18 July 2011

[RAT] Góc nhìn khác về Sinh Tử Lệnh


Bài viết liên quan:

Anh Conmale, TQN và mọi người trên HVA đang có những bài phân tích về đám malware của STL...

Tới trưa nay, sau 1 lúc RCE mẫu mới của STL, em xin nhắc lại lần nữa: Các bạn remote ngay Unikey, Vietkey... down từ các trang không phải trang chủ về. Search các file TeamViewer.exe có size = 65536 byte và uxtheme.manifest, size = 103,424 bytes. Xoá ngay hai ông nội này ngay lập tức, bằng mọi cách.
Tụi STL này sao cứ lợi dụng, núp bóng uxtheme.* hoài vậy ha !
PS: Mắt đã đau, ngồi máy sáng giờ, xót quá. Em xin tạm nghĩ !

Thật ra nếu cần điều tra và có sự giúp đỡ của ISP thì chỉ trong vòng 1 ngày là lòi ra tất cả mọi thứ nhưng rất tiếc, anh em HVA không có và không thể có sự giúp đỡ này. Bù vào đó, anh em HVA chỉ có thể công bố một số cảnh báo quan trọng để người dùng biết mà dè chừng. Anh em nào rảnh thì submit các biến thái của malware này đến những nhóm phát triển antiviruses thì càng tốt.

Trong trò chơi "chân chân giả giả" này cái thiệt hại ghê gớm nhất không phải là bị cài trojans, bị mất hòm thư hoặc bị bêu rếu một cách thô thiển mà là sự ngờ vực lẫn nhau. Những trò chơi của STL đẩy người ta tới chỗ chẳng có ai còn có thể tin ai được nữa vì tất cả đều có thể là giả dối, nguỵ tạo và lường gạt.

Cảm ơn nobitapm. Em chỉ cần giúp mọi người Google rồi post thông tinh search được về những thành viên STL lên Internet cho mọi người biết được rồi.
Còn giúp hơn nữa thì gởi cho anh vài két Ken để anh giải khát khi ngồi máy. Có men vô RCE mới xung, post bài mới dạn tay

Chiều giờ ngồi RCE một mẫu mới của STL của một cao thủ giấu mặt gởi tới. Đích thị là của STL, còn mới tinh, nóng hổi. Build date gồm: 30/04/2011, 03/05/2011. 09/05/2011. Coding style y chang, dùng pure C và API là chính, không dùng C++, thỉnh thoãng dùng operator new [] và delete []. Nhưng lạ là trojan down về máy victim lại có build date "hơi bị cũ": 04/09/2010. Toàn bộ build = VC ++ 2008.
Hết "mèo què" để install vào máy nạn nhân rồi à, đợi viết tiếp hay dừng lại để chuyển qua VB .NET, VC++ 2011 à ?
Code lên tay lắm đó, tới giờ dùng kỹ thuật mới rồi à: steganography, che giấu URL và emmbed PE EXE file trong file ảnh à, mấy đại ca STL ? Nhưng tiếc là steganography em biết và code từ 7-8 năm trước rồi.

Lần này, thằng coder của STL lại quên xoá Debug Info trong file EXE, thư mục source của nó: I:\MarsWar\ClientDll\Release\ClientDll.pdb. Thằng coder này đích thị là thằng coder của hardkdb.dll, toàn để source trong mấy thư mục dành code auto GameOnline.

thật ra không phải "kỳ này" đâu bồ mà từ 2010, các bạn STL đã phát tán trojan kiểu này rồi. Đặc biệt, đối với những đối tượng "quan trọng" họ rất kiên nhẫn và cẩn thận bằng cách chỉ gởi mail đến từng người, từng địa chỉ e-mail cụ thể chớ không gởi hàng loạt. Lớ ngớ chủ quan 1 tí là dính chấu ngay.

Như tớ đã nhận định từ hồi 2010, STL hầu như không penetrate các hệ thống trực tiếp mà họ chỉ chơi trojan để chôm password và thông tin cá nhân. Đây là trò chơi hạ đẳng nhưng lại effective nhất bởi vì nguyên tắc bảo mật nằm ở chỗ: your strongest defense is as weak as your weakest point. Phương pháp làm việc của họ là phát tán trojan đến một số đối tượng họ cho là "chủ chốt". Dạng đối tượng "chủ chốt" thì e-mail của họ thường có sẵn trên mạng. Từ chỗ "trồng" trojans đến các đối tượng "chủ chốt" họ nắm bắt được các quan hệ xã hội, địa chỉ liên lạc và vô số thông tin khác, từ đó họ tiếp tục phát tán rộng ra. Phần lớn các bloggers bị tấn công và chiếm giữ blogs (được gọi một cách đầy thẩm quyền như STL thường gọi là "thu hồi" là đi xuyên phương pháp này. Phần còn lại, các email râu ria khác thì bị phán tán để biến thành zombies cho mục đích tạo DDoS.

Phải nói rằng STL là nhóm đầu tiên ở VN dành rất nhiều thời gian, tiền bạc, công sức, khả năng và thậm chí... thủ đoạn để thực hiện những "chiến dịch lừng lẫy" . Dù muốn dù không, dù đẹp đẽ hay xấu xí, dù vinh quang hay bẩn thỉu, những việc làm này đã đi vào lịch sử CNTT VN. Hãnh diện hay hổ thẹn thì tuỳ cách nhìn mà cảm nhận.

Tuy nhiên, Toiphammaytinh sẽ đưa ra góc nhìn mới về SINH TỬ LỆNH (người đứng ngoài cuộc và không liên quan đến CNTT)


Xét tới vấn đề AN NINH QUỐC GIA: thì SINH TỬ LỆNH hoặc CÁCH THỨC MÀ SINH TỬ LỆNH THỰC HIỆN là 1 cách làm hiệu quả.... chúng ta có thể nắm được các TRÙM ĐỨNG ĐẦU. Đảm bảo được các vấn đề như: KHỦNG BỐ, ĐÁNH BOM...v.v. Các vấn đề liên quan đến AN NINH QUỐC GIA



Xét tới vấn đề BẢO VỆ NỘI BỘ: Không có gì đảm bảo và tốt bằng cơ chế GIÁM SÁT LẪN NHAU.... Ngăn ngừa những phát sinh từ nội bộ mà ra


Song, nếu những việc trên không được kiểm soát và thông tin lại được cung cấp cho 1 bộ phận thiểu số người thì đó là NGUY HẠI :))


Tất nhiên, cách thức trên và biện pháp trên đã được áp dụng và thực hiện ở các quốc gia trên thế giới... không đơn giản chỉ là liên quan đến internet mà còn là viễn thông, ..v.v.



Ở đây, cần phải thẳng thắn nhìn nhận rằng: CÓ NÊN BẮT SINH TỬ LỆNH KHÔNG? HAY NÊN CẢM HÓA HỌ PHỤC VỤ LỢI ÍCH QUỐC GIA :))


Chém gió linh tinh cho có tý gió :)
Một khía cạnh nào đó, nghiêm cấm các nhân viên trong công ty sử dụng  máy tính làm việc KẾT NỐI Internet là 1 ý tưởng hay..... cũng như khuyến khích sử dụng Skype thay vì Yahoo chat.
V.v


Mỗi nhân viên có 02 máy tính.... 1 máy tính làm việc và 1 máy tính kết nối internet :)




























0 comments:

Post a Comment

Để lại góp ý của bạn để blog của mình hoàn thiện hơn :))