[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
12/07/2011 10:55:31 (+0700) | #61 | 243309 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
12/07/2011 15:15:11 (+0700) | #62 | 243342 |
|
Mưa
Member
|
0 |
|
|
Joined: 29/11/2008 01:46:03
Messages: 60
Location: Rain
Offline
|
|
conmale wrote:
Càng lạc vô "mê hồn trận" của STL càng thấy khủng
(câu hỏi bí mật đúng là bí mật "bà cô mà em ưa thích là ai").
hehe anh conmale cũng biết tiếng Trung à , chuẩn xác a còn thiếu 1 từ " nhất "
" bà cô mà bạn ưu thích nhất là ai ? " ) |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
12/07/2011 19:22:41 (+0700) | #63 | 243367 |
|
chiro8x
Member
|
0 |
|
|
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
12/07/2011 20:44:41 (+0700) | #64 | 243387 |
DLKC
Elite Member
|
0 |
|
|
Joined: 24/03/2003 14:14:41
Messages: 161
Location: buồng chuối
Offline
|
|
chiro8x wrote:
Vấn đề là các virus này phải kèm theo famework của nó, hoặc là được cài trước đó hoặc được build vào trong exe. Ngoài ra khi sử dụng các complie thì mã thừa sẽ rất nhiều. Ngoài ra thì còn phải viết các đoạn mã tương tác với system như anh nói, đôi lúc sẽ viết bằng một đoạn mã assembler, vậy việc viết một chương trình bằng assembler ngay từ đầu có tốt hơn không ?.
Mình nghĩ rằng bạn chưa phân biệt được điểm khác nhau giữa Assembly và Assembler. |
|
Biển học vô bờ. |
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
12/07/2011 21:15:36 (+0700) | #65 | 243399 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Tối nay không sương sương, bỏ một chút thủ công, dựa vào Rich ID, tui phân ra số thành viên hay số bản install của VC++ của nhóm STL:
1.
2.
3.
4.
Hình số 4 khó xác định được chính xác bao nhiêu bản VC++.
Thông tin về Rich Info, các bạn xem ở đây: http://www.ntcore.com/files/richsign.htm |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
13/07/2011 01:02:54 (+0700) | #66 | 243406 |
exception
Member
|
0 |
|
|
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
|
|
Đám virus của bọn STL này viết kém quá. Lame lame giống mấy thằng scriptkiddie trên opensc với unkn0wn hồi trước. Malware mà code bằng VB.NET thì không hiểu anh TQN khen bọn nó ở điểm gì :lolz |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
13/07/2011 07:02:15 (+0700) | #67 | 243410 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Exception thử RCE mấy file virus code = VC++ của tụi nó bên topic bên kia. Trong quá trình phân tích, coi chừng exception bị throw không ai catch nhe Đùa đấy. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
13/07/2011 13:26:55 (+0700) | #68 | 243439 |
exception
Member
|
0 |
|
|
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
|
|
Ủa, đám VC++ đó anh TQN reverse hết rồi, còn gì nữa đâu
BTW, code của bọn này như rác. Chắc mới học lập trình. Copy+Paste kiddies. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
13/07/2011 14:16:35 (+0700) | #69 | 243444 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
exception wrote:
Ủa, đám VC++ đó anh TQN reverse hết rồi, còn gì nữa đâu
BTW, code của bọn này như rác. Chắc mới học lập trình. Copy+Paste kiddies.
Nghe mùi thuốc súng quá đi.
PS: em xin lỗi off topic của bác TQN tí, bài phân tích của bác rất hay. Thân. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
13/07/2011 16:07:42 (+0700) | #70 | 243454 |
exception
Member
|
0 |
|
|
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
|
|
Hehe, ừ thì cứ coi là thuốc súng đi. Có sao nói vậy thôi mà |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
13/07/2011 16:44:24 (+0700) | #71 | 243457 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Phiền mấy bạn không thích bàn chuyện kỹ thuật thì vô mục "Các thảo luận khác". Xin đừng lạc đề. Cám ơn. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 00:41:25 (+0700) | #72 | 243472 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
TRAO ĐỔI THÊM VỀ IP 123.21.140.237 CỦA NHÓM STL- MỘT CÁCH TIẾP CẬN KHÁC
Về IP này các bạn đã có một số ý kiến đáng tham khảo, như sau:
TQN wrote:
Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao.
