Tường thuật trận đấu TQN vs. Sinh tử lệnh

Từ 7/7/2011 đến nay, một trận đấu hay đang diễn ra giữa TQN, một thành viên của diễn đàn hacker nổi tiếng HVA và nhóm hacker khét tiếng “Sinh tử lệnh” (?). Nội dung chi tiết có thể xem tại http://www.hvaonline.net/hvaonline/posts/list/0/39504.hva  (tên topic “RCE và vô hiệu hoá VB.NET virus (của STL à ?)” nằm trong diễn đàn con ” Thủ thuật reverse engineering”) hoặc tại cache của Google (nếu site HVA đóng thread này). Nếu lần đầu không vào được link trên (báo “vùng cấm”) thì mở site http://wwww.hvaonline.net trước rồi kích vào link trên.

Dưới góc độ người dùng máy tính bình thường, trận đấu này có nhiều điểm hay về an ninh bảo mật nên biết để đề phòng. Tôi tường thuật và bình luận dưới dạng dễ hiểu chia sẻ với mọi người (những đoạn chữ nghiêng là trích từ các post trên diễn đàn).

Sinh tử lệnh (STL) là nhóm hacker chuyên tấn công các site, blog, hộp thư “lề trái”. Khi hack thành công site nào, nhóm để lại biểu tượng dưới đây trên site nạn nhân:

Muốn biết thành tích của nhóm này chỉ cần gúc cụm từ “Sinh tử lệnh” là rõ.

HVA là một diễn đàn chuyên về an ninh, bảo mật máy tính của các hacker “mũ trắng”. HVA cũng từng bị STL tấn công vài lần. TQN là thành viên của HVA có “ân oán giang hồ” với nhóm này như chính TQN cho biết:

“Tại vì anh ghét cái đám này chơi trò dơ bẩn, hoành hoành bá đạo, uy hiếp mọi người, lên mặt coi mọi người không ra gì, lại còn tấn công anh nữa. Lại lên giọng chê anh RCE nữa mùa. Anh chỉ là nữa mùa, không = các pro, expert khác, nhưng cũng góp chút công sức nhỏ nhỏ, bớt thời gian nhậu nhẹt, em út để vạch mặt đám này.

Đầu tiên, TQN nhận được một file virus có chứa ba file screensaver. Thực chất các file screensaver này là file thực thi (exe) dùng cài keylogger vào máy nạn nhân: “Kỷ thuật mà đám “méo què” này dùng để dùng keylog, ăn cắp hầu hết thông tin về máy nạn nhân, ăn cắp username và password của nạn nhân trong FireFox, IE, Google Chrome, YM, Skype…“. (xem thêm về keylogger tại đây)

File virus nói trên được ngụy trang dưới dạng file ảnh được gửi kèm theo email tới máy nạn nhân, có nội dung gây chú ý cho người nhận (trong trường hợp này đối tượng là “lề trái” nên nội dung file nói về cha Nguyễn Văn Lý). Khi người nhận thư mở file đó xem thì các file exe sẽ tự động chạy, cài keylogger vào máy.

File virus cũng có thể là một file văn bản doc hoặc bất kỳ dạng file nào khác. Với một file doc được bàn tới trong topic này “Kịch bản nó như sau: Chạy file doc giả, nó dump ra 1 đống file trong đó có 2 file svchost.exe trong thư mục %windir% ( chứ không phải system32 nhé) là giả mạo. Đồng thời đi kèm nó là 1 DLL: svcph.dll “. Mở file doc bẩn nguy hiểm như thế đấy.

Bài học 1: tránh mở các file đính kèm email không rõ ràng, kể cả từ người quen gửi đến. Như phần sau sẽ rõ, hộp thư của người quen có thể đã bị chiếm hoặc thư có thể mạo danh người gửi.

