banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 13:57:50 (+0700) | #451 | 245187
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
@Anh PXMMRF: Bot của STL sử dụng các browser có sẵn trên máy để DDOS hở a ?

Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. 

Theo em nghĩ, crawl cũng chỉ là 1 quá trình duyệt 1 website, parse nội dung HTML của trang đó, và lấy hết những href link trong trang, rồi tiếp tục request đến các href link đó thôi mà ?

@texudo: Hình như việc thay đổi User-Agent không liên quan đến việc server tạo ra thread khác đâu bạn.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 14:08:06 (+0700) | #452 | 245189
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

texudo wrote:
Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. " 


Theo em hiểu thì mục đích thay đổi User Agents là để Server host website tạo một thread mới.
Vì với một user khi dùng một browser để request tới Server thì họ sẽ chỉ có một User Agent duy nhất mà thôi. Việc STL thay đổi nhiều User Agents mục đích là để làm "LỤT" Server với quá nhiều thread được sinh ra....Không biết em hiểu có đúng không?


Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn.  


-> Ý em là crawler khi craw vào một page nào đó, nó sẽ dectect luôn các INTERNAL Urls của site đó và tiếp tục crawl vào các INTERNAL Urls. Còn việc thay đổi User Agents thì chắc là sẽ tạo thêm hiểu quả rồi.

 


Thật ra, mục đích thay đổi User-Agent (bằng cách sử dụng hàng loạt các User-Agent thông thường) là để qua mặt những hệ thống cản lọc nhằm mục đích tạo càng nhiều requests vào hệ thống của nạn nhân càng tốt. Càng nhiều requests thì càng nhiều process (hoặc threads, tuỳ mô hình) và càng tạo load, càng hao tổn tài nguyên. Nếu hệ thống không đủ tài nguyên để đáp ứng thì nó chết. DDoS thành công.

Về chuyện crawl thì nó tạo tác hại hơn là đấm vô 1 URL nhất định rồi. Bởi vì nếu đấm vô 1 URL liên tục thì dễ bị nhận ra là "đồ phá hoại" và bị block bằng cách này hoặc cách khác nhưng nếu access nhiều URL (xuyên qua crawling) thì khó bị hệ thống bảo vệ phát hiện hơn. Kèm theo sự thay đổi của User-Agent, nó càng làm cho việc phát hiện khó khăn hơn. Tuy nhiên, cái gì cũng có hai mặt của nó. Protocol đưa ra lúc nào cũng có giới hạn, điểm mạnh và điểm yếu. Những hành động thật sự do con người tạo ra luôn luôn có những đặc thù mà không có bot nào có thể tạo ra được. May là quy luật tự nhiên có những thứ khiến cho cái ác và cái tà không thể đi đến chỗ cùng cực được.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 14:44:12 (+0700) | #453 | 245191
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Như chúng ta đã thấy qua quá trình RCE của anh TQN, STL có khá nhiều webserver,, trên 10 webserver, chuyên dùng làm master-webserver,, chỉ huy và điều khiển các cuộc tân công DDoS vào các trang mang VN. Nạn nhân mới đây chính là HVA. Nạn nhân mới nhất là Vietnamnet.net. Hôm nay trên báo SGGP, Vietnamnet đã xác nhân thông tin website này bị DDoS. Việc bị DDoS đã làm cho website này luôn bị quá tải. Việc truy cập đến các trang của website khá chậm, đăc biệt là các trang đăng tải các hình ảnh.

Tuy có nhiều master webserver như vây, nhưng thưc tế gần đây STL chỉ sử dung thường xuyên một số master website-webserver. Chúng là:

- second.dinest.net
- map.priper.info
- speed.cyline.org
- net.iadze.com
- một, hai website-webserver khác

STL thường chuyển nhiệm vụ thường trực chỉ huy điều khiển mang bot (in-charge) từ webserver này sang webserver khác, nhằm làm chúng ta bối rối trong việc theo dõi. Ngoài ra chúng còn thay đổi cổng truy cập, thí dụ từ 80 TCP sang 8080 TCP hoăc sang 443 TCP HTTPS.... Gần đây STL cũng đã dời webserver second.dinest.net từ một địa chỉ IP tĩnh cũ sang một đia chỉ IP tĩnh mới, để đánh lạc hướng người theo dõi.

Các webserver nói trên hầu hết hay tất cả chỉ hosting (đặt) một website duy nhất làm nhiệm vụ master webserver cho mang bot. Các webserver nói trên đa phần là các dedicated server (server thuê riêng), chỉ một hai cái có thể là virtual server ( Hai hay vài virtural server cùng trên một máy chủ).