Cái thằng giấu mặt là thằng này nè: 123.21.140.237
cr4zyb0y wrote:
chủ thuê bao vnpt của ip 123.21.140.237 là ngokiennam / megavnn1
...........................
MAC Address
00:23:cd:c8:95:50
lúc mình vào thì có 1 cái máy đang sài là
wujianan-PC 192.168.1.100 00-24-1D-88-E4-79
.................................
mv1098 wrote:
@cr4zyb0y
Đây là dải ip động của VNPT khi nghi án reset modem thì ip này đã chuyển cho 1 khách hàng khác của VNPT. với hành vi của bạn sẽ bị qui vào tội truy cập trái phép thông tin khách hàng của VNPT, tự nhiên lòng tốt của bạn sẽ thành rắc rối cho bạn có thể là cho người khác, vui lòng không public những thông tin trên lên đây.
TQN wrote:
2 mv1098: Cái VNPT và cái modem đó có tính năng tranfer, hiển thị IP qua thằng người Hoa ở chổ khác xa lắc xa lơ à.
La vậy, em cũng đang dùng VNPT nè, nãy giờ nghe anh nói, em vào cái modem em, lục tới lục lui toàn ra IP mấy cái mấy trong nhà em không à. Sao lạ vậy, chả lẽ VNPT transfer IP của mình cho thằng nào khác lạ hoắc ở huyện #, tỉnh # thì nó alo cho mình à ?
Hay là thằng cha wujianan cùng ngồi trong cái nhà đó, cùng dùng chung cái modem đó để ra Internet ??. Cậu xem lại cái hình đi: DHCP IP Pool nhé. Modem nó cấp IP trong cái LAN đó cho thằng tàu khựa wujianan rành rành ra đó.
Cậu thừa biết vậy mà còn hù doạ em với bạn crazyboy nữa. Hu hu, em sợ quá !
Tôi có một số ý kiến, nhận xét như sau:
1- IP 123.21.140.237 đúng là một IP quan trọng, như nhận định của TQN. Nó nhiều khả năng là trung tâm thu nhận các thông tin nhóm STL gửi đến và từ đó chuyển các yêu cầu, lệnh đến các thành viên.
2- Có một số website kiểm tra IP trên mạng xác định đây là một IP tĩnh (WAN static IP), như website CBL, chuyên kiểm tra các website/IP phát tán virus, trojan hay spam trên mạng. Cho đến ngày trước ngày TQN phát hiện ra đia chỉ IP 123.21.140.237 là của STL, thì website CBL nói trên vẫn còn xác nhân IP này là nơi chuyên phân tán virus, trojan và được coi như là một "open proxy"
3- Tuy vậy, tôi vẫn xác định IP 123.21.140.237 chỉ là một IP đông (WAN dynamic IP). Có nghĩa là nó có thể được gán cho bất kỳ khách hàng/modem nào trong dải IP 123.21.140.0/254 do một DSLAM của VDC-VNPT quản lý
4- Tuy nhiên ta thấy một điều chắc chắn là thành viên (có thể là thành viên rất quan trọng) của STL đã từng sử dung IP 123.21.140.237, hay đã từng được VDC (ISP) gán cho địa chỉ IP này trong một thời gian khá dài trước đây. Chúng ta cũng cần thấy rằng nếu ta thường xuyên kiểm tra và kiểm tra trong các thời điểm khác nhau (sáng sơm, trưa, chiều, nửa đêm) tất cả các máy/modem nằm trong dải IP123.21.140.0/254 nói trên, sẽ thấy chỉ có khoảng trên dưới 100 máy (modem/computer) là "alive" (nối mang), số còn lai, hơn nửa còn lại là "dead" (không nối mạng). Số máy nối mạng (mà ISP phải cung cấp dịch vụ) ít hơn nhiều khả năng cung cấp sẵn có của nó.
Vì thế nếu thành viên STL luôn cắm điện và bật modem lên liên tục qua các ngày thì modem của hắn ta luôn được giữ đia chỉ IP123.21.140.237. Thậm chí ngay cả khi ngắt điện hay reboot modem, thì vẫn nhiều khả năng modem của STL vẫn được cấp địa chỉ IP 123.21.140. 237 như cũ (vì ISP đang thừa thãi IP động dư trữ, như nói ở trên).
