BKIS đã nhận định sai master server?

[0day]

Link:
http://vnhacker.blogspot.com/2009/07...o-nhu-nao.html

Theo một số cơ quan truyền thông VN, vừa rồi BKIS đã có một cú hích "chấn động thế giới" là giúp Mỹ và Hàn Quốc, hai cường quốc thế giới về công nghệ, truy tìm ra được thủ phạm của vụ tấn công DDoS vào các web site của hai quốc gia này.

Bạn thắc mắc BKIS đã làm điều đó như thế nào? Tôi cũng thắc mắc như thế, sẵn có chút nghề, nên mạo muội tìm hiểu, như là một cách để tri ân 10 chiến sĩ trong đội đặc nhiệm BKIS đã làm việc suốt gần 2 ngày liền hòng đưa VN nở mày nở mặt với bạn bè thế giới.

Tóm tắt lại sự việc, theo tường thuật của báo CAND, dựa trên lời kể của các chiến sĩ BKIS:

1. Ngày 12/7, KR-CERT gửi mẫu virus cho BKIS.

2. Ngay lập tức, trong gần 2 ngày liên tục, như đã nói ở trên, 10 chiến sĩ trong đội đặc nhiệm BKIS đã chiến đấu quên ăn quên ngủ để phân tích mẫu virus nói trên.

3. Đến 3h sáng 13/7, cuộc điều tra rơi vào bế tắc. Tiếp tục nghiên cứu, đội đặc nhiệm phát hiện ra 8 máy chủ điều khiển các máy ma bị nhiễm virus.

4. BKIS đã xâm nhập được vào 2 trong số 8 máy chủ này và thu được những thông tin quan trọng.

5. Đến 14h ngày 13/7, Đội trưởng Nguyễn Minh Đức reo to "Ơ-rê-ka". Khi đó địa chỉ IP của máy chủ gốc (master server), nơi đã tổng chỉ huy các cuộc tấn công, đã được xác định. Giám đốc Nguyễn Tử Quảng cùng anh em ôm chầm lấy nhau. Một đêm trắng đã được đền đáp.

------

Rồi bây giờ chúng ta hãy thử lần lại các bước mà BKIS đã làm nha. Chủ yếu có 3 việc chính:

1. Xác định 8 máy chủ trung gian.

Từ ngày 10/7/2009, nghĩa là trước khi BKIS nhận được mẫu virus 2 ngày, thông tin về 8 máy chủ trung gian này và phân tích chi tiết hoạt động của virus đã có trên Internet. Xem thêm http://www.shadowserver.org/wiki/pmw...endar/20090710 và http://www.maxoverpro.org/77DDoS.pdf. Bản phân tích thứ nhất là của nhóm ShadowServer, bản phân tích thứ hai là của AhnLab, một công ty của Hàn Quốc.

Vậy thông tin Mỹ và Hàn Quốc kô biết gì về cơ chế hoạt động của dòng virus này có vẻ không chính xác nhỉ?

Hơn nữa, không hiểu các chiến sĩ của chúng ta đã làm gì trong 2 ngày trời, để rồi thu được kết quả là những gì người ta đã làm trước đó rồi.

Àh nhưng, BKIS đã có thông tin quan trọng nhất về máy chủ gốc (master server), Mỹ và Hàn Quốc không có thông tin này nha. Vậy nên chúng ta tiếp tục với công việc số 2.

2. Xâm nhập vào 2 trong số 8 máy chủ trung gian.

Theo lời của Nguyễn Tử Quảng, thì chỉ đơn giản là: "Trong số 8 server, chúng tôi đã tìm ra được 2 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web. Đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng."

Như vậy là chẳng có xâm nhập gì ở đây, các máy chủ này chỉ vô tình để lộ thông tin mà "ai cũng có thể sử dụng" cả.

Các bạn Hàn Quốc và Mỹ thật đáng trách, đã lần ra được 8 máy chủ này, vậy mà không phát hiện ra được "các dịch vụ chia sẻ tài nguyên hoàn toàn thông thường đó". Hoan hô BKIS đã có con mắt tinh tường.

Nhưng vào được 2 máy chủ trung gian vẫn chưa tạo nên cú hích "lừng lẫy năm châu", điều quan trọng là căn cứ vào dữ liệu trên 2 máy chủ này, BKIS đã phát hiện máy chủ gốc, điều khiển toàn bộ vụ tấn công, chính là công việc số 3.

3. Phát hiện máy chủ gốc

Các bạn thấy cái hình trên cùng của bài viết này không? Đây chính là hình mà các chiến sĩ BKIS căn cứ vào đó để kết luận về máy chủ gốc có địa chỉ IP 193.90.118.***.

Đây là hình chụp một đoạn nhật ký truy cập (access log) của máy chủ web Apache trên 1 trong 2 máy chủ mà các bạn BKIS đã "tấn công ngược". Các bạn chú ý chỗ được đánh dấu đỏ.

Theo phân tích của Anhlab và BKIS thì sau khi lây nhiễm vào máy tính nạn nhân, mẫu virus này sẽ cố gắng download từ 1 trong 8 máy chủ một file mang tên flash.gif. Nhìn hình này chúng ta thấy rằng một người sử dụng một máy tính có địa chỉ IP 193.90.118.*** (là địa chỉ mà BKIS cho là máy chủ gốc), đang sử dụng Internet Explorer để download file flash.gif từ 1 trong 2 máy chủ mà BKIS đã "fought against and gained control".