Để theo dõi, điều chỉnh, bảo dưỡng, giải quyết các trục trăc về KT và hành chính từ xa (remote management) tất cà các master webserver nói trên thường xuyên, hàng giờ thì chắc chắn STL phải cần ít nhất là từ 3-4 người có trình độ KT khá và tương đối thông thao ngoai ngữ (English). Thông thao đươc hiểu là trao đổi đươc qua phone, khi khẩn cấp và qua email. Chứ không phải là người có trình độ tiêng Anh ngớ ngẩn như một thành viên non nớt của STL viết một câu tiếng Anh dớ dẩn như vừa qua.
Ai đã từng đặt một webserver ở nước ngoài đều biết rõ và trải nghiệm điều này.
Chi phí thuê nhiều webserver đặt ở nước ngoài như STL đang làm, không hề nhỏ chút nào. Ai đã thuê dedicated server nước ngoài cũng biết rõ điều này. Các chi phí phụ, cần cho webserver hoạt động ổn định thường lai khá cao.

Để làm được rất nhiều việc như ta đã thấy hiện nay (không chỉ theo dõi quản lý các webserver, mà còn nhiều việc khác, như viết, sưu tầm các mã virus, trojan, tổ chưc và thưc hiện việc gây nhiễm hàng trăm ngàn máy zombies ở VN và nước ngoài với virus tạo ra, theo dõi hiệu quả của quá trình....) STL cần nhiều nhân lực. STL cũng còn phải có một nhóm chuyên đọc, theo dõi nôi dung và các bài viết trên rất nhiều website, blog trên mạng, để quyết định hay xin chỉ thị cấp trên là đánh (DDoS hay khui thông tin cá nhân nói xấu người chủ trì trang mạng) ai? Đánh như thế nào (đánh cảnh cáo- có thể như với vietnamnet.net, hay đánh cho sụp hẳn -như với HVA)? Đánh thật hay đánh giả? (Đánh giả để che giấu mục đích thật, sâu xa của STL)..... Các bạn thử đoán xem cần bao nhiêu người để làm cho đạt yêu cầu (của cấp trên) việc này?.

Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khôi lương công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ.

Tôi nghĩ rằng STL là một tổ chức khá chặt chẽ, với biên chế hàng chục người, có thể lên đến 40-50 người, kể cả cấp trên trực tiếp. Tất nhiên STL gồm nhiều thành phần trong đó có vài bạn nhỏ VN biết ít nhiều về virus, nhưng dại dột trong cuộc sống. Nhưng cũng có những những người có trình độ khá, hay rất khá về virus, IT hoặc có những ý tưởng độc đáo, thông minh. Vì vậy không nên đánh giá STL quá thấp, như một số bạn đã viết. Cũng không nên đánh giá quá cao, để sợ.

Quay trở lai các master webser-website của STL, tôi upload lên đây một số hình ảnh. Qua đó các bạn sẽ biết nhiều thông tin về chúng, trong đó có các vị trí đia lý đặt các webserver này


















The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 15:24:38 (+0700) | #454 | 245193
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cơ chế hoạt động, kỷ thuật DDOS mà AcrobatUpdarer.exe và SbieMgm.dll dùng thì tui xin mạn phép post sau (khi nào tui nổi hứng hay siêng smilie ), giờ tiếp tục quay lại mấy cái stegoxxx bmp giấu PE files đã. Kỹ thuật che giấu, nhúng PE files của STL có tới 3 kỹ thuật mà tui biết tới bây giờ, nói chung là lạ và hay: giấu trong BMP file mà ta đang tìm hiểu, giấu trong Resource và zip luôn file PE đó và nhúng trực tiếp vào .data section của EXE.

Kỹ thuật extract PE files từ file BMP hơi dài dòng, các bạn có thể hỏi riêng hay PM cho tui, code để extract thì các bạn tham khảo trong DecodeBmp.cpp mà tui đã up lên mediafire, file DecodeSTLVirus.

Bà con làm theo được không ? Có gì "théc mét", góp ý, chê bai gì cứ post lên nhé, cứ "phang" em thẳng tay, không sao cả. Em biết post hình mệt nhưng có hình cho nó sống động, dể đọc, dể theo dõi hơn, phải không anh em !

Mở file plxzyin0fx.bin trong 010 Editor, chúng ta thấy ngay thằng này là PE file. Set size = size đã nêu trong flower.bin:


Kiểm tra với PEiD, LordPE, PE Explorer:







File EXE mà mấy anh stl coder build với reloc mode làm chi cho nó bự ra vậy mấy anh stl, không biết .reloc section là gì à ?