5- Còn một điểm rất quan trong nữa là nếu thành viên STL áp dụng thường xuyên kết nôi "Bridge mode" cho modem, thì khả năng "mất " IP động cũ (123.21.140. 237) càng khó xảy ra. Vì với Bridge mode thì dòng dữ liệu (hay gọi là dòng packet cho nó... khó hiểu để doạ ai đó... hi hì) từ Internet vào sẽ không qua NAT của modem, có thể coi như bỏ qua modem và vào thẳng một router nối sau modem hay đến thẳng máy tính (computer). Lúc này WAN dynamic IP (123.21.140. 237) từ DSLAM sẽ đươc cấp, gán thẳng cho card mạng (NIC) của computer (chứ không phải cho modem, như khi áp dung PPPoE mode) và muốn truy cập Internet thì user phải đánh username và password do ISP cấp để truy câp ADSL ngay trên một cửa sổ máy tính, chứ không phải trên modem (Ngoài Win XP, để áp dụng Bridge mode, một sô HDH khác phải cài các phần mềm hỗ trợ).
Chúng ta để ý kỹ còn sẽ thấy thêm là ngoài Bridge mode thành viên STL còn áp dụng RFC 1483 cho nhiều máy/kết nối. (Xin xem lai hình post trên của bạn cr4zyb0y. Cám ơn cr4zyb0y nhiều) Tai sao như vậy?. Đây chính là vấn đề thú vị. Nhưng vấn đề này ta sẽ thảo luận sau.
6- Câu hỏi đặt ra là tại sao STL lai dùng một WAN dynamic IP để liên lạc, thông tin mà không dùng một static IP, khi mà thuê một static IP chỉ mất thêm vài trăm ngàn một tháng, trong khi STL chắc chắn có sự hỗ trợ nhiều mặt, hỗ trợ tài chính dồi dào, thoải mái từ một nước ngoài (repeat: from one big foreign country).
Câu trả lời là: dù có những nhược điểm rõ ràng về nhiều mặt, nhưng WAN dynamic IP lại có một ưu điểm tuyệt đối là giữ được bí mật cho người dủng, rất khó truy tìm dấu vết họ, vì moi người có thể có nhận định là: Không thể căn cứ vao đia chỉ IP động để bắt tội cho ai được, vì IP này có thể được gán cho bất kỳ ai trong pham vi dãy IP do một DSLAM quản lý. Nhưng đó là nhận định chưa đúng trong 1 số trường hợp, như tôi nói ở trên.
Ngoài ra với kỹ thuật sử dụng Dynamic domain system (hệ thống tên miền năng động) thì STL hoàn toàn có thể thiết lập một website sử dụng WAN dynamic IP. Website này có nhiệm vụ thu thập thông tin và ra lệnh hành đông cho mạng botnet mà STL đã thiết lập. Rất kín đáo, bí mật, vì chỉ cần dùng dynamic domain loại miễn phí (free) là xong. Thưc ra STL đã làm điều này và tôi cũng đã nói đến điều đó trong topic" Sinh tử lệnh, một số thông tin về nhóm này" trong box "Những thảo luận khác" forum HVA này.
7- Khi dùng Dynamic IP thì có thể giấu đươc thân phận, như đã nói ở trên. Nhưng trong đời không có gì là kín tuyệt đối vì người dùng dễ bị lộ hiệu (model) của modem-router kết nối với IP và quan trong hơn là MAC address của modem-router này. Như chúng ta có thể đã biết, chỉ cần truy câp với đia chỉ thí dụ như http://123.21.140. 237 là ta có thể truy cập đến cửa sổ đăng nhập vào modem cũng như biết hiệu của nó (đôi khi có thể phải dùng các OS và hoặc các browser khác nhau). Check thẳng vào nó thì còn có nhiều thông tin hơn.
Tôi cho rằng khi anh TQN phát hiện ra đia chỉ IP 123.21.140. 237 thì STL thấy động vội đổi modem từ ZoomX5 sang TP-LINK để xoá dấu vết liên quan đến thiết bị sử dụng. Tuy nhiên có thể do vội nên họ chưa kip thay đổi password vào modem, vẫn để chế độ măc định. Sau đó có thể do bạn cr4zyb0y thay đổi password vào modem và (phải) reboot lại hệ thống nên đia chỉ IP động của modem TP-LINK lúc đó thay đổi. Không loại trừ khả năng STL cố tình thay đổi IP đông cho modem
Nhưng địa chỉ mới cũng bắt buộc phải nằm trong dải IP IP 123.21.140. 0/254. Không thể nào khác.
