banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: miyumi2  XML
Profile for miyumi2 Messages posted by miyumi2 [ number of posts not being displayed on this page: 0 ]
 
Bạn thử dời đoạn này lên vị trí đầu tiên, trước các block sever { khác xem sao (thử bỏ luôn dòng sever_name ""):
Code:
server {
listen 80;
server_name "";
return 444;
}


Search_IT wrote:

Q2: Cho em xin tên một số phần mềm thông dụng và tiện lợi cho người dùng cuối trong việc detect malware. 


Bạn tìm đọc các topic của anh TQN sẽ có nhiều kiến thức bổ ích về phân tích malware.
Mình thì thường sử dụng mấy tool này: /hvaonline/posts/list/41599.html#259424
Bạn tìm và up thêm các file sau đây nhe:
Code:
kw.dat
inst.dat
mc.dat
titles.dat
apps.dat
pk.bin

conmale wrote:
Cái page source của /hvaonline/forums/list.html chình ình ra đó. Ai muốn soi, muốn xoáy cỡ nào lại không được smilie  


Vấn đề là ở chỗ này: "Trend Micro đã xác nhận..."
==> Trend Micro đã xác nhận thì theo em có nghĩa là đã soi, mà soi với sự tham gia của con người. Vậy thì những con người tại Trend Micro soi trong source HTML này thấy cái gì gọi là "độc"? Với bao nhiêu năm hoạt động của HVA, theo em link này không thể chứa cái gì gọi là "độc" cả ==> nếu không có thì tại sao Trend Micro lại cảnh báo như vậy?

==> Giả thuyết:
- Do có người dùng phàn nàn lên Trend Micro;
- Hệ thống chương trình bot tự phân tích tự nhận dạng của Trend Micro;
- Đối tác của Trend Micro tại VN (Cty TNHH MTV Đỉnh Thái Phong, 215 Trần Bình Trọng, TP HCM) report qua Trend Micro Đài Loan (lưu ý: đây chỉ là giả thuyết nhận định cá nhân, không có ý quy chụp hay gì khác).

Theo các bạn giả thuyết nào nặng ký nhất và trình độ của các chuyên gia Trend Micro tới đâu khi "soi" và kết luận link HVA có mã độc và đưa vào blacklist?



Khi truy cập HVA trên máy có cài Trend Micro Titanium Internet Security 2012 thì bị chặn với thông báo:

"TRANG NGUY HIỂM
Trend Micro đã xác nhận rằng trang web này có thể truyền phần mềm độc hại hoặc liên quan đến lừa đảo hay gian lận trực tuyến".


Sao lại như vậy nhỉ? Đứng về phía Trend Micro làm vậy đúng hay sai đây?

anh.nguyen287 wrote:
bạn có thể giải thích chi tiết hơn không 


Theo mình thì nếu bạn chưa nghiên cứu nhiều về PHP thì trước mắt nên tìm người tư vấn giúp khắc phục bịt các lỗ hổng trên máy chủ hoặc trong mã nguồn website để không còn bị chèn code vô nữa.
@TQN: Kết quả phân tích của anh quá hay! Xem là thấy có hứng thú học RCE liền! smilie

Em cũng đang tập tành làm lại các bước giống anh nhưng chưa biết đến khi nào được kết quả như vậy, đặc biệt là ở chỗ extract shellcode đưa vào cpp rồi compile xong là chạy, không biết anh có patch code nhiều không ?

Em đang chạy file 3.exe của anh và dùng các tool sau để giả lập, theo dõi:
- apateDNS: Giả lập DNS server, nslookup tìm domain gì cũng trả kết quả về được (IP do mình đặt);
- Apache: Làm web server giả (billgate2012.xicp.net , hiện giờ query thật sẽ ra 0.0.0.0, chắc có người cố tình set lại), bật SSL cho shellcode kết nối tới bằng giao thức HTTPS;
- CaptureBAT: Giám sát và ghi log lại các thao tác tạo, xóa file và registry, hay ở chỗ là các file xóa trong quá trình shellcode chạy sẽ được copy lưu lại 1 bản;
- ProcessMonitor (của SysInternals): Theo dõi chi tiết hơn việc gọi các hàm về file, register, network api (lưu ý add filter Process name=3.exe không capture quá nhiều event của các process khác);
- Wireshark: Theo dõi các kết nối mạng.