Theo hình trên, bà con thấy đó, plxzyin0fx.bin là file .exe, có overlay data với size là 0x33824, position = 0x13200. Mở plxzyin0fx.bin với 010 Editor tiếp, xem cái overlay data đó là gì:



Các bạn chú ý cái hex string và dòng text giả danh NullsoftInst đó nhé. Đây chính là điểm bắt đầu cho việc xác định và extract các PE files được nhúng trong plxzyin0fx.bin này. Và 0x13200 chính là điểm bắt đầu của Overlay data.

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 15:50:23 (+0700) | #455 | 245196
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Hôm nay em qua nhà thằng cháu vào 1 website bên lề trái thấy bị thông báo như sau




Có phải máy tính của thằng ku cháu nhà em đã bị nhiễm Malware của STL hay không ?

E reset lại modem thì vào lại bình thường có lẽ google ghi nhận cái địa chỉ ip của thằng ku cháu trong cache nên mới có thông báo như vậy.

Em quên mất lỡ tay ghost lại máy tính cho nó.. em sẽ theo dõi thêm tình hình
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 16:07:31 (+0700) | #456 | 245197
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tiếp tục, chúng ta sẽ xác định xem code nào của stl làm nhiệm vụ extract cái overlay data này:
Bình thường, khi IDA, tui đi từ hàm địa chỉ cao tới địa chỉ thấp, nhưng file plxzyin0fx.bin này nhỏ, hàm stl viết chỉ có mấy hàm, nên tui nhảy ngay vào hàm đầu tiên: 0x00401000, bắt đầu của code section .text. Và chính hàm này là hàm tìm chuỗi NullsoftInst để xác định nơi bắt đầu extract PE file.




Các bạn thấy đấy, stl coder đã cố che dấu chuỗi NullsoftInst trong code bằng cách chèn từng byte 0x5F vào giữa từng byte trong chuỗi hex EF BE AD DE 4E 75 6C 6C 73 6F 66 74 49 6E 73 74 20 27 02 00. Trong hàm Find_Embedded_PE_Pos, biến đếm j sẽ += 2 thay vì += 1 để skip các byte 0x5F này.
Hàm Decode từng embedded PE file rất đơn giản, chỉ là:



Tóm lại, ta đã có thể viết 010 Editor script để tự động extract và decode các embedded PE files trong plxzyin0fx.bin. Script đó tui vừ post lên. Chỉ cần mở file plxzyin0fx.bin trong 010 Editor, kéo script đó vào 010 Edtior, swich lại tab plxzyin0fx.bin, run script thì ta sẽ có 3 file File1.bin, File2.bin và File3.bin.

Các bạn thử IDA hay OllyDbg plxzyin0fx.bin, các bạn sẽ thấy File1.bin chính là TeamViewer_Desktop.exe, File2.bin là themeui.manifest, File3.bin không được extract ra và là file rỗng. Thật ra themeui.manifest và uxtheme.manifest cùng là 1, cùng chỉ có 1 code duy nhất, nhưng build ra khi thì scrun.dll, khi thì ClientDll.dll (stl coder rename thôi), chỉ export ra 1 hàm GetThemeUI duy nhất. TeamViewer_xxx.exe sẽ LoadLibrary uxtheme.manifest hay themeui.manifest rồi GetProcAddress, call hàm export GetThemeUI này.





Có gì thắc mắc, trao đổi, chê bai, các anh em cứ mạnh dạn post lên nhé ! Các anh stl cũng vậy, em RCE vậy được chưa mấy anh smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 16:50:40 (+0700) | #457 | 245200
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

lequi wrote:
@Anh PXMMRF: Bot của STL sử dụng các browser có sẵn trên máy để DDOS hở a ?

Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. 

Theo em nghĩ, crawl cũng chỉ là 1 quá trình duyệt 1 website, parse nội dung HTML của trang đó, và lấy hết những href link trong trang, rồi tiếp tục request đến các href link đó thôi mà ?

@texudo: Hình như việc thay đổi User-Agent không liên quan đến việc server tạo ra thread khác đâu bạn. 


