Tuesday, March 20, 2012

Khám Phá Sự Thật Về Công Ty Bkav – Chuyên án 2: Điều tra kẻ cung cấp thông tin cho website phản động: baotoquoc.com

Công Ty Bkav: Nơi Tổ Chức Tấn Công Các Trang Mạng Khác Chính Kiến Với Nhà Nước

Kinh nghiệm điều tra
Tác giả: MinHu
Mức độ: Tuyệt mật

Mục đích: Thông qua hình thức kể chuyện về các vụ án đã thực hiện nhằm truyền lại các kinh nghiệm cũng như bài học cho lớp kế cận.

Những người được phép đọc: Là người được giám đốc hoặc tác giả chỉ định trực tiếp. Tài liệu chỉ được phép đọc mà không được phép sao chép dưới bất kỳ hình thức nào khác.

Chuyên án 1: Điều tra website phản động ddcnd.org

Chuyên án 2: Điều tra kẻ cung cấp thông tin cho website phản động: baotoquoc.com

Tuấn Nguyễn (nick name: vantuyen.net)

Tóm tắt: Qua tìm hiểu sơ bộ website baotoquoc.com được một kẻ có nick name là vantuyen.net tạo ra. Kẻ này còn làm chủ rất nhiều website khác như: vantuyen.net, quanvan.net, coinguon.us … đều đăng tải nội dung phản động. Kết quả điều tra sau này cho thấy đối tượng quản lý đồng thời hơn 20 website đều có lượng người dùng khá lớn.

Các domain đều được quản lý bởi emai: vantuyen.net@gmail.com . Đây sẽ là mục tiêu quan trọng nhất.

Do baotoquoc.com thực chất là blog của wordpress và chạy trực tiếp trên server của wordpress với subdomain là baotoquoc.wordpress.com nên xác suất có lỗi của website này là tương đối thấp. Vì vậy định hướng sẽ xâm nhập vào các website khác của đối tượng, để khai thác thông tin, dò các password sử dụng chung để đoán password gmail. Nắm được email: vantuyen.net@gmail.com sẽ nắm được toàn bộ hệ thống.

Xâm nhập vantuyen.net:

Do vantuyen, quanvan và mốt số site khác của đối tượng sử dụng chung một portal giống nhau, sau một thời gian thu thấp các thông tin xung quanh về đối tượng, hệ thống ip, máy chủ, quyết định chọn website vantuyen.net làm mục tiêu.

Vantuyen.net được host trên HostGator và server có hỗ trợ một dạng như mod security (chưa rõ là gì) khiến cho việc khai thác sql injection hay xss trở thành vô vọng. Hơn nữa có ban ip và chống ddos nên quét bằng Acunetix một lúc là bị chặn dẫn đến việc không thể xây dựng được cấu trúc cây thư mục. Quay sang Local Attack thì cần phải upload được shell lên server. Các website hàng xóm chủ yếu là html. May sao có 1 link shell trên server do GuYi cung cấp (chính xác là user và pass của một cpanel user). Sau khi có shell, tiến hành thử việc crack password cpanel của user vantuyen nhưng không thành công. Chắc chắn user này được đặt password đủ phức tạp.

Việc local diễn ra không dễ dàng như mong đợi. Mặc dù có thể symlink được, nhưng thực chất server chặn do đó chỉ xem kết quả được bằng cách view source file .shtml. Hơn nữa mặc dù local được file nhưng không local được thư mục do đó không xây dựng được cấu trúc cây thư mục. Qua việc view source file index.php rồi từ đó view source các file có liên quan trong source code thì cũng tìm được file config của hệ thống. Kết nối được database và kiểm soát dữ liệu. Có một hạn chế là chưa thể uplaod shell trực tiếp lên vantuyen.net được vì thư mục quản trị bị đổi tên. Mãi sau này mới biết tên là http://vantuyen.net/a12260http://vantuyen.net/a12260NO (không thể đoán được), chưa kể thư mục admin còn đặt thêm htaccess dù có đoán được đường dẫn đi nữa cũng không thể vào được (user vt12260, pass là vt122601). Về sau upload shell lên được trực tiếp văn tuyển bằng cách dày công đọc code ( đoán rằng do code tự viết nên kiểu gì cũng có lỗi, chính xác là thuê 1 đồng chí khác ở Việt Nam viết)