Tất nhiên là tất cả phải chạy trong máy ảo.
Cảm ơn bạn @quanta, mình biết thêm được 1 tính năng mới smilie

1. Piped logging program to rotate Apache logs:
http://httpd.apache.org/docs/2.0/programs/rotatelogs.html

2. How to pipe logs from Apache to PHP / How to seperate Apache log files with PHP:
http://www.codeblog.co.uk/2008/03/06/web-platforms/how-to-pipe-logs-from-apache-to-php/
Theo mình thì trước khi "xét nghiệm" chuyên sâu (tức là dịch ngược mã máy chương trình sang ngôn ngữ assembly, RCE - Reverse Code Engineering) bạn cũng nên tìm hiểu về "chẩn đoán lâm sàng", vì virus, trojan, shellcode cũng là một dạng chương trình thực thi do con người tạo chứ không phải là cái gì đó "hư không", cụ thể là nó phải hiện thân tồn tại ở dạng 1 tập tin trên 1 ổ đĩa, một vùng nhớ trong bộ nhớ,...

Thử "chẩn đoán lâm sàng" tìm các dấu hiệu cho trường hợp thường gặp là các virus, trojan lây lan qua các ổ đĩa rời gắn qua cổng usb:

(1) Tập tin có phần mở rộng (ext) là .exe, .com, .bat, .pif, .cpl, .vmx đặt thuộc tính ẩn (hidden) hoặc hệ thống (system) và chỉ đọc (read only);
(2) Nằm trong các thư mục RECYLER, Recyled hoặc các thư mục có tên ngẫu nhiên (chữ hoa chữ thường, chữ số lộn xộn không có ý nghĩa);
(3) Phần mở rộng (ext) nhiều cấp, vd: 123.doc.exe, 123.xls.exe,... và có biểu tượng (icon) giả là hình icon folder của Windows hoặc icon của Word, Excel;
(4) Tên tập tin có trong Autorun.inf;
(5) Ngoài ra có thể xem xét file có bị nén (pack) hay không bằng cách dùng hex editor xem mã ASCII và đoán mật độ phân bố dữ liệu (entropy) có chặt hay không, có thể dùng một số tool để kiểm tra packer...

Khi tìm ra các file có các dấu hiệu nghi ngờ như trên thì ta bắt đem về nuôi và dùng RCE "xét nghiệm" "xẻ thịt" tiếp smilie.
Tập tin DLL là một thư viện liên kết động chạy chương trình (EXE sẽ gọi hàm chứa trong DLL, hoặc DLL này gọi hàm chứa trong DLL khác).
Bản thân DLL chứa mã máy nên được phải được tổ chức chặt chẽ và có thứ tự tuyệt đối chính xác.
Trường hợp của bạn đã dùng hex editor để chèn thêm text hoặc ghi đè lên mã/dữ liệu vượt quá độ dài chuỗi có sẵn (null-terminated string, 0x00) trong dll thì khi nạp mã trong dll vào bộ nhớ CPU không thể chạy được vì các segment, offset, con trỏ, giá trị thanh ghi CPU đã bị thay đổi (bạn tìm hiểu thêm về hợp ngữ sẽ hiểu rõ hơn).

Còn nếu muốn chỉnh sửa 1 chuỗi dài hơn chuỗi có sẵn mà không bị lỗi thì phải dùng patch để chỉnh sửa mã máy, tức là bạn sẽ thêm 1 chuỗi vào 1 vị trí không ảnh hưởng đến dll, xong thay đổi địa chỉ của chuỗi cần nạp đến vị trí của chuỗi mới. Tất nhiên bạn phải hiểu ngôn ngữ assembly và bảng opcode để làm việc này.

giau.le wrote:
Hello guy,

Trong apache thì toi đã sử dụng như sau

CustomLog "|/var/www/test1.php" combined
ErrorLog "|/var/www/test2.php"

Nhưng khi sử nginx thì tôi làm như vậy nhưng nó không chạy được.

anh em giúp mình nha.