Đúng như vậy, hay chính xác là tôi nghĩ như vậy. Các scenarios DDoS trước đây và ngay cả trong trường hơp Flash DDoS (hay còn gọi là X-Flash DDoS) vào HVA các năm trước đây, đều thông qua trình duyệt. Sự sử dụng các User Agent string trong các header của các gói tin DDoS vào mục tiêu và nhắm vào cổng HTTP 80 TCP là chứng cớ điển hình của quá trình DDoS thông qua trình duyệt Web. Khi đó trình duyệt sẽ liên tục kết nối với cổng 80 của webserver, đông thời mở rất nhiều thread (trên may client) khi kết nối

Quá trình crawling trên một URL mục tiêu thì đúng như bạn nói. Chỉ có điều quá trình crawling không thưc hiện bằng manual (user click vao các link hiện diện trên URL) mà là tự động, khi check bảo mật một webserver hay khi DDoS với tốc độ chậm, châm mà sâu mà dễ gây quá tải (như anh conmale đã từng nói)

Khi crawling tự đông thì máy của user cũng chiu tải năng và đăc biệt webserver cũng chịu tải rất nặng nên dễ crash. Vì sao? Vì trình duyệt của user phải mở liên tiếp nhiều URL khác nhau cùng một lúc. Còn webserver phai liên tục trong cùng một lúc chuyển nhiều URL lên cho trình quản lý web (Apache) để cho "hiện" ra tại máy user.. Việc đó làm tốn rất nhiều năng lưc (tài nguyên) của hệ thống trong một thời gian ngắn, hệ thống rất dễ quá tải hay buffer overflow.
Cần phân biệt giữa file (hay process) download các file malicious image để update STL virus, như file Acrobatupdater.exe và file sẽ kich hoạt trình duyệt DDoS vào HVA. Khi RCE anh TQN cũng chưa nói rõ về file kích hoạt này.

Còn trên máy thí nghiệm của tôi, như tôi đã nói, Acrobatupdater.exe không thể nào kết nối được với một master webserver nào của STL. Vì vậy tôi chưa có thông tin thưc tế về một process nào đó chịu trach nhiệm về việc kích hoạt trình duyệt DDoS vào HVA ((hoăc giả nó tự kết nối -DDoS vào HVA mà không thông qua trình duyệt). Mấy hôm nay con Acrobatupdater.exe lai chẳng chịu "active" nữa. Hì hì. Hôm trước có lúc Acrobatupdater.exe mở đến 50-60 thread kết nối với master.

Đúng như em đã nói, User Agent string không có liên hệ gì với việc trình duyệt mở thread kết nối hay mở bao nhiêu thread.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 19:25:14 (+0700) | #458 | 245204
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Sùng gan ông nội http://www.imageshack.us/ này quá, phải register và login vào mới xem được hình. Bà con có trang web nào upload hình mạnh, nhanh, lớn không, share cho em để em port hết mấy hình này qua !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 19:38:34 (+0700) | #459 | 245205
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]

TQN wrote:
Sùng gan ông nội http://www.imageshack.us/ này quá, phải register và login vào mới xem được hình. Bà con có trang web nào upload hình mạnh, nhanh, lớn không, share cho em để em port hết mấy hình này qua ! 

Anh thử mấy cái hàng nội như http://uploadanh.com, http://up.anhso.net xem, không thì chơi photobucket tạm smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 19:48:22 (+0700) | #460 | 245206
ngo_nuong
Member

[Minus]    0    [Plus]
Joined: 19/03/2007 05:52:26
Messages: 3
Offline
[Profile] [PM]
Anh dùng tài khoản google và upload lên picasa cũng đc Có cái này upload và dùng khá tiện nhưng có cái là tiếng Đức smilie www.abload.de

Dịch qua google cũng ổn: http://translate.google.de/translate?hl=de&langpair=de|en&u=http://www.abload.de/
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 20:30:05 (+0700) | #461 | 245210
[Avatar]
McSteven
Member

[Minus]    0    [Plus]
Joined: 12/10/2010 08:12:13
Messages: 15
Offline
[Profile] [PM]
Em theo dõi Topic này lấu rồi! Em mong mọi người vạc trần bọn stl đó chứ để chúng làm những việc thật là bỉ ổi như vậy được!
Và còn 1 câu để nói : Bọn STL là ai mà ai cũng biết mà không ai dám nói !
Profanity is the one language that all programmers understand.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 20:47:43 (+0700) | #462 | 245211
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bà con có xem được hình không ? Cái picasa đó em up hình lên rồi, làm sao lấy link trực tiếp vậy ha ?
2 McSteven: cậu hỏi xong thì tự trả lời được rồi đấy, ở nơi khác thì em dám nói, còn ở đây thì em không dám nói, mắc công lại mang tội "vu cáo, nói xấu xxx" gì đó nữa !? smilie
Cậu cứ đọc cho kỹ bài post ở trên của anh PXMMRF thì sẽ hiểu stl là của ai, do ai nuôi !

