11 July 2011

[HACK CRACK] RCE và vô hiệu hoá VB.NET virus (của STL à ?)


Bài viết liên quan:

http://www.hvaonline.net/hvaonline/posts/list/39504.hva
Hi anh em !
Tình hình là em xin lỗi đã dừng topic RCE đám "méo què" của STL bên kia hơi lâu. Anh em thông cảm, dạo này em lu bu nhiều việc quá, công trình đã nghiệm thu, còn làm lặt vặt, phải lo đi nhậu nhẹt, tìm công trình mới, rồi còn phải nuôi một mớ "rau cỏ" nữa. Vì vậy thời gian ngồi máy của em hơi bị ít đi. Gần đây sếp công ty mẹ vào dí em nữa.
Trưa nay em trốn ở nhà, ngồi post bài này. Post ngắn thôi, từ từ em post tiếp.
Số là gần đây có một bạn có gởi cho em một cục "méo què" nữa, theo bạn ấy là "mèo què" của tụi STL. Đám "meo què" này giã danh là các file .jpeg scan nói gì đó về cha Nguyễn Văn Lý gì đó, mà em có biết cha Lý này là gì đâu, vì em theo Phật Giáo và Ma giáo mà, nên em không care nó chữi rủa gì trong đó. Đám "meo què" này đang phát tán trong cộng động công giáo VN và Hải Ngoại. Bạn ấy nói nghi ngờ là của tụi STL. Em không dám chắc lắm.
File bạn ấy gởi cho em ở đây: http://www.mediafire.com/?ba021pr86xn113i
Password = !123456
Các bạn để ý là trong đấy có 3 file có đuôi là .scr, tức Screen "Say vờ" của Windows. 3 file .scr này là 3 file .exe, viết = VB.NET trên nền .NET Framework 2.0.
Các file .scr này được protect và obfucscated bằng SmartAssembly và dotNET Reactor. Nhưng không sao, vào tay em là "chuyện nhỏ như con thỏ". Sau khi em unpack và deobfuscator ra, em mới bắt đầu RCE nó.
Quá trình RCE .NET virus này hơi dài, nên từ từ em post sau. Sau mấy ngày RCE, sáng sớm một chút, tối về. sau khi "xỉn xỉn", RCE một chút, em đã tìm được author của đám virus này.
Kỷ thuật mà đám "méo què" này dùng để dùng keylog, ăn cắp hầu hết thông tin về máy nạn nhân, ăn cắp username và password của nạn nhân trong FireFox, IE, Google Chrome, YM, Skype... y như đám "méo què" bên kia, không khác một chút. Vd: cũng dùng SQLLite, các DLL của FireFox và các API đó, cũng lấy ProductID, WinVer của máy nạn nhân.... Chỉ khác bên kia là native code (RCE mệt bỏ xxx), bên này là .NET code, RCE "khoẻ ru bà rù".
Vì vậy, em có thể dám chắc 90% là đám "méo què" này là của tụi Sống Chết theo Lệnh (STL). Em nói đúng không mấy anh STL. Nếu em có nói đúng thì đừng buồn em nhé, còn không phải của mấy anh thì "sa pha" nó ha ! 
---> thật ra không phải "kỳ này" đâu bồ mà từ 2010, các bạn STL đã phát tán trojan kiểu này rồi. Đặc biệt, đối với những đối tượng "quan trọng" họ rất kiên nhẫn và cẩn thận bằng cách chỉ gởi mail đến từng người, từng địa chỉ e-mail cụ thể chớ không gởi hàng loạt. Lớ ngớ chủ quan 1 tí là dính chấu ngay.

Như tớ đã nhận định từ hồi 2010, STL hầu như không penetrate các hệ thống trực tiếp mà họ chỉ chơi trojan để chôm password và thông tin cá nhân. Đây là trò chơi hạ đẳng nhưng lại effective nhất bởi vì nguyên tắc bảo mật nằm ở chỗ: your strongest defense is as weak as your weakest point. Phương pháp làm việc của họ là phát tán trojan đến một số đối tượng họ cho là "chủ chốt". Dạng đối tượng "chủ chốt" thì e-mail của họ thường có sẵn trên mạng. Từ chỗ "trồng" trojans đến các đối tượng "chủ chốt" họ nắm bắt được các quan hệ xã hội, địa chỉ liên lạc và vô số thông tin khác, từ đó họ tiếp tục phát tán rộng ra. Phần lớn các bloggers bị tấn công và chiếm giữ blogs (được gọi một cách đầy thẩm quyền như STL thường gọi là "thu hồi" là đi xuyên phương pháp này. Phần còn lại, các email râu ria khác thì bị phán tán để biến thành zombies cho mục đích tạo DDoS.

Phải nói rằng STL là nhóm đầu tiên ở VN dành rất nhiều thời gian, tiền bạc, công sức, khả năng và thậm chí... thủ đoạn để thực hiện những "chiến dịch lừng lẫy"  . Dù muốn dù không, dù đẹp đẽ hay xấu xí, dù vinh quang hay bẩn thỉu, những việc làm này đã đi vào lịch sử CNTT VN. Hãnh diện hay hổ thẹn thì tuỳ cách nhìn mà cảm nhận.

0 comments:

Post a Comment

Để lại góp ý của bạn để blog của mình hoàn thiện hơn :))