Thanks so much. 


Mình không rành về apache và nginx nhưng nhìn config của bạn thấy lạ lạ, sao lại có ký tự | và file log lại đặt ext là .php ? Hình như conf của nginx không có từ khoá combined ?
Đoạn code này chủ yếu dùng các hàm cURL để lấy các chuỗi text từ địa chỉ (khi có client truy cập web của bạn):
http://adveco*****.com/stat/stat.php?ip=xxx.xxx.xxx.xxx..........
(nếu là bot của các search engine như Google, Bing thì không thực hiện).

Sự nguy hiểm ở đây là:
- Server adveco*****.com lấy được địa chỉ của IP của client, browser gì (user-agent), domain, đường dẫn URL webite của bạn,... Còn lấy thông tin để làm gì thì chỉ có chủ nhân biết!
- Chèn các đoạn mã HTML/script độc vào trang web của bạn (chỗ echo $sResult), các đoạn mã có thay đổi liên tục (tùy theo giá trị text trả về từ hàm cURL lấy từ server), các mã này có thể thực hiện lây nhiễm trojan xuống hàng loạt các máy client truy cập web của bạn).

chiro8x wrote:
=.=! Bạn không hiểu ý mình à ! ví dụ mã độc tự đọc vào file html rồi lấy một phần của file HTML để mã hoá hoặc làm kí tự thay thế sao bạn biết được trong khi bạn chưa giải mã được nó. Nếu bạn có toàn bộ nó thì hẵng nói chuyện nhé. 

Bạn đổi tên file thành .vbs và xoá dòng đầu tiên:
Code:
SCRIPT Language=VBScript

và xoá tất cả dòng cuối từ chỗ:
Code:
Set WSHshell = CreateObject("WScript.Shell")


Xong chạy file .vbs sẽ sinh ra file svchost.exe, muốn biết hậu quả thế nào thì cứ double click! smilie

heobungbu96 wrote:

Mình chỉ sợ AV nó xoá hết file của mình thôi
Mình tính là cài lại hđh sau đó mở các file html dính mã độc = notepad rồi xoá mã đi! Còn các file exe, dll mình sẽ down lại bản sạch và cài lại đc k? 


Bạn làm vậy cũng được, bạn cẩn thận xóa hết mã độc trong các file .html, .htt (chỉ cần sót lại 1 file và vô tình chạy cũng đủ lây nhiễm trở lại hệ thống). Riêng .exe, .dll thì phải triệt để xóa bỏ và download lại file mới hoàn toàn.
Máy bạn bị nhiễm con Ramnit rồi.
Con này lợi hại ở chỗ nhiễm được cả .exe, .dll và .htm* nên cần phải diệt tận gốc, bạn nên cài format ổ C: cài lại Windows, xóa tất cả .exe, .dll, .htm, .vbs, .htt, .mht,... trên các ổ đĩa còn lại (có thể dùng Hirent Boot vào Mini Windows xóa cho an toàn trước khi cài Windows).
Bạn post đoạn source code của event Button_Click() mới biết lỗi gì được.
Bạn vào mạng bằng wifi công cộng thì nguy cơ bị đánh cắp dữ liệu (sniff) và thông tin session khá là cao.
Có thể hạn chế bằng cách bật tường lửa (firewall), bỏ check tất cả port service cho phép kết nối từ bên ngoài vào, chỉnh cấu hình TCP/IP bỏ chọn "File and Printer Sharing for Microsoft Network", truy cập web bằng giao thức https,...