Tội nghiệp mấy anh stl quá ha, em cũng mệt mà mấy anh cũng mệt. Hồi chiều post mấy bài RE mấy con bmp của mấy anh, mấy anh đọc xong lật đật chạy vắt chân lên, config cho map.priper.info hoạt động lại ha smilie

Bà con ơi, theo hướng dẫn của em ở trên, bà con nhanh tay download http://map.priper.info:8080/flower.bmp về, DecodeBmp.exe flower.bmp flower.bin ra, lấy link mới: http://map.priper.info:8080/fytqn613.bmp.
Tiếp tục down http://map.priper.info:8080/fytqn613.bmp về, nhớ size = 0x06D200.
DecodeBmp.exe fytqn613.bmp fytqn613.bin. fytqn613.bin cũng là file EXE. Nhưng cái EXE này không dùng kỹ thuật NullsoftInst string, overlay data để extract trong bụng nó ra SbieSvc.exe và SbieMgm.dll, mà nó dùng kỹ thuật gzip để nhúng PE, nên cái script DecodeBin.1sc của em sẽ không tìm ra ! Nhưng không sao, cái UIMemoryDump IDC script của em sẽ dump 2 ông nội zip này xuống disk và bà con unzip ra là xong, lòi ra cái file .exe và .dll mạo danh Sandboxie của stl.

Cứ từ từ, nôn nóng "em nó sợ", sáng mai em sẽ post cách RE và extract hai ông nội zip embedded PE này ra. Bà con đón đọc nhé, giờ em buồn ngủ quá rồi !

PS: Mấy anh stl còn không lo đóng lại map.priper.info đi smilie
Cứ chơi rượt đuổi với mấy anh hoài em thấy chán quá, mấy anh không có gì mới cả, quay đi quay lại vẫn 3 cái code, bot cũ đó. Bộ mấy anh không thấy chán à, hay "sếp" không cho mấy anh nghỉ ? Còn một loạt các blog "lề trái" đang hoạt động nên "sếp" bắt mấy anh phải DDOS các blog đó im miệng à ????
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 23:47:17 (+0700) | #463 | 245216
ikanchip
Member

[Minus]    0    [Plus]
Joined: 15/04/2009 13:26:56
Messages: 1
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 23:53:57 (+0700) | #464 | 245217
[Avatar]
~simon~
Member

[Minus]    0    [Plus]
Joined: 20/12/2006 15:46:42
Messages: 58
Location: nơi bắt đầu
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 03:23:26 (+0700) | #465 | 245221
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Thử kiểm tra tình hình "tài sản" của stl cái coi smilie

http://daily.openns.info:8080/flower.bmp (15.82.186.153): --> dead, no IP assigned.
- Hosting & network: hp.com
- Domain registrar: publicdomainregistry.com --> "CLIENT HOLD" violating terms and conditions.


http://map.priper.info:8080/flower.bmp (208.115.200.206): --> still alive, running on 8080
- Hosting & network: limestonenetworks.com
- Domain registrar: www.enom.com --> "CLIENT TRANSFER PROHIBITED" still alive


http://net.iadze.com/backgrounds.jpg (178.32.95.119): --> still point to this IP but host suspended
- Hosting & network: santrex.net & ovh.net
- Domain registrar: www.enom.com --> "CLIENT TRANSFER PROHIBITED" still alive

http://sec.seamx.net:8080/flower.bmp (15.82.186.153): --> dead, no IP assigned.
- Hosting & network: hp.com
- Domain registrar: www.sh3lls.net --> "SUSPENDED" violating terms and conditions.


http://find.instu.net/fronts.jpg & http://find.instu.net/backgrounds.jpg (67.215.65.132): --> dead, no IP assigned.
- Hosting & network: theplanet.com
- Domain registrar: www.sh3lls.net --> SUSPENDED violating terms and conditions.


http://second.dinest.net/xc.jpg & http://second.dinest.net/xv.jpg (46.166.147.48) --> dead, no IP assigned
- Hosting & network: santrex
- Domain registrar: www.lovingdomains.com --> SUSPENDED violating terms and conditions.


http://speed.cyline.org:443/flower.bmp & http://speed.cyline.org:443/BlueSphere.bmp & http://speed.cyline.org:443/plxzyin0fx.bmp (178.33.143.57) --> still alive, running on 443
- Hosting & network: santrex
- Domain Registrar: PublicDomainRegistry.com --> CLIENT TRANSFER PROHIBITED still alive.