Qua google hacking và website bị lỗi directory index list ta nắm được thêm rất nhiều thông tin về cấu trúc thư mục của website. Tuy nhiên thông tin về folder quản trị lại không thể nắm được. Một kết quả quan trọng mà google hacking mang lại là chúng ta biết được tồn tại file: WS_FTP.LOG (là log FTP) trong tất cả các thư mục. Sau khi download file log FTP trên của thư mục gốc chúng ta biết được danh sách các file, folder mà đối tượng đã từng upload lên. Trong đó rất tiếc là không có thông tin về folder admin vì hacker sau đó đã đổi tên lại, việc đổi tên này không ghi trong log. Từ danh sách các file trên chúng ta download được 1 file .rar chứa mã nguồn của toàn bộ hệ thống, có ích trong việc đọc code và tìm lỗi sau này.

Sau một thời gian khai thác thông tin có được từ những kết quả điều tra trên vẫn bế tắc, quyết định phải upload shell lên server cho kỳ được nhằm thực hiện việc thay đổi file đăng nhập để chiếm password. Để làm được điều này, sau khi mày mò tìm trang quản trị không được, quyết định chuyển sang hướng đọc code để khai thác lỗi.

Các lỗi đã được duyệt qua gồm LFI, RFI, Upload, code injection, … nhưng cuối cùng chỉ có thể sử dụng được một lỗi LFI, do server có cấu hình security nên RFI không sử dụng được nếu không sẽ dễ hơn rất nhiều. Từ LFI ta cho inject một đoạn code upload ngắn rồi upload shell code lên. Từ đó nắm được hoàn toàn website. Rất tiếc là website được quản trị thông qua folder admin được xác thực bằng htaccess password. Phải sử dụng John and Ripper mới crack được. Password này lại không trùng với pass gmail.

Khai thác dữ liệu có được từ vantuyen.net

Chưa bao giờ việc điều tra lại mang lại nhiều dữ liệu về một đối tượng như lần này. Đầu tiên từ việc nắm được file config website vantuyen.net ta có được password đăng nhập cơ sở dữ liệu, một yahoo mail liên lạc của đối tượng là: vietpenclub2003@yahoo.de, password là PKVNpleiku (sau này ngẫm mai chỉ đoán mà pass là Phong Kiến Việt Nam).

Đăng nhập email trên cho chúng ta hàng ngàn bức thư gồm các loại sau đây: thư liên lạc để gửi bài phản động, thư quản lý hosting và domain của đối tượng. Đáng tiếc email này hacker đã không còn sử dụng nữa và mọi thông tin quan trọng đều chuyển sang email vantuyen.net@gmail.com, mọi thư gửi tới email này đều được trả lời yêu cầu gửi lại vào gmail. Cho nên chỉ có thể khẳng định, email này đã từng là một email rất quan trọng mà thôi.

Việc điều tra theo hướng khai thác thông tin có trong database không mang lại nhiều kết quả. Database chỉ có một bảng quan trọng là bảng user, có 8 member nhưng đều ở dạng inactive. Chỉ biết được tên, email và mật khẩu đã mã hóa bằng lệnh password của mysql. Đã cố gằng crack thử các password ở đây (bằng Cain) nhưng chỉ ra 3/8 password và các password này không thể sử dụng thêm trong các trường hợp khác.

Ngoài ra chúng ta cũng tìm được thông tin quan trọng khác của đối tượng là câu hỏi bí mật mà đối tượng thường xử dụng khi đăng ký username là: phuc (bạn thân nhất) và một nick yahoo mà đối tượng thường xuyên xử dụng để liên lạc là: moha_alim@yahoo.com

Việc điều tra trở nên bế tắc khi email tìm được có rất nhiều thư nhưng đều đã quá cũ, password cũng như domain registrant đã thay đổi. Sau này dù đã upload được shell lên website nhưng vẫn không lấy được password gmail.

Chiến đấu

Ngày 10/8

Bài học:

1. Cần phải chuẩn bị shell trên các share hosting bằng cách chạy sẵn các tool brute force hoặc tối thiểu là chuẩn bị sẵn tool để khi cần là crack password ngay được. Vẫn có rất nhiều người dùng đặt password mặc định.

2. Định dạng file .shtml là gì? Vai trò của nó trong việc local via symlink?