Cá nhân mình ra ngoài thì thường sử dụng thiết bị 3G để vào mạng cho an toàn.
Bạn huydd và anh conmale dùng Windows và Office phiên bản nào kích hoạt được shellcode được vậy?
Mình dùng WinXP SP3 và Offfice 2003 SP3 nhưng khi mở file chỉ thấy crash và treo not responding, ko thấy kết nối mạng ra ngoài như conmale capture được.
Đọc 2 trang này phân tích khá chi tiết mà chưa lĩnh hội được :-s

1. Analysis of CVE 2010-3333 Microsoft Office RTF File Stack Buffer Overflow Vulnerability
http://0x1byte.blogspot.com/2011/02/cve-2010-3333-microsoft-office-rtf-file.html

2. Metasploit Framework - Microsoft Word RTF pFragments Stack Buffer Overflow (File Format)
http://dev.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/fileformat/ms10_087_rtf_pfragments_bof.rb

Mục tiêu tiếp theo là tìm chính xác entrypoint của shellcode và đoạn mã biến đổi từ HEX trở lại mã gốc trước khi execute thật sự chức năng của nó.
Mình đang analyze 2 file .doc của bạn và xin chia sẻ một kết quả như sau:

1. Theo kết quả từ VirusTotal thì trung bình có 10/43 AV phát hiện được mã độc nhúng trong 2 file này:
- https://www.virustotal.com/file/678e4b239d5c0a5d88fc7c1a673eeb1ef2af6851a57f8bc06801a3f07906ae37/analysis/1331878915/
- https://www.virustotal.com/file/3e9389f26f5022854de96ea23d3a7ac6dfda99904f5331ce9adcff89a8b5a02a/analysis/

2. Dựa trên kết quả search Google theo từ khoá: CVE-2010-3333 (RTF Stack Buffer Overflow Vulnerability) ra được một số phân tích của các cá nhân, hãng AV liên quan exploit này:
- http://labs.m86security.com/2011/07/resurrection-of-cve-2010-3333-in-the-wild/
- http://p4r4n0id.com/?p=410

3. Cá nhân mình dùng các tool để xem xét đồng thời so sánh với kết quả phân tích ở 2 link trên cho thấy:
- 2 file lưu theo format RTF mặc dù là .DOC;
- Có thể file đã bị nhúng shellcode nhưng cách thức nhúng khác với các phân tích ở 2 link trên, shellcode đã được biến đổi thành dạng HEX thay vì binary mã máy trực tiếp;
- Nhận dạng chuỗi string làm tràn bộ đệm có thể là dãy: 4c4c4c4c4c4c4c4c4c4c4c4c4c4c......., cũng có thể là 1 chuỗi khác phía trước.


- Thử disassembler đoạn shellcode kết quả có vẻ chưa đúng.

Mình test mở file với Office 2003 SP3 chỉ thấy Word crash chứ chưa kích hoạt được shellcode.
Cao thủ RCE nào có kinh nghiệp mong giúp một tay.
AV phổ biến trong nước như Kaspersky chưa detect được, bạn nào có CMC hay BKAV test thử xem.
Hậu quả khôn lường nếu hacker gửi spam tràn lan các file chứa mã độc dạng này mà AV không ngăn chặn được.

NguoiMoi1024 wrote:
cám ơn anh conmale và tất cả mọi người nhưng ý em là em mới bắt đầu theo học lên các anh có thể chỉ bảo cho em từng bước để em tìm hiểu được không.nói thật em cũng không biết phải bắt đầu từ đâu nữa. 


Mình thấy bạn rất háo hức muốn tìm hiểu về bảo mật, có lẽ bạn nên học theo cách của anh conmale: “Muốn bảo mật thì phải hiểu rõ đối tượng bảo mật của mình”.

Ví dụ:
Bạn có một máy laptop cài Windows, thử suy nghĩ một số mục tiêu bảo mậtgiải pháp đơn giản:
- Chỉ cho phép 1 mình bạn sử dụng máy, người lạ không logon vào được Windows --> Giải pháp: Tạo user account trên Windows và đặt password.
- Cho phép người khác logon vào sử dụng nhưng không truy cập các thư mục dữ liệu của riêng bạn --> Giải pháp: Tạo 1 user account khác cho phép người khác logon. Phân quyền security trên thư mục dữ liệu của bạn chỉ cho phép user của bạn mới có quyền truy cập (listing, read, write,...).