http://poxxf.com/flash.swf & http://poxxf.com/images.gif (174.142.132.186) --> dead, no IP assigned.
- Hosting & network: iweb
- Domain registrar: www.sh3lls.net --> SUSPENDED violating terms and conditions.


http://paxds.com/flash.swf (178.162.225.253): offline
- Hosting & Network: santrex
- Domain Registrar: publicdomainregistry.com --> CLIENT TRANSFER PROHIBITED still alive.


safebrowser.dyndns.org (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80. --> vecebot (report at http://www.threatexpert.com/report.aspx?md5=dc56a98aaa75a66676becda742135a5b)
safebrowsing.dyndns-blog.com (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80. --> vecebot (report at http://www.threatexpert.com/report.aspx?md5=dc56a98aaa75a66676becda742135a5b)
fastupdate.dyndns-office.com (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80.
hot.enfaqs.com (172.16.13.17 - private IP block): offline
securelogin.doomdns.com (no IP): offline

tongfeirou.dyndns-web.com (89.149.202.104 - server86944.santrex.net): host is up, drop ICMP, open port 80.
express.blogdns.info (91.211.118.119 - IP of 0x2a Ukraine): host is up, drop ICMP, open port 80.
biouzhen.dyndns-server.com (78.110.24.85 - IP of Bellnet Malta): host is up, accepted ICMP, open port 80.
maowoli.dyndns-free.com (78.110.24.85 - IP of Bellnet Malta): host is up, accepted ICMP, open port 80.


Màu đỏ là teo, màu xanh là còn ngáp ngáp.

"Thiệt hại" lớn nhất không phải là mấy cái "masters" bị teo, mấy con zombies bị teo khá bộn và bao nhiêu công sức gầy dựng bị tan nát không biết bao nhiêu mà kể mà ở chỗ, "underground" dần dần bị kéo lên mặt đất rồi.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 12:23:59 (+0700) | #466 | 245233
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Thiệt là mấy anh stl, cứ xào qua xào lại mấy cái code cũ đó hoài.

Cách RCE nhanh các biến thể của stl:
1. Chịu khó bỏ công RCE 1 file của mấy anh stl cho tương đối, name, comment đầy đủ, vd như SbieSvc.exe và SbieMgm.dll ngày 04-08.
2. Hôm qua, mấy anh tung biến thể mới của SbieSvc.exe và SbieMgm.dll, sau khi extract ra hai file này từ fytqn613.bmp - fytqn613.bin, chúng ta mở file mới trong IDA, dùng PatchDiff plugin, chọn file idb cũ ở trên.
3. Theo kết quả PatchDiff: Identical Functions, ta copy name và comment từ old idb file qua new idb.
4. Bỏ Unmatched Functions, xem và view graph từng hàm trong Mached Functions.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 14:40:45 (+0700) | #467 | 245244
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Ái chà, hôm nay đẹp trời, các bạn stl lôi đâu ra một đống zombie để "đốt" HVA vậy? smilie . Tớ biết các bạn thù ghét HVA lắm. Mấy ai mà qua khỏi cái ngưỡng tham sân si?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 15:43:45 (+0700) | #468 | 245247
[Avatar]
~simon~
Member

[Minus]    0    [Plus]
Joined: 20/12/2006 15:46:42
Messages: 58
Location: nơi bắt đầu
Offline
[Profile] [PM]
-Xin lỗi chứ em không gọi là bạn được ,từ này em gọi bọn stl là bọn địch chắc đang ức chế lắm khi HVA vẫn trơ như tượng đá.
-Cũng có lẽ cấp trên chỉ thị mấy chú không hạ được HVA thì tháng này cắt luơng cũng nên smilie)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 15:53:43 (+0700) | #469 | 245249
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mẫu Fake Sandboxie ngày 17-08-2011 của stl em đã up lên ở đây http://www.mediafire.com/?5w2rrwd08b8bg8r
Vẫn connect tới net.iadze.com để lấy mệnh lệnh DDOS, nhưng không lấy backgrounds.jpg mà là http://net.iadze.com/showthread.php. Các bạn xem trong file tracker.cmd sẽ thấy các link của nó.
File monitor.cmd để em run và capture traffic của SbieMgm_patched.dll

Quay đi quay lại vẫn bao nhiêu đó, mấy anh cứ thêm mắm, thêm muối, bớt đường, bớt bột ngọt, nhưng cuối cùng, chung quy cũng một món SbieMgm.dll đó à ! Em chán re code của mấy anh quá rồi smilie