Hiên nay trên dải IP nói trên có một modem hiêu HUAWEI có configuration về service và PVC0, PCV1, PVC2.... y hệt như trên TP-LINK với việc sử dung các Bridge mode kèm RFC 1483. STL có lẽ lai đổi modem một lần nữa.
Xin chú ý RFC 2684 ra đời thay thế RFC 1483
8-Cũng như vậy, trên dải IP 115.75.108.0/254 cũng hiện đang có một modem TP-LINK TD-8817 model, cài đặt cấu hình y hệt như modem TP-LINK (hay HUAWEI) trên dải IP 123.21.140. 0/254
Chú ý là anh TQN phát hiện ra 2 IP động mà STL đã dùng để phát tán virus, trojan, liên lac....là 123.21.140. 237 và 115.75.108.86, chứ không phải chỉ có 123.21.140. 237
................
(Còn tiếp- Bài viết sau tôi sẽ đề cập đến Bridge mode với RFC 1483 mà STL đã áp dung cho nhiều máy trong mang LAN của họ)
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 08:07:18 (+0700) | #73 | 243480 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
PXMMRF wrote:
Câu trả lời là: dù có những nhược điểm rõ ràng về nhiều mặt, nhưng WAN dynamic IP lại có một ưu điểm tuyệt đối là giữ được bí mật cho người dủng, rất khó truy tìm dấu vết họ, vì moi người có thể có nhận định là: Không thể căn cứ vao đia chỉ IP động để bắt tội cho ai được, vì IP này có thể được gán cho bất kỳ ai trong pham vi dãy IP do một DSLAM quản lý.
=> Không tuyệt đối đâu bác PXMMRF, tuy WAN IP được cấp động nhưng cấp cho thuê bao nào và thời điểm nào đều được ISP log hết. Vấn đề là ai có thẩm quyền để yêu cầu ISP cấp cái log này thôi ạ.
Suy ra, nếu cuộc chiến này không phải đơn độc anh TQN mà có sự phối hợp nữa thì sẽ dễ dàng hơn.
Vấn đề là tại sao tới giờ không ai lên tiếng phối hợp cả (em đoán vậy vì qua cách phân tích của anh TQN thì vẫn đang có nhiều chỗ phải suy đoán).
Như vậy, "from one big foreign country" cũng chỉ là giả thuyết (có phần chưa thuyết phục) thôi ạ. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 09:43:40 (+0700) | #74 | 243488 |
exception
Member
|
0 |
|
|
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
|
|
Mình thấy bàn luận public việc truy tìm mấy thằng ôn STL này không có lợi lắm. Bọn nó chỉ cần vào đây, xem chúng ta biết những gì và tìm cách ứng phó trước. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 09:58:05 (+0700) | #75 | 243492 |
exception
Member
|
0 |
|
|
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
|
|
Tiện thể, anh TQN có thể upload lại đống virus C++ trong topic kia không? Các mẫu trong link mediafire ở trang 1 topic kia bị xoá mất rồi. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 11:05:21 (+0700) | #76 | 243493 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
exception wrote:
Mình thấy bàn luận public việc truy tìm mấy thằng ôn STL này không có lợi lắm. Bọn nó chỉ cần vào đây, xem chúng ta biết những gì và tìm cách ứng phó trước.
Không, cũng cần phải nói ra đôi diều sự thật, để moi người biết.
Cũng để điều chỉnh lại cho đúng một số nhận định sai lầm, cho rằng STL là công an mạng VN, như một bài viết gần đây, đăng tải trên BBC http://bbc.com). Các bác BBC là không ít lúc mắc sai lầm, đăc biệt khi bàn về các vấn đề liên quan đến kỹ thuật mạng, IT. Hì hì
Công an của một đất nước, bất kỳ đất nước nào, với quyền hạn trong tay, họ không bao giờ làm những việc tẩn mẩn như STL đã làm vừa qua. Muốn không cho truy cập đến một website nào đó, họ chỉ cần làm một việc đơn giản là vô hiệu hoá DNS truy cập đến website này là xong. (Các ISP hầu hết trong tay họ hay họ có thể quản lý được)
Những thủ đoạn cài mã độc, lấy cắp password, tạo mạng botnet (cũng từ thủ đoạn trôm password..), tung tin nói xấu cá nhân một cách hèn hạ... vốn tốn rất nhiều thời gian, công sức, tiền bạc... và chỉ có thể thực hiện bởi những người làm theo lệnh, làm vì tiền mà thôi (tiền này từ ngoại bang đấy).
