Tổng quát về Tội phạm máy tính

- Khái niệm - Đặc điểm - Tính chất

Tố giác tội phạm máy tính như thế nào?

Cách thức, thể thức và trình tự

Miễn phí bản quyền phần mềm

Tập hợp bản quyền miễn phí theo ngày

25 July 2011

BUSY

Do đợt này khá bận nên mình không update blog thường xuyên...... :))

18 July 2011

[Hack Crack] Network Security Tools

[RAT] Góc nhìn khác về Sinh Tử Lệnh

Anh Conmale, TQN và mọi người trên HVA đang có những bài phân tích về đám malware của STL...

Tới trưa nay, sau 1 lúc RCE mẫu mới của STL, em xin nhắc lại lần nữa: Các bạn remote ngay Unikey, Vietkey... down từ các trang không phải trang chủ về. Search các file TeamViewer.exe có size = 65536 byte và uxtheme.manifest, size = 103,424 bytes. Xoá ngay hai ông nội này ngay lập tức, bằng mọi cách.
Tụi STL này sao cứ lợi dụng, núp bóng uxtheme.* hoài vậy ha !
PS: Mắt đã đau, ngồi máy sáng giờ, xót quá. Em xin tạm nghĩ !

Thật ra nếu cần điều tra và có sự giúp đỡ của ISP thì chỉ trong vòng 1 ngày là lòi ra tất cả mọi thứ nhưng rất tiếc, anh em HVA không có và không thể có sự giúp đỡ này. Bù vào đó, anh em HVA chỉ có thể công bố một số cảnh báo quan trọng để người dùng biết mà dè chừng. Anh em nào rảnh thì submit các biến thái của malware này đến những nhóm phát triển antiviruses thì càng tốt.

Trong trò chơi "chân chân giả giả" này cái thiệt hại ghê gớm nhất không phải là bị cài trojans, bị mất hòm thư hoặc bị bêu rếu một cách thô thiển mà là sự ngờ vực lẫn nhau. Những trò chơi của STL đẩy người ta tới chỗ chẳng có ai còn có thể tin ai được nữa vì tất cả đều có thể là giả dối, nguỵ tạo và lường gạt.

Cảm ơn nobitapm. Em chỉ cần giúp mọi người Google rồi post thông tinh search được về những thành viên STL lên Internet cho mọi người biết được rồi.
Còn giúp hơn nữa thì gởi cho anh vài két Ken để anh giải khát khi ngồi máy. Có men vô RCE mới xung, post bài mới dạn tay

Chiều giờ ngồi RCE một mẫu mới của STL của một cao thủ giấu mặt gởi tới. Đích thị là của STL, còn mới tinh, nóng hổi. Build date gồm: 30/04/2011, 03/05/2011. 09/05/2011. Coding style y chang, dùng pure C và API là chính, không dùng C++, thỉnh thoãng dùng operator new [] và delete []. Nhưng lạ là trojan down về máy victim lại có build date "hơi bị cũ": 04/09/2010. Toàn bộ build = VC ++ 2008.
Hết "mèo què" để install vào máy nạn nhân rồi à, đợi viết tiếp hay dừng lại để chuyển qua VB .NET, VC++ 2011 à ?
Code lên tay lắm đó, tới giờ dùng kỹ thuật mới rồi à: steganography, che giấu URL và emmbed PE EXE file trong file ảnh à, mấy đại ca STL ? Nhưng tiếc là steganography em biết và code từ 7-8 năm trước rồi.

Lần này, thằng coder của STL lại quên xoá Debug Info trong file EXE, thư mục source của nó: I:\MarsWar\ClientDll\Release\ClientDll.pdb. Thằng coder này đích thị là thằng coder của hardkdb.dll, toàn để source trong mấy thư mục dành code auto GameOnline.

thật ra không phải "kỳ này" đâu bồ mà từ 2010, các bạn STL đã phát tán trojan kiểu này rồi. Đặc biệt, đối với những đối tượng "quan trọng" họ rất kiên nhẫn và cẩn thận bằng cách chỉ gởi mail đến từng người, từng địa chỉ e-mail cụ thể chớ không gởi hàng loạt. Lớ ngớ chủ quan 1 tí là dính chấu ngay.

Như tớ đã nhận định từ hồi 2010, STL hầu như không penetrate các hệ thống trực tiếp mà họ chỉ chơi trojan để chôm password và thông tin cá nhân. Đây là trò chơi hạ đẳng nhưng lại effective nhất bởi vì nguyên tắc bảo mật nằm ở chỗ: your strongest defense is as weak as your weakest point. Phương pháp làm việc của họ là phát tán trojan đến một số đối tượng họ cho là "chủ chốt". Dạng đối tượng "chủ chốt" thì e-mail của họ thường có sẵn trên mạng. Từ chỗ "trồng" trojans đến các đối tượng "chủ chốt" họ nắm bắt được các quan hệ xã hội, địa chỉ liên lạc và vô số thông tin khác, từ đó họ tiếp tục phát tán rộng ra. Phần lớn các bloggers bị tấn công và chiếm giữ blogs (được gọi một cách đầy thẩm quyền như STL thường gọi là "thu hồi" là đi xuyên phương pháp này. Phần còn lại, các email râu ria khác thì bị phán tán để biến thành zombies cho mục đích tạo DDoS.