==> Theo bạn như vậy đủ chưa? Bạn có nghĩ đến các câu hỏi này:

- Tạo user account người khác với group quyền gì (Administrators, Users) là an toàn? Quyền Administrators có thể làm gì?
- Người lạ vào BIOS setup cho phép khởi động từ đĩa CD hoặc USB thì dữ liệu có bị copy ra ngoài? Nếu có thì giải pháp là gì?

==> Như vậy với một số mục tiêu bảo mật đơn giản và gần gũi với thực tế hàng ngày nhất, bạn sẽ cần trang bị các kỹ năng gì?

- Kiến trúc máy tính: Chức năng của các thiệt bị và các bước khởi động máy tính, hiểu được BIOS để làm gì , cách setup BIOS, password BIOS lưu ở đâu, flash BIOS,...
- Kiến thức về hệ điều hành: Bạn không thể làm bảo mật khi bạn không thể biết cách cài đặt Windows, Linux lên một máy tính mới (hoặc 1 máy ảo). Các chức năng về bảo mật của một hệ điều hành...
..............

Đó chỉ là những suy nghĩ đơn giản cho 1 trường hợp đơn giản, còn bảo mật cho những lĩnh vực khác thì mênh mông và công nghệ phát triển từng ngày như: hệ thống mạng LAN, WAN, Internet; mã hoá; lập trình ứng dụng;...

==> “Muốn bảo mật thì phải hiểu rõ đối tượng bảo mật của mình”.

lenon wrote:

miyumi2 wrote:
SQLite Database Browser

http://sourceforge.net/projects/sqlitebrowser/ 


Mình thử cái này rồi mà open hay import file đó vào đều không có nội dung gì cả.
smilie 


Nếu khi mở file không báo lỗi chắc do file của bạn không có dữ liệu.
SQLite Database Browser

http://sourceforge.net/projects/sqlitebrowser/
Cái này hấp dẫn đây, ít nhất 2 cao thủ tại hva đã dính chưởng vì exploit tương tự.
Đâu ai ngờ 1 file .DOC trông lành như thế lại chứa trojan smilie

Mình sẽ dành thời gian analyze 2 file mẫu của bạn xem có gì mới không smilie

duyvu09 wrote:
Mọi người có thể giải thích các: Modulus, Private exponent, P, Q, ... chức năng gì không ạ? 

duyvu09 wrote:
Cảm ơn bạn, nhóm mình không cần đi sâu tính toán toán học!, chỉ cần thiết kế quá trình truyền tin (sử dụng các công cụm như là để tạo khoá, mã hoá,...) để minh hoạ!. Dù sao cũng cảm ơn bạn..! 

Chính bạn đặt câu hỏi muốn giải thích về Modulus, Private exponent, P, Q nên mình mới minh hoạ bằng công thức toán, muốn hiểu cách mã hoá RSA mà không muốn xem công thức toán học thì bạn nên chọn phương pháp mã hoá khác đi. Còn công cụ như bạn nói thì trang web bạn đưa ra cũng đủ chức năng rồi.
Tuỳ theo hệ thống truyền tin của bạn lập trình bằng ngôn ngữ gì (C, C#, java,...) thì google tìm [component, tutorial, demo, sample] encryption theo ngôn ngữ đó.

Đây là 1 ví dụ minh hoạ RSA:

n=Modulus, e=Exponent,
m: msg, c: crypted_msg;
(n,e): privatekey; (n,d): publickey
---
c = m^e mod n
m = c^d mod n
---
n=p.q=61x53=3233 => publickey=(3233,17), privatekey=(3233,2753)
orginal_msg = 123
crypted_msg = (123^17) mod 3233 = 855
decrypted_msg = (855^2573) mod 3233 = 123
 
Go to Page:  First Page Page 1

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|