Phân tích thật kỹ, nghĩ đi nghĩ lại, các bạn có thể hiểu động cơ và mục đích của những việc làm của STL thời gian vừa qua. Nếu nghĩ là STL là một nhóm cực đoan, ghét những người dân chủ (lề trái) thì chắc là bạn đã nhầm. STL nguy hiểm hơn ta nghĩ. Tôi đang nói về vận mệnh của quốc gia trong tình hình hiện nay.
To: exception
Không phải HVA chúng tôi đã nói hết các thông tin ra đâu. Cũng chỉ một phần thôi
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 12:02:33 (+0700) | #77 | 243496 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Hì hì, dân miền Nam có câu "thấy dzậy chớ hổng phải dzậy" có thể áp dụng trong trường hợp này. Những thứ được công bố trên diễn đàn chỉ là "a tip of an iceberg" nhưng sự thật vẫn là sự thật. Có thể chưa đến lúc sự thật được phơi bày nhưng không có nghĩa sự thật sẽ không bao giờ phơi bày. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 12:58:00 (+0700) | #78 | 243499 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
@bác PXMMRF: việc STL đổi modem để xoá dấu vết như bác lập luận có phần chưa thoả đáng. Em thì nghĩ đơn giản là WAN IP của STL đã là động thì giá trị 123.21.140.237 không còn ý nghĩa gì nữa sau khi họ reset modem. IP đó có thể vẫn "sống" nhưng nó đã được cấp cho một thuê bao khác và thuê bao đó dùng modem khác.
Trong trường hợp vẫn IP đó và modem khác nhưng vẫn thực hiện các hành vi của STL thì mới có cơ sở để tạm thời kết luận là họ thay modem (em chưa tìm được chi tiết đó trong bài phân tích của anh TQN). |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 13:23:19 (+0700) | #79 | 243500 |
DLKC
Elite Member
|
0 |
|
|
Joined: 24/03/2003 14:14:41
Messages: 161
Location: buồng chuối
Offline
|
|
hvthang wrote:
PXMMRF wrote:
=> Không tuyệt đối đâu bác PXMMRF, tuy WAN IP được cấp động nhưng cấp cho thuê bao nào và thời điểm nào đều được ISP log hết. Vấn đề là ai có thẩm quyền để yêu cầu ISP cấp cái log này thôi ạ.
To bác PX: em đồng ý với bạn hvthang ở chỗ màu vàng. Nếu có gì khác, mong bác góp ý và chia sẻ thêm.
5- Còn một điểm rất quan trong nữa là nếu thành viên STL áp dụng thường xuyên kết nôi "Bridge mode" cho modem, thì khả năng "mất " IP động cũ (123.21.140. 237) càng khó xảy ra. Vì với Bridge mode thì dòng dữ liệu (hay gọi là dòng packet cho nó... khó hiểu để doạ ai đó... hi hì) từ Internet vào sẽ không qua NAT của modem, có thể coi như bỏ qua modem và vào thẳng một router nối sau modem hay đến thẳng máy tính (computer). Lúc này WAN dynamic IP (123.21.140. 237) từ DSLAM sẽ đươc cấp, gán thẳng cho card mạng (NIC) của computer (chứ không phải cho modem, như khi áp dung PPPoE mode) và muốn truy cập Internet thì user phải đánh username và password do ISP cấp để truy câp ADSL ngay trên một cửa sổ máy tính, chứ không phải trên modem (Ngoài Win XP, để áp dụng Bridge mode, một sô HDH khác phải cài các phần mềm hỗ trợ).