Phải nói rằng STL là nhóm đầu tiên ở VN dành rất nhiều thời gian, tiền bạc, công sức, khả năng và thậm chí... thủ đoạn để thực hiện những "chiến dịch lừng lẫy" . Dù muốn dù không, dù đẹp đẽ hay xấu xí, dù vinh quang hay bẩn thỉu, những việc làm này đã đi vào lịch sử CNTT VN. Hãnh diện hay hổ thẹn thì tuỳ cách nhìn mà cảm nhận.

Tuy nhiên, Toiphammaytinh sẽ đưa ra góc nhìn mới về SINH TỬ LỆNH (người đứng ngoài cuộc và không liên quan đến CNTT)


Xét tới vấn đề AN NINH QUỐC GIA: thì SINH TỬ LỆNH hoặc CÁCH THỨC MÀ SINH TỬ LỆNH THỰC HIỆN là 1 cách làm hiệu quả.... chúng ta có thể nắm được các TRÙM ĐỨNG ĐẦU. Đảm bảo được các vấn đề như: KHỦNG BỐ, ĐÁNH BOM...v.v. Các vấn đề liên quan đến AN NINH QUỐC GIA



Xét tới vấn đề BẢO VỆ NỘI BỘ: Không có gì đảm bảo và tốt bằng cơ chế GIÁM SÁT LẪN NHAU.... Ngăn ngừa những phát sinh từ nội bộ mà ra


Song, nếu những việc trên không được kiểm soát và thông tin lại được cung cấp cho 1 bộ phận thiểu số người thì đó là NGUY HẠI :))


Tất nhiên, cách thức trên và biện pháp trên đã được áp dụng và thực hiện ở các quốc gia trên thế giới... không đơn giản chỉ là liên quan đến internet mà còn là viễn thông, ..v.v.



Ở đây, cần phải thẳng thắn nhìn nhận rằng: CÓ NÊN BẮT SINH TỬ LỆNH KHÔNG? HAY NÊN CẢM HÓA HỌ PHỤC VỤ LỢI ÍCH QUỐC GIA :))


Chém gió linh tinh cho có tý gió :)
Một khía cạnh nào đó, nghiêm cấm các nhân viên trong công ty sử dụng  máy tính làm việc KẾT NỐI Internet là 1 ý tưởng hay..... cũng như khuyến khích sử dụng Skype thay vì Yahoo chat.
V.v


Mỗi nhân viên có 02 máy tính.... 1 máy tính làm việc và 1 máy tính kết nối internet :)




























11 July 2011

[HACK CRACK] RCE và vô hiệu hoá VB.NET virus (của STL à ?)

http://www.hvaonline.net/hvaonline/posts/list/39504.hva
Hi anh em !
Tình hình là em xin lỗi đã dừng topic RCE đám "méo què" của STL bên kia hơi lâu. Anh em thông cảm, dạo này em lu bu nhiều việc quá, công trình đã nghiệm thu, còn làm lặt vặt, phải lo đi nhậu nhẹt, tìm công trình mới, rồi còn phải nuôi một mớ "rau cỏ" nữa. Vì vậy thời gian ngồi máy của em hơi bị ít đi. Gần đây sếp công ty mẹ vào dí em nữa.
Trưa nay em trốn ở nhà, ngồi post bài này. Post ngắn thôi, từ từ em post tiếp.
Số là gần đây có một bạn có gởi cho em một cục "méo què" nữa, theo bạn ấy là "mèo què" của tụi STL. Đám "meo què" này giã danh là các file .jpeg scan nói gì đó về cha Nguyễn Văn Lý gì đó, mà em có biết cha Lý này là gì đâu, vì em theo Phật Giáo và Ma giáo mà, nên em không care nó chữi rủa gì trong đó. Đám "meo què" này đang phát tán trong cộng động công giáo VN và Hải Ngoại. Bạn ấy nói nghi ngờ là của tụi STL. Em không dám chắc lắm.
File bạn ấy gởi cho em ở đây: http://www.mediafire.com/?ba021pr86xn113i
Password = !123456
Các bạn để ý là trong đấy có 3 file có đuôi là .scr, tức Screen "Say vờ" của Windows. 3 file .scr này là 3 file .exe, viết = VB.NET trên nền .NET Framework 2.0.
Các file .scr này được protect và obfucscated bằng SmartAssembly và dotNET Reactor. Nhưng không sao, vào tay em là "chuyện nhỏ như con thỏ". Sau khi em unpack và deobfuscator ra, em mới bắt đầu RCE nó.
Quá trình RCE .NET virus này hơi dài, nên từ từ em post sau. Sau mấy ngày RCE, sáng sớm một chút, tối về. sau khi "xỉn xỉn", RCE một chút, em đã tìm được author của đám virus này.
Kỷ thuật mà đám "méo què" này dùng để dùng keylog, ăn cắp hầu hết thông tin về máy nạn nhân, ăn cắp username và password của nạn nhân trong FireFox, IE, Google Chrome, YM, Skype... y như đám "méo què" bên kia, không khác một chút. Vd: cũng dùng SQLLite, các DLL của FireFox và các API đó, cũng lấy ProductID, WinVer của máy nạn nhân.... Chỉ khác bên kia là native code (RCE mệt bỏ xxx), bên này là .NET code, RCE "khoẻ ru bà rù".
Vì vậy, em có thể dám chắc 90% là đám "méo què" này là của tụi Sống Chết theo Lệnh (STL). Em nói đúng không mấy anh STL. Nếu em có nói đúng thì đừng buồn em nhé, còn không phải của mấy anh thì "sa pha" nó ha ! 
---> thật ra không phải "kỳ này" đâu bồ mà từ 2010, các bạn STL đã phát tán trojan kiểu này rồi. Đặc biệt, đối với những đối tượng "quan trọng" họ rất kiên nhẫn và cẩn thận bằng cách chỉ gởi mail đến từng người, từng địa chỉ e-mail cụ thể chớ không gởi hàng loạt. Lớ ngớ chủ quan 1 tí là dính chấu ngay.