3. Cần sử dụng thông tin về ngày tháng năm sinh tốt hơn. Ở đây hacker là vantuyen đã sử dụng ngày tháng năm sinh vào trong cách đặt tên thư mục và password.

4. Cần phải tìm hiểu thêm về John and Ripper, khả năng crack pass shadow để tận dụng trong những trường hợp khác.

+++++++++++++++++++++++++++++++++++

Khám Phá Sự Thật Về Công Ty Bkav: Nơi Tổ Chức Tấn Công Các Trang Mạng Khác Chính Kiến Với Nhà Nước

Một nhóm hacker của người Việt hải ngoại vừa lên tiếng tự nhận trách nhiệm về viêc đã đánh sập hệ thống của công ty BKAV, một công ty được nhà nước Cộng sản Việt Nam đỡ đầu dưới danh nghĩa là công ty tin học chuyên diệt virus máy tính. Nhóm hacker này đã xâm nhập và lấy đi toàn bộ dữ liệu của công ty, và hành động này, theo một thành viên của nhóm này tuyên bố thì nhằm trả đũa cho việc một thành viên của họ đã bị BKAV tố cáo, bị bắt và chịu án tù. Người ta không biết nhóm tấn công này có bao nhiêu người, bao nhiêu là trong nước và bao nhiêu là ngoài nước, họ chỉ có một mật danh là Anonymous Vietnam.

Phần dữ liệu chính thức được lấy ra từ máy chủ của công ty BKAV, từ một thành viên của nhóm Anonymous Vietnam có tên là Mrs Anonymous, và sau khi người này đưa ra công luận thì đang làm cho mọi nơi xôn xao. Câu hỏi đang được đặt ra là liệu có phải nhóm hacker Sinh Tử Lệnh chuyên đánh phá các nhà dân chủ, các trang web tự do có phải do BKAV nuôi dưỡng hay không. Tham khảo phần tình báo trong gói dữ liệu của BKAV mà hacker lấy được, người ta thấy công việc của công ty BKAV là chiếm user, lấy pass của rất nhiều trang blog hoặc web dân chủ tự do, thậm chí có cả chứng cứ cài mã độc vào trang blog của Dân Làm Báo.

Đặc biệt trên diễn đàn của nhóm Anonymous Vietnam, người ta cũng chỉ ra những chứng cứ trên HVA thì trong gói dữ liệu này liên quan đến cả TC5 và TC1 của cơ quan an ninh Cộng sản Việt Nam. TC5 và TC1 là cơ quan an ninh có liên quan đến các công việc về internet, là nơi là tướng công an Vũ Hải Triều từ năm 2010 đã công khai nhìn nhận người của Cộng sản Việt Nam đã tấn công và đánh sập hơn 300 trang web hay blog của những người tự do trong nước và hải ngoại.

Hồ sơ của công ty BKAV antivirus này có những phần báo cáo với trung ương Hà nội về chuyện đã tấn công các trang web như trang Dân luận, Thông luận, Cứu nước, Việt nam cộng hoà, Đối thoại online, Công giáo Việt Nam, Hải văn News, Tự do ngôn luận. Chúng còn công khai việc tấn công nhiều lần, thành công hoặc vẫn đang tiếp tục hư tấn công vào các trang mạng như trang Tổ quốc, Viettalk24, Việt Tân, Radio Chân trời mới, Minh dân tộc Việt nam, Liên minh dân chủ Việt nam.

Những hồ sơ đánh phá này, được gọi là các chuyên án, trong đó được ghi dấu là tuyệt mật, với nguyên tắc từng hồ sơ chỉ có rất ít người được phép đọc: Đó là người được giám đốc hoặc tác giả chỉ định trực tiếp. Thậm chí tài liệu như vậy chỉ được phép đọc mà không được phép sao chép dưới bất kỳ hình thức nào khác. Thông về việc công ty BKAV có vỏ bọc hiền lành trong nước, đang là cỗ máy tấn công và đào tạo hacker chuyên nghiệp cho Cộng sản Việt Nam đang là đề tài hết sức sôi nổi trong nước lúc này, và là một cơ hội có một không hai vạch mặt bộ mặt gian ác của chế độ Cộng sản Việt Nam.

SBTN

0 comments:

Powered By Blogger