Bác PX, em đã từng nghĩ đến trường hợp họ (STL) gán thẳng (static) cái IP 123.21.140.237 cho card mạng luôn. Em nghĩ rằng nếu họ lỡ bị mất kết nối khoảng vài giây (mất nguồn modem chẳng hạn) thì xác suất để cho ISP cấp cái IP 123.21.140.237 cho khách hàng khác sẽ không cao. Vì thế, họ có thể giữ cái IP đó một thời gian dài.
Vài lời chia sẻ, em đang chờ bài phân tích RFC 1483 của bác
Thân |
|
Biển học vô bờ. |
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 13:49:18 (+0700) | #80 | 243503 |
exception
Member
|
0 |
|
|
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
|
|
Nói đi nói lại, thực ra STL là người của ai thì mọi người cũng lờ mờ đoán ra rồi. Nhưng chẳng lẽ một nhóm được đầu tư tiền bạc, thời gian như thế mà lại làm ra các sản phẩm "gà mờ" như thế sao (qua các bài phân tích của anh TQN)? Có lẽ tiền của người đầu tư rơi nhầm chỗ rồi thì phải :lolz
Nhưng thôi, quay lại chủ đề kỹ thuật, anh TQN cho em xin ít mẫu xem nào. Sẵn tiện đang free không có gì phải làm đây. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 13:54:17 (+0700) | #81 | 243505 |
cr4zyb0y
Member
|
0 |
|
|
Joined: 27/05/2010 11:50:30
Messages: 51
Offline
|
|
exception wrote:
Nói đi nói lại, thực ra STL là người của ai thì mọi người cũng lờ mờ đoán ra rồi. Nhưng chẳng lẽ một nhóm được đầu tư tiền bạc, thời gian như thế mà lại làm ra các sản phẩm "gà mờ" như thế sao (qua các bài phân tích của anh TQN)? Có lẽ tiền của người đầu tư rơi nhầm chỗ rồi thì phải :lolz
Nhưng thôi, quay lại chủ đề kỹ thuật, anh TQN cho em xin ít mẫu xem nào. Sẵn tiện đang free không có gì phải làm đây.
bác đoán là ai vậy, em thì chịu.
còn chiện vung tiền, đầu tư nhìu mà sản phẩm gà mờ như bác nói thì ngoài đường thiếu gì, hay là bác hiện không ở VN |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 15:16:23 (+0700) | #82 | 243511 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
hvthang wrote:
@bác PXMMRF: việc STL đổi modem để xoá dấu vết như bác lập luận có phần chưa thoả đáng. Em thì nghĩ đơn giản là WAN IP của STL đã là động thì giá trị 123.21.140.237 không còn ý nghĩa gì nữa sau khi họ reset modem. IP đó có thể vẫn "sống" nhưng nó đã được cấp cho một thuê bao khác và thuê bao đó dùng modem khác.
Trong trường hợp vẫn IP đó và modem khác nhưng vẫn thực hiện các hành vi của STL thì mới có cơ sở để tạm thời kết luận là họ thay modem (em chưa tìm được chi tiết đó trong bài phân tích của anh TQN).
Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó.
Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe.
Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address).
Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng.
Cũng cần phải lưu ý là tuy STL dùng IP động nhưng lai muốn giữ IP không thay đổi trong 1 thời gian dài để tiên liên hệ (để mạng botnet có thể gửi thông tin về IP này). Đó cũng có khía cạnh mâu thuẫn giữa cần bí mật và muốn có sự tiện lơi.
Việc giữ IP động cho hệ thống của STL trong một thời gian đủ dài bằng cách nào thì tôi đã viết và bạn DLKC dưới đây đã bổ sung một cách khá thông minh rồi đấy.
To DLKC: Vấn đề là cơ quan điều tra sẽ ít nghi hay không để ý đến các user dùng hay được cấp IP động (như là ít người nghi kẻ đi bộ sẽ có thể cướp tiệm vàng ấy).
Còn đã nghi rồi thì tìm ra dễ thôi, như DLKC đã viết.
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 15:33:45 (+0700) | #83 | 243512 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
PXMMRF wrote:
Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó.
Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe.
Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address).
Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng.
MAC cũng quan trọng nhưng đâu quan trọng bằng username và password của phiên kết nối đó bác PXMMRF. Đây mới là căn cứ có cơ sở để xác thực một đối tượng nhận được IP vào một thời điểm nào đó của ISP.