Em đang tìm mẫu bot đang "đốt" HVA ta, bà con nào có share em với. Đổi gió một chút smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 16:02:02 (+0700) | #470 | 245250
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Ái chà, các bạn stl làm sao mà nhiễm được một loạt IP của Singtel (Singapore) vậy cà? smilie. Các bạn muốn triệt HVA mà cứ lôi mấy con bot cũ mèm như vậy ra để xào nấu hoài thì làm sao mà được? TQN và tớ đã mớm mớm nhiều điểm mà các bạn cứ loay hoay xào với nấu mãi mấy cái hàm không biết để làm chi. Rốt cuộc cũng bấy nhiêu thôi các bạn à.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 17:24:08 (+0700) | #471 | 245255
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

Các bác STL đẻ ra nhiều đứa con hoang quá, nay chúng thất tán khắp nơi, từ Nam chí Bắc Việt nam, đến tận Mỹ, Đại hàn, Châu Phi, Lào.... Mới đây lại thấy chúng ở Sing nữa. Nhiều con quá, nên chẳng còn nhớ hết tên chúng, cũng không biết đứa nào ở đâu, để goi chúng về nhà.

Nhiều đứa con nay thấy bơ vơ, không biết tìm bố mẹ nơi nào. Có lúc bố chỉ đường về nhà, nhưng về đến nơi thì nhà đã dọn đi chỗ khác mất rồi. Không ít đứa cả mấy tháng nay chẳng thấy ai gọi tới, không đươc cung cấp "thưc phẩm", tiền bạc, nên sắp chết đói hết rồi. Tình thế quả là rối bời bời. Hì hì!
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 18:36:59 (+0700) | #472 | 245256
template
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 02:18:47
Messages: 16
Offline
[Profile] [PM]
anh TQN, conmale, PXM,... này làm cho nguyên 1 đám STL từ trên xuống dưới đứng ngồi không yên. ăn cũng nhai ko nổi với TQN, ngủ cũng gặp ác mộng với TQN. ==>
Fa Film Việt Nam phát hành, bộ phim : Sống trong sợ hãi xin đc phép bắt đầu.

"Nghiệt do ai gây ra thì người đó nhận. "
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 19:40:22 (+0700) | #473 | 245259
eicar
Member

[Minus]    0    [Plus]
Joined: 25/01/2011 06:49:53
Messages: 13
Offline
[Profile] [PM]
Phì cười, em thấy chính các bác Admin cũng mất thời gian cho việc này, hiển nhiên là ảnh hưởng đến công việc chính của mình. Thực sự các bác nghĩ công việc chính của các bác là sống chết với HVA này ?.
Các bạn STL kia thì công việc chính của các bạn ấy là phá hoại rồi, em thấy công sức các bạn ấy bỏ ra để phá hoại có khi không nhiều hơn công sức các bác bỏ ra để phòng chống.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 20:03:10 (+0700) | #474 | 245260
raulgonzalez
Member

[Minus]    0    [Plus]
Joined: 25/11/2002 02:36:56
Messages: 23
Offline
[Profile] [PM]

~simon~ wrote:
-Xin lỗi chứ em không gọi là bạn được ,từ này em gọi bọn stl là bọn địch chắc đang ức chế lắm khi HVA vẫn trơ như tượng đá.
-Cũng có lẽ cấp trên chỉ thị mấy chú không hạ được HVA thì tháng này cắt luơng cũng nên smilie

Các bạn cứ thoải mái phê phán hành vi của stl. Các bác nào có tài thì góp sức với anh TQN với conmale để vạch mặt đám này. Nhưng đừng khiêu khích theo kiểu "còn lâu mới làm gì được HVA", nhất là khi mình không nằm trong BQT.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 20:14:01 (+0700) | #475 | 245262
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]

eicar wrote:
Phì cười, em thấy chính các bác Admin cũng mất thời gian cho việc này, hiển nhiên là ảnh hưởng đến công việc chính của mình. Thực sự các bác nghĩ công việc chính của các bác là sống chết với HVA này ?.
Các bạn STL kia thì công việc chính của các bạn ấy là phá hoại rồi, em thấy công sức các bạn ấy bỏ ra để phá hoại có khi không nhiều hơn công sức các bác bỏ ra để phòng chống. 


Mình thấy có vẻ pác là người bận rộn, lo lắng đến bản thân hơi nhiều. Ở đây mọi người quan tâm đến diễn đàn mình hoạt động (học hỏi, trao đổi ...) nên mới cùng tham gia.

Còn nói về "các bác Admin" thì việc "bỏ công sức" cũng đâu có gì là quá "rảnh", vì đối với "Admin", thì website của mình cũng chính là niềm vui, đứa con tinh thần của mình.