Để tìm hiểu cơ chế thực thi của virus, TQN dùng kỹ thuật Reverse Code Engineering (RCE) dịch ngược từ mã thực thi ra mã nguồn và phát hiện ” đám “meo què” này gửi toàn bộ thông tin của victim về Google mail. Đây là một vài thông tin cấu hình về Gmail, FTP username, pwd của nó:

Ngoài ra thông tin trên máy nạn nhân cũng có thể được gửi bằng ftp về một máy chủ ftp nào đó.

Có điều lạ là trong virus lại chứa cả password hộp thư nơi nhận (?).Và những thông tin trên được mã hóa hai lần bằng hai thuật toán mã khác nhau mạnh nhất hiện nay là TripleDES và Base64 mà sao cũng giải mã ra được ? Cái này cao siêu quá, phục các bác hacker!

Có username và password, TQN login vào hộp thư Gmail và tìm ra các IP đã truy cập vào hộp thư đó đều là từ Việt nam. TQN chiếm hộp thư trên bằng cách thay đổi password và câu hỏi bí mật để khôi phục password. Như vậy chủ hộp thư không đọc được các thông tin từ virus gửi về nữa.

Vào được hộp thư Gmail, TQN liệt kê ra hàng loạt thông tin khác:

  • Địa chỉ hộp thư phục hồi
  • Địa chỉ các blog trên Blogspot dùng account Gmail này để quản lý.
  • Các địa chỉ khác hay giao dịch.
  • Các nick chat đã chat.

Và qua nội dung các thư do virus gửi về, TQN phát hiện được “Đám “meo què” của mấy cậu lợi hại thiệt đó, em vào gmail của cậu đọc mà hết cả hồn, chát chít, tán gái, xem hình, phim xxx, nói xấu chế độ… gì đó trên máy victim đều bị các cậu log, capture image hết

Tức là virus ghi lại (log) các nội dung và sao chụp cả màn hình máy nạn nhân gửi về. Để ví dụ, TQN đưa ra “Và dưới đây là minh hoạ cho tình trạng của victim khi bị đám “mèo què” này capture được khi đang chát với em út:” là màn hình Skype xem rõ nội dung một cuộc chat.

Vì các blog do hộp thư này quản lý đều là blog “lề trái” nên TQN đoán là hộp thư này nguyên thủy của một nhân vật “lề trái” bị nhóm Sinh tử lệnh chiếm: “Tới bây giờ, em đoán là chủ nhân của hộp mail này là chị Hương Giang, là chủ nhân của cả 2 blog anhbalang và chibasam. Nhưng hôp mail này đã bị thành viên STL ToHoangVu, số đt: 093206026x chiếm đoạt rồi dùng nó làm nơi nhận data, info của victims gởi về”.

Admin của HVA cảnh báo: “Tối hôm qua tớ ngồi phân tích và điều tra sâu hơn thì thấy chưa hẳn “tohoangvu” là thành viên của nhóm STL bởi vì có những thông tin chưa xác thực. Bởi vậy, nếu bà con đè “tohoangvu” ra mà chửi khi chưa xác định một cách tuyệt đối thì e oan uổng. Tớ không loại trừ trường hợp chính hòm thư của “tohoangvu” bị thuổng và danh tánh của “tohoangvu” bị sử dụng nhằm mục đích đánh lạc hướng (nếu bị điều tra).

Lời khuyên này của TQN khá “độc” “Sẵn đây em đề nghị các mod của HVA nên scan lại máy mình, download VietKey, UniKey sạch về dùng. Coi chừng mất pass rồi để tụi nó mạo danh anh em vào HVA quậy lên” .

Các bộ gõ tiếng Việt rất nhiều người dùng, là nơi thuận tiện nhất để cài keylogger. Thế nào là một bộ gõ sạch với Windows có lẽ chỉ có cách dùng hàng loạt phần mềm antivirus, anti-keylogger để quét. Tuy nhiên điều đó cũng chưa chắc, vì với một con virus khác TQN cho biết “KIS mới nhất của em không phát hiện được. VirusTotal cũng không, chỉ là ngi vấn“. Tuy nhiên, trình anti-virus nguồn mở clamav lại phát hiện được.