Em nghĩ căn cứ này mới đủ mạnh. MAC hoàn toàn có thể đổi được nếu quay số từ máy tính (not modem), trước đây một số ISP fix MAC address với tài khoản (thay modem phải gọi điện mới vào mạng được) nhưng giờ họ không làm thế nữa.
Trong hầu hết trường hợp, tài khoản thuê bao và đường line vật lý thì đã được ISP fix. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 16:23:30 (+0700) | #84 | 243516 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
hvthang wrote:
PXMMRF wrote:
Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó.
Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe.
Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address).
Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng.
MAC cũng quan trọng nhưng đâu quan trọng bằng username và password của phiên kết nối đó bác PXMMRF. Đây mới là căn cứ có cơ sở để xác thực một đối tượng nhận được IP vào một thời điểm nào đó của ISP.
Em nghĩ căn cứ này mới đủ mạnh. MAC hoàn toàn có thể đổi được nếu quay số từ máy tính (not modem), trước đây một số ISP fix MAC address với tài khoản (thay modem phải gọi điện mới vào mạng được) nhưng giờ họ không làm thế nữa.
Trong hầu hết trường hợp, tài khoản thuê bao và đường line vật lý thì đã được ISP fix.
Tất nhiên là nếu ISP mà điều tra một user thuê bao của mình thì làm sao user thoát được (thí dụ điều tra về việc trốn trả tiền thuê bao chẳng hạn).
Nhưng ở đây đang nói về điều tra chuyện khác cơ, chuyện phát tán virus và trojạn chẳng hạn. Khi đó thì các website khảo sát mạng online chỉ có thể xác định được IP của black-hat hacker và cao cấp hơn là MAC address của thiết bị nó đang dùng thôi chứ. Làm sao họ biết đươc username và password vào ADSL của hắn ta, mà thưc sự cũng không cần biết.
Ngoài ra nếu một ISP muốn điều tra-kết tội một user vì chuyện phát tán virus, trojan, spam (dù rất ít khi ISP làm việc này trong thưc tế) thì cũng phải bắt được tang chứng, vật chứng chứ (modem+server chứa đầy virus+ danh sách nạn nhân thông kê trong server....). Không thì đâu có chứng cớ buộc tội. Xác định đúng thủ phạm là việc khó, nhưng lấy được bằng chứng để có thể kết tội họ về các hành động xấu trên mạng thưc ra khó hơn nhiều
Ngoài ra ở nước ngoài các ISP cho phép user đổi password và username vào ADSL. Còn ở ta thì không quản được, nên cấm luôn. Hì hì
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 16:41:47 (+0700) | #85 | 243518 |
mv1098
Member
|
0 |
|
|
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
|
|
Cho em hỏi 2 vấn đề:
1 nếu ip mà TQN nêu trên là nơi tiếp nhận thông tin thì lưu lượng download nhiều hơn hay lưu lượng upload nhiều hơn.
2 nhón STL được biết đến từ thời điểm nào ( ngày tháng năm ) cụ thể càng tốt
thanks
|
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 16:42:08 (+0700) | #86 | 243519 |
exception
Member
|
0 |
|
|
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
|
|
còn chiện vung tiền, đầu tư nhìu mà sản phẩm gà mờ như bác nói thì ngoài đường thiếu gì, hay là bác hiện không ở VN
Đâu cần ở VN cũng có thể biết được chuyện này mà
Bàn luận xong ở đây thì STL cũng đã: vứt modem, đổi địa chỉ nhà, huỷ hợp đồng và biến mất. Sao không xông thẳng tới VNCERT, đề nghị ISP cung cấp tin tức tội phạm. Vậy có phải là hay ko? |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 16:43:05 (+0700) | #87 | 243521 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Không biết các bác nghĩ sao, chứ em bây giờ cũng bị lạc vào mê hồn trận của STL rồi. Theo thông tin em có thì em nghĩ là có tới 2 team, cùng đội lốt STL, cùng đánh phá các trang, blog chống đối chính quyền, nhưng lại cùng quay ra chơi nhau.
Tui nói vậy phải không Nguyễn Văn Tú: nguyen.v.tu1987@gmail.com. Chính cậu gởi tui hai file giả danh Screen Saver và Exe giả Doc. Mấy ngày nay tui mail vài mail hỏi cậu làm sao có mail Yahoo của tui, hỏi cậu vài câu cần xác thực, cậu lại im lặng, không trả lời. Cậu là STL đích thực phải không, muốn vu oan giá hoạ cho thành viên bên team kia phải không ?