Như tớ đã nhận định từ hồi 2010, STL hầu như không penetrate các hệ thống trực tiếp mà họ chỉ chơi trojan để chôm password và thông tin cá nhân. Đây là trò chơi hạ đẳng nhưng lại effective nhất bởi vì nguyên tắc bảo mật nằm ở chỗ: your strongest defense is as weak as your weakest point. Phương pháp làm việc của họ là phát tán trojan đến một số đối tượng họ cho là "chủ chốt". Dạng đối tượng "chủ chốt" thì e-mail của họ thường có sẵn trên mạng. Từ chỗ "trồng" trojans đến các đối tượng "chủ chốt" họ nắm bắt được các quan hệ xã hội, địa chỉ liên lạc và vô số thông tin khác, từ đó họ tiếp tục phát tán rộng ra. Phần lớn các bloggers bị tấn công và chiếm giữ blogs (được gọi một cách đầy thẩm quyền như STL thường gọi là "thu hồi" là đi xuyên phương pháp này. Phần còn lại, các email râu ria khác thì bị phán tán để biến thành zombies cho mục đích tạo DDoS.

Phải nói rằng STL là nhóm đầu tiên ở VN dành rất nhiều thời gian, tiền bạc, công sức, khả năng và thậm chí... thủ đoạn để thực hiện những "chiến dịch lừng lẫy"  . Dù muốn dù không, dù đẹp đẽ hay xấu xí, dù vinh quang hay bẩn thỉu, những việc làm này đã đi vào lịch sử CNTT VN. Hãnh diện hay hổ thẹn thì tuỳ cách nhìn mà cảm nhận.

08 July 2011

[RAT] Giao diện mới của Blogspot

Lâu rồi không có thời gian chăm nom cái Blogspot này... thấy nhiều thay đổi :))

06 July 2011

[Tài liệu] Facebook Forensics

Facebook activities have grown in popularity along with its social networking site.  However,
many cases involve potential grooming offences in which the use of Facebook platform and
Facebook App for mobile needs to be investigated.  As various activities such as instant chats, wall
comments and group events could create a number of footprints in different memory locations, the
purpose of this study is to discover their evidences on various platforms or devices.

The analysis process mainly uses various physical and logical acquisition tools for memory
forensics, as well as Internet evidence finding tools for web browser cache searching or rebuilding. 
After locating the evidence of a Facebook activity, its footprints could be examined by referring to
the response from corresponding Facebook communication.  The same activity may be tested
several times with different contents to increase the accuracy.

Throughout the research, there are some significant findings.  Facebook core objects could be
located in different memory units including RAM, browser cache, pagefiles, unallocated clusters
and system restore point of a computer.  More importantly, these findings are matched with those
in virtual machines and the corresponding snapshot images.  Although separate sets of results are
obtained from iPhone or Android phone due to the difference between Facebook App and a
standard web browser, evidence could still be located in the file system using mobile device
forensics tools.

Download: https://4398226199850538999-a-1802744773732722657-s-sites.googlegroups.com/site/valkyriexsecurityresearch/announcements/facebookforensicspaperpublished/Facebook_Forensics-Finalized.pdf?attachauth=ANoY7coW0827l3o9yNdLdWdpTIxg6eCLR4k7Z93-iP5xtE5T2egxtLXaxutmWTXw46SyBjS6PXH9OdwOUF1XqQPVjdaXgWvUcu5Voqn3OIYILJXmZDdtLPdRovgaU_CRe_LehxueJuoyr7PShyihOMFU_Zzi-1BOAAyOsSr_7zSkHnZFuQHEfZOcpg-IYAUdx5NYxH8x6LAvT6P0nZ7ndwpR4tqinn0MAWt9KkkX86U-HSjsTWIE5apW7eEBlv8cX3AQXMQYKwEynD4HJWd8xpmTZIfDGIBaeamA0nssFKJWyc-zOFfiifA%3D&attredirects=0&d=1