được và xoá hết victim's data à ! Lần này em sẽ không share pass nữa đâu nhé ! Vừa chat với Thoai, nghe câu của Thoại: "Thấy mình anh chinh chiến...", em thấy buồn thiệt, một mình em độc diễn, đơn độc. Anh em BKAV, CMC, các anh em RCE khác đâu hết rồi, vào giúp em với chứ ! 

share tools hả, ok :) AE thử hàng này xem, chắc là cũ rồi: Immunity Debugger (powerful new way to write exploits) giới thiệu trên bt forum: http://www.backtrack-linux.org/forums/tool-requests/34040-immunity-debugger-powerful-new-way-write-exploits-windows-wine.html down, và giới thiệu: http://www.softpedia.com/get/Programming/Debuggers-Decompilers-Dissasemblers/Immunity-Debugger.shtml K0 biết bà con quen mặt tools này k0 nữa :( 

Không biết các bác nghĩ sao, chứ em bây giờ cũng bị lạc vào mê hồn trận của STL rồi. Theo thông tin em có thì em nghĩ là có tới 2 team, cùng đội lốt STL, cùng đánh phá các trang, blog chống đối chính quyền, nhưng lại cùng quay ra chơi nhau. Tui nói vậy phải không Nguyễn Văn Tú: nguyen.v.tu1987@gmail.com. Chính cậu gởi tui hai file giả danh Screen Saver và Exe giả Doc. Mấy ngày nay tui mail vài mail hỏi cậu làm sao có mail Yahoo của tui, hỏi cậu vài câu cần xác thực, cậu lại im lặng, không trả lời. Cậu là STL đích thực phải không, muốn vu oan giá hoạ cho thành viên bên team kia phải không ? 2 exception và các thành viên khác: Toàn bộ malware của STL (?) tui đã post link lên, các bạn đọc không kỹ thôi. Tui up ở thư mục này của mediafire: http://www.mediafire.com/?tz745o0f678w8 Và có bạn từ bên CMC sau khi gởi toàn bộ mẫu virus đó cho CMC đã PM thông báo cho tui CMC đã cập nhật và diệt được đám "mèo què" đó. Chân thành cảm ơn CMC và bạn.