2 exception và các thành viên khác: Toàn bộ malware của STL (?) tui đã post link lên, các bạn đọc không kỹ thôi. Tui up ở thư mục này của mediafire: http://www.mediafire.com/?tz745o0f678w8
Và có bạn từ bên CMC sau khi gởi toàn bộ mẫu virus đó cho CMC đã PM thông báo cho tui CMC đã cập nhật và diệt được đám "mèo què" đó. Chân thành cảm ơn CMC và bạn. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 16:50:51 (+0700) | #88 | 243522 |
micros3ll
Member
|
0 |
|
|
Joined: 12/07/2011 19:32:16
Messages: 2
Offline
|
|
exception wrote:
Nói đi nói lại, thực ra STL là người của ai thì mọi người cũng lờ mờ đoán ra rồi. Nhưng chẳng lẽ một nhóm được đầu tư tiền bạc, thời gian như thế mà lại làm ra các sản phẩm "gà mờ" như thế sao (qua các bài phân tích của anh TQN)? Có lẽ tiền của người đầu tư rơi nhầm chỗ rồi thì phải :lolz
Nhưng thôi, quay lại chủ đề kỹ thuật, anh TQN cho em xin ít mẫu xem nào. Sẵn tiện đang free không có gì phải làm đây.
@exception : TQN đánh giá vậy, tôi cũng không biết những người đã phân tích các mẫu này đánh giá như thế nào ? Nhưng cá nhân tôi thì không đánh giá họ ở mức "gà mờ" như vậy. "exception" đã phân tích chưa ??? Là người học kĩ thuật, sao không tự làm đi, lời nói sao lại dựa theo chính kiến của người khác vậy exception ??? Không biết ngượng ah`
|
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 16:59:17 (+0700) | #89 | 243523 |
exception
Member
|
0 |
|
|
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
|
|
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
14/07/2011 17:01:40 (+0700) | #90 | 243524 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
2 micros3ll: Về trình độ code VC++, API, các thành viên của STL phải nói là rất khá, khá hơn rất nhiều VN newbie virus coder. Nhưng so với virus các virus nổi tiếng của Nga, code của con Stuxnet, TDL3/4 rootkit... thì các coder STL còn xa mới theo kịp.
Bà con nào down CMC về test thử với đống malwares tui đã úp ở mediafire. Tui thật tình chưa biết mặt mũi CMC ra sao cả.
Các bạn có để ý kỹ, đọc kỹ 3 bức hình và bài post của anh conmale không ? Tài khoản Yahoo Mail của xuann28@yahoo.com có liên quan tới một thằng cha bên tàu, đuôi .cn. Chủ nhân xuann28@yahoo.com và xuan28@yahoo.com.vn là một, và email tạo thằng xuan28@yahoo.com.vn là từ một thằng tàu khựa.
Địa chỉ xuann28@yahoo.com (các bạn chú ý, xuann , có 2 chữ n nhé) nằm chình ình trong file Exe giả doc sau khi được decode. Và người decode nó là cao thủ giấu mặt và làm giỏi, nhanh hơn thằng già như tui. Cảm ơn bạn trẻ nhé, tuổi trẻ tài cao, cố lên nữa nhé !
2 Nguyễn Văn Tú: cậu có hỏi tại sao tui nghi ngờ cậu là thành viên STL không ? Cậu hảy trả lời câu hỏi của tui: làm sao cậu biết được Yahoo mail của tui. Tui rất, rất hiếm cho ai là người lạ, không quen biết, chưa từng gặp mặt mail Yahoo của tui, và tui rất hiếm khi chát với ai.
Yahoo mail của TQN tui lộ ra hai lần:
1. Lần HVA bị STL lấy được danh sách thành viên và post lên trang sinh tử phập phù.
2. Lần tui bị dính malware của STL, các cậu login vào HVA = account của tui và post Yahoo mail của tui lên.
Cậu nói, cậu theo dõi topic RCE của tui, trong đó tui đã cố tình trương chình ình cái mail google của tui lên, nếu cậu không biết gì về tui, thì tại sao cậu không gỡi cho tui theo cái Gmail đấy, mà lại gởi tới cái Yahoo Mail ! |
|
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|