Vả lại trong quá trình điều tra, bỏ ra công sức trong thời gian này mọi người cũng học được nhiều thứ. Không có gì là phí phạm và "Phì cười" cả smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 20:23:31 (+0700) | #476 | 245265
eicar
Member

[Minus]    0    [Plus]
Joined: 25/01/2011 06:49:53
Messages: 13
Offline
[Profile] [PM]
Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 20:34:26 (+0700) | #477 | 245266
hoangtiepvu
Member

[Minus]    0    [Plus]
Joined: 05/06/2011 10:07:55
Messages: 8
Offline
[Profile] [PM]

eicar wrote:
Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi. 

smilie STL chắc chắn ko những cay cú mà là cực kỳ cay cú có khi còn hơn smilie
kiểu như bạn muốn phá ai đó ko cho người đó thăng chức (chẳng hạn) mà người đó ko những ko bị sao mà thăng chức ầm ầm và sọc xiên lại bạn ! chắc bạn cũng bt đón nhận thôi nhỉ smilie smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 20:40:32 (+0700) | #478 | 245267
trycatch
Member

[Minus]    0    [Plus]
Joined: 07/12/2010 20:00:36
Messages: 15
Offline
[Profile] [PM]

eicar wrote:
Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi. 

Bạn có giỏi hoặc thích thảo luận về kỹ thuật thì ý kiến ý kò đừng ý kiến kiểu này. Bạn có biết thái độ của STL là gì không?Hay bạn là bạn của STL? Lặn đi cho nước nó trong.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 21:12:14 (+0700) | #479 | 245269
Semperidem
Member

[Minus]    0    [Plus]
Joined: 28/11/2010 08:09:40
Messages: 14
Offline
[Profile] [PM]

eicar wrote:
Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi. 


...Các bác ấy không biết được STL, tôi không biết, bạn không biết, thế thì sao? Đây là diễn đàn với tâm huyết của những quản trị, bạn biết là bạn không giúp gì được, đã vậy coi ké mà vẫn to mồm...Họ bảo vệ tâm huyết của họ, họ có cay cú, có giận dữ, có gì đi nữa thì sao? Bạn gai mắt thì mời bạn đi chỗ khác. Kẻo mọi người gai mắt thì bạn sẽ thấy nhiều thứ hơn những gì tôi viết ở đây. Không bỏ công thì đừng lên tiếng, lên tiếng thì kéo mặt xuống đất mà che cũng không kịp đâu nha. smilie Đã vào đây, xin bạn tôn trọng những người bỏ thời gian và công sức để bảo vệ nơi này. Cảm ơn.
Mình cũng rảnh mồm, và thấy bạn viết rất gai mắt đó. smilie Và không phải riêng mình, nên bạn có lẽ nên lặn đi nhé. smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 18/08/2011 21:20:43 (+0700) | #480 | 245270
Nowhereman
Elite Member

[Minus]    0    [Plus]
Joined: 19/11/2003 06:25:42
Messages: 108
Offline
[Profile] [PM] [Email]

~simon~ wrote:
-Xin lỗi chứ em không gọi là bạn được ,từ này em gọi bọn stl là bọn địch chắc đang ức chế lắm khi HVA vẫn trơ như tượng đá.
-Cũng có lẽ cấp trên chỉ thị mấy chú không hạ được HVA thì tháng này cắt luơng cũng nên smilie


@~simon~ : nói hay quá kơ, đùng foc' ý mình hì hì. thương mấy "anh" stl quá mà ứ biết các anh đâu để iem gởi tặng mấy thùng mì tom loại miliket có hình "một lũ lợn" he he .

em đời sống khó khăn, bận chăn chu kắt kỏ + công việc đồng áng suốt ngày vậy mà nghe anh TQN giải mã RC, anh conmale anh hùng xung chận, oánh đông dẹp bắc giảm tải server, anh PXMMRF thì forensic truy tìm thủ phạm .v.v. cả nước hồi hộp, bốn bể mong chờ . ôi hay như film trinh thám . thật tuyệt vời nên em bỏ cả ruộng vườn lên theo dõi suốt ngày. hay ghê cơ. chúc các anh sức khoẻ để chiến đấu với các "anh" slt nha. chụt chịt moak smilie smilie



lang thang vẫn mãi không nhà
đôi chân lê bước thê lương tháng ngày
càng đi càng thấy đắm say
tình thương con Chúa lòng này chẳng phai
thời gian cứ mãi miệt mài
lang thang đi tiếp ....rồi bay lên z ời
cúi đầu con lạy Ông Trời
xin thươn
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|