Trong Linux có hai cách:

  • Tải mã nguồn bộ gõ về, dịch từ mã nguồn ra mã máy rồi cài. Hy vọng là mã nguồn để công khai thì không bị chen mã độc vào. Còn soát mã nguồn để chắc chắn thì tôi và các bạn đều không đủ khả năng.
  • Chịu khó dùng bộ gõ tiếng Việt “quốc tế” như ibus-m17n, scim-m17n. Bản thân bộ gõ thì chắc là không có virus (trừ khi CIA cài), còn file vi-telex.mim là file text đọc được nên sẽ không bị cài mã độc.

Mặc dù TQN đã đổi password của hộp thư Gmail đã nói ở trên, nhưng hai hôm sau “vào thử hộp mail tuonglaivietnam2015, thấy hoảng hồn, trống rỗng“. Hóa ra hộp thư đó chủ cũ đã share cho người khác (Mail settings -> Accounts and Import -> Grant access to your account). Vì vậy, TQN kết luận người được share (tuonglaivietnam2010) có hành động xóa dấu vết chính là thuộc nhóm Sinh tử lệnh và nhờ tính năng theo dõi activity của Gmail biết được địa chỉ IP của người đó: “Vậy lần này chắc chắn tuonglaivietnam2010 đích thị là STL rồi, IP ở trên: 123.21.140.237

Scan IP trên cho ra kết quả:

21/tcp   open  ftp     GlobespanVirata ftpd 1.0
 23/tcp   open  telnet  Zoom ADSL modem telnetd X5 GS Ver 2.1.0
 8701/tcp open  unknown

Do chủ modem vẫn dùng account mặc định là admin/admin nên tìm được chủ thuê bao vnpt của ip 123.21.140.237 là ngokiennam / megavnn, và khi chui vào modem thì phát hiện một máy đang dùng:
wujianan-PC 192.168.1.100 00-24-1D-88-E4-79

Tuy nhiên, IP cấp cho các modem ADSL là IP động, lâu lâu lại đổi một lần hoặc khi bạn reset modem thì IP cũng đổi. Do đó ngokiennam không chắc đã phải là chủ modem vào lúc IP này login vào Gmail. Chỉ có các ISP mới có thể biết vào thời điểm nào, modem được gán IP gì và thông tin đó chắc cũng chỉ “các cơ quan chức năng” mới có đủ thẩm quyền yêu cầu ISP cung cấp.

Cái tên máy “wujianan-PC” cũng gây tranh luận. Nhưng người Hoa ở miền Nam cũng còn nhiều, không đủ cơ sở để suy luận ra điều gì.

Kể lại những điều trên để thấy quá trình truy tìm dấu vết nghiệp dư cũng có thể dẫn đến đâu.

TQN kết luận: “Gần như 100% các nạn nhân bị chúng hack đa số đều dùng FireFox và IE, chúng tích hợp các thư viện building của chính FireFox và IE để lấy tất tần tật mọi history, bookmark, username, password của mọi thứ trên máy nạn nhân. Vì vậy, việc chúng chiếm đoạt, hack các website, blog sau khi đã biết password là chuyện nhỏ (em cũng làm được mà smilie). Việc lấy các thông tin về file video, file hình ảnh, Yahoo log chat… được thực hiện sau khi chúng biết và đã có thông tin gần như đầy đủ của nạn nhân về mọi thứ trên máy nạn nhân. Chúng sẽ viết tiếp các module lấy các file mà chúng muốn xem, đặt các file text trên server của chúng, ra lệnh là nếu IP của máy này trùng với IP tao ra lệnh thì mày lấy file này, file kia up về cho tao.”

Trong một topic khác cũng trên diễn đàn HVA “ RCE đám virus của Sinh Tử Lệnh” TQN dịch ngược một số file virus khác cũng của STL và có các thông tin đáng chú ý sau đây tôi copy lại:

PS: Mọi người nên cẩn thận các trình gỏ tiếng Việt mà mình đang dùng: Unikey, Vietkey.
Nếu search trong máy có file msdata.vxd thì các bạn đã bị nhiểm keylog của tụi: “Sống Chết nghe theo lệnh” này.

Nếu bạn nào phát hiện có msdata.vxd trong System32 hay Local App Data thì lập tức dùng các tool chuyên xoá file như Unlocker, XueTr, IceSword… để move hay delete liền 2 file: hardkbd.dll và ieframe.ocx ngay.”

“AdobeUpdateManager.exe chính là một phần của VulcanBot mà đám McAfee đã công bố hồi tháng 4 năm 2010 và vpskeys, bộ gõ tiếng Việt của nhóm chuyên gia Việt Nam bị thay đổi và hàng ngàn người dùng bị dính chấu. Theo thông tin (bên trong) của một người bạn trong nhóm VPS cho biết, máy chủ của VPS bị thâm nhập và có nguồn IP đi từ VN.”

“Decode xong mới phát hiện STL còn dùng một keylog dll khác, xem trong hình các bạn sẽ thấy: CDRWapi.dll. Nếu ipripv6.dll detect có hardkdb.dll trong Windows\ime directory thì load nó, còn không thì load %AppData%\Microsoft\Windows Media\CDRWapi.dll.”

“search file: StaticCache.dat của STL nằm trong \Documents and Settings\%User%\Application Data. Xoá nó ngay lập tức = Unlocker, GMER… Đây chính là 1 dll làm nhiệm vụ ăn cắp và ghi lại toàn bộ thông tin về rất nhiều thứ của victim. Tên gốc của nó là CollectInfo.dll. Em mất pass vì chính file dll này.
Đồng thời search file wab64.dll trong %Program Files%, xoá nó luôn. Tên nguyên thuỷ lúc coder STL build là sysclass.dll, cũng làm nhiệm vụ thu nhập thông tin về victim.”

“Các bạn đang dùng Firefox nên dùng và đặt Master Password ngay. Nếu đã đặt Master Password thì các ct decrypt Firefox password sẽ vô dụng”

Thực ra đây là hiệp hai của trận đấu. Hiệp đầu STL tấn công trước và HVA thua thê thảm. Admin của HVA cũng bị STL cài virus và hàng loạt thông tin nội bộ HVA bị tung lên mạng (http://vnn.vietnamnet.vn/cntt/2006/05/566887/). Bản thân TQN do sơ suất trong quá trình xử lý virus cũng bị mất trộm hàng loạt thông tin.

Tôi xem vụ trên và thấy rất “bùi ngùi” cho những người còn đang dùng Windows. Cho đến thời điểm này, dùng Linux bạn có thể loại ra khỏi đầu những điều rắc rối nói trên, vô tư mở các file đính kèm theo email, cắm USB, truy cập các trang web, … Tại sao lại cứ phải khổ sở đến thế khi dùng Win?

Một thành viên của diễn đàn có ý kiến:” việc tránh OS có nhiều rủi ro như Win cũng là cái đáng suy nghĩ. Với 1 nhân viên là sys admin, ko có lý do gì để anh ta phải xài Win cho laptop công vụ của mình cả, quá nhiều thứ rủi ro. Linux có thể là lựa chọn hay hơn. Có thể tớ sẽ ra lệnh phải dùng Linux cho laptop công vụ. Sẽ giảm bớt đi nào là key logger, nào là trojan hay back door.”

Admin conmale của HVA nhận xét: “Nếu Linux được sử dụng rộng rãi như Windows thì tác hại của virus, malware, trojan cũng không nghiêm trọng như trên Windows được. Lý do là nền tảng hai hệ điều hành khác nhau rất xa và Linux (và UNIX) vốn không có cái Windows\System32 và mớ registry có thể bị thay đổi do “system account”. Những ứng dụng sudo base như Ubuntu thì càng khó có điều kiện phát tán malware bởi vì bất cứ thứ gì được đưa vô hệ thống đều đòi hỏi authentication. Bởi vậy, những dạng malware “lặng lẽ” thực thi trên hệ thống không thể xảy ra được. Đó là chưa kể mỗi xuất đăng nhập trên Linux nếu cần sử dụng thư viện nào đó đều dùng một “copy” tạm thời trên bộ nhớ, sau khi xong thì tất cả đều bị huỷ nên việc có những malware trên Linux khó lòng thực thi.

Nếu cho là Linux chưa sử dụng rộng rãi như Windows nên không có malware và virus thì đó là cách lý luận gượng ép bởi vì cho đến nay, Linux chiếm khoảng gần 70% các máy chủ và các cơ sở hạ tầng của Internet. Trong đó, những máy chủ ấy chứa tài nguyên và thông tin còn nhạy cảm và ghê gớm hơn cả những desktop chạy Windows bình thường. Nếu xét trên góc độ phá hoại thì Linux và những máy chủ Linux chiếm con số không nhỏ và có thông tin còn quan trọng hơn nữa. Bởi vậy, lý do để tấn công vô mảng Linux không kém phần hấp dẫn chớ không phải Linux không được phổ biến nên không có ai tấn công. Xét cả con số máy Linux lẫn thông tin có trên các máy Linux thì việc dùng malware (như trên mục tiêu Windows) vẫn không thua sút mấy. Chỉ có điều, làm việc này trên Linux không phải là việc dễ dàng như trên Windows (trên mặt kỹ thuật) mà thôi.

Đặc biệt là đoạn thứ hai tôi thấy rất đúng. Một trong những lý do thường được đưa ra giải thích cho việc Linux hầu như không có virus là Linux không phổ biến vì vậy hacker chưa để ý đến nó. Và như conmale lập luận ở trên, do Linux chiếm gần 70% cơ sở hạ tầng Internet (các máy chủ), chứa rất nhiều thông tin quan trọng hơn máy để bàn nên tấn công chúng hấp dẫn hơn nhiều, không thể nói là hacker không chú ý. Chỉ có điều tấn công Linux khó hơn nhiều.

Nhưng Linux cũng không phải miễn nhiễm với virus. Nếu bạn cẩn thận thì có thể dùng nhiều cách như tôi đã trình bày rải rác trong các post của chuyên mục An ninh bảo mật trong blog này. Một cách đơn giản nhất: cài cả Windows và Linux trên máy. Khi nào duyệt web, đọc mail thì dùng Linux và tốt nhất là đừng cho Firefox nhớ các password quan trọng. Dùng các add-ons như LastPass, Roboform để lưu password.

Trên Linux cũng có phần mềm diệt virus clamav (trong KDE là klamav), có cả phiên bản dành cho Windows mà theo một số thông tin trên HVA thì khá hiệu quả.

Và thỉnh thoảng chạy những cái này cho yên tâm: https://zxc232.wordpress.com/2010/09/08/rootkit-va-cach-phong-chong/

Và chắc chắn nhất có lẽ là dùng một đĩa CD có cài sẵn bản Linux của bộ QP Mỹ khi vào mạng. Ngay với bản này, người dùng cũng được khuyên rằng nên boot lại máy trước khi làm những việc cần bảo mật. (xem tiếp)

 

8 thoughts on “Tường thuật trận đấu TQN vs. Sinh tử lệnh

  1. Cô lập Windows bằng cái máy ảo, chỉ thiết lập một thư mục làm cầu nối giữa 2 thế giới. Đó là bức tường phòng vệ kiên cố mình đang áp dụng. Bài tường thuật rất li kì, cảm ơn anh.

  2. Pingback: Tản mạn về phần mềm “sạch” | ZXC232-Phần mềm tự do nguồn mở – Free and open source software

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s