Tại sao tôi biết là Internet Explorer? Đó là căn cứ vào cái request thứ hai, chỉ có Internet Explorer mới luôn "GET /favicon.ico" mỗi khi nó truy cập vào một web site nào đó. Dựa vào luận cứ này tôi (và bạn Nguyễn Minh Đức?) đoán đây là người truy cập, chứ không phải virus tự động làm, lý do là virus thì không sử dụng Internet Explorer. Các bạn chú ý điểm này nha.

Cập nhật: Tôi nhầm lẫn. Chrome, Firefox và các browser khác cũng có biểu hiện như Internet Explorer. Dẫu vậy điều này không ảnh hưởng gì đến luận cứ này. Cảm ơn bạn trm_tr.

Lần đầu thấy cái hình này, tôi cũng thắc mắc không hiểu tại sao BKIS dựa vào đây mà có thể kết luận được IP 193.90.118.*** là máy chủ gốc. Cho đến hôm nay được các bạn trong team CLGT giải thích, tôi mới hiểu ra.

Lập luận thế này: chỉ có virus mới tự động download file flash.gif, nên nếu mà có một người tự dưng download file đó (bằng Internet Explorer, như đã nói ở trên), thì hẳn người đó là người đã tạo ra file flash.gif (và anh ta đang test thử xem file flash.gif có nằm ở địa chỉ /xampp/img/flash.gif hay không).

Nghe hợp lý đúng không? Nhưng như thế liệu có đủ để kết luận IP 193.90.118.*** là máy chủ gốc? Trong toàn bộ suy luận ở đây, người sử dụng máy tính mang IP 193.90.118.*** chỉ làm một việc duy nhất là dùng Internet Explorer để kiểm tra xem file flash.gif có tồn tại hay không.

Nếu cho rằng máy tính 193.90.118.*** là máy chủ gốc, thì phải có cơ chế để 8 máy chủ còn lại tự động nhận file flash.gif (và các lệnh khác) từ máy tính này. Bài phân tích của BKIS không chứng minh được điều đó.

Kết luận chắc chắn nhất có thể rút ra là: người đã sử dụng máy tính mang IP 193.90.118.*** có liên quan đến vụ tấn công DDoS. Sự thật là, theo chính công ty sở hữu máy tính đó, chúng ta đều biết nó cũng đã bị xâm nhập từ trước rồi. Do đó không thể kết luận rằng máy tính 193.90.118.*** là nguồn gốc vụ tấn công. Vả lại, dẫu thế nào đi chăng nữa, không thể kết tội một cái máy :-P.

Lẽ ra sau khi các chiến sĩ BKIS tìm được IP này, họ phải tuân theo quy trình làm việc của APCERT, bí mật thông báo cho US-CERT, UK-CERT, KR-CERT và các tổ chức trong APCERT, để các cơ quan chức năng này niêm phong máy tính 193.90.118.***, thực hiện các biện pháp digital forensic để lần ra dấu vết của người đã xâm nhập máy tính này.

Nhưng, như các bạn đã biết, BKIS đã chọn một hướng đi khác, và có lẽ từ lúc BKIS phát thông tin cho các cơ quan truyền thông, cho đến lúc các đội CERT sờ được vào máy tính 193.90.118.*** thì nó đã không còn thông tin giá trị có thể giúp lần ra tội phạm nữa rồi. Sự thật là cho đến nay, vẫn chưa tìm được thủ phạm vụ tấn công DDoS.

Tóm lại, sau 2 ngày liên tục điều tra, 10 chiến sĩ BKIS đã: a) thu được thông tin mà Mỹ và Hàn Quốc đã có được trước đó 2 ngày; b) vô tình download được thông tin liên quan "nhật ký các cuộc tấn công"; c) tiến hành phân tích, và đưa ra một kết luận sai. Điều quan trọng nhất là mặc dù thông tin BKIS tìm thấy là có giá trị nhưng chính họ cũng đã đánh đổi thông tin đó cho những mục tiêu khác, thay vì mục tiêu cao cả vì an ninh thế giới.

Như các bạn đã thấy, tất cả luận cứ trong bài này đều dựa vào thông tin mà báo chí đã viết về BKIS và trên blog của chính nhóm này. Suy luận chủ quan của tôi sẽ sai nếu những thông tin đó không chính xác. Suy luận chủ quan của tôi cũng có thể sai nếu phương pháp điều tra của BKIS khác với cách mà tôi dự đoán. Tôi không chịu trách nhiệm nếu "an ninh thế giới" bị đe dọa vì những phân tích này. Các bạn thoải mái đăng lại bài viết này ở những nơi khác, và các bạn chịu trách nhiệm vì điều đó nha.

Cảm ơn chairuou, |_-_|, các bạn CLGT và HVA thân iu.

Cập nhật: có bạn hỏi tôi: liệu bọn gây ra đợt tấn công DDoS này có quay sang tấn công trả đũa VN? Cá nhân tôi cho rằng việc này khó xảy ra. Bọn làm botnet đều làm vì tiền. Chúng bỏ công ra gầy dựng botnet, rồi cho thuê lại cho những ai có nhu cầu tấn công người khác. Nên bọn chúng cũng không rảnh hay dư tiền mà quay sang tấn công *chùa* mấy web site VN. Nói cách khác, tôi tin rằng có ai đó thuê botnet để tấn công DDoS mấy cái web site của Mỹ và Hàn Quốc. Hết hợp đồng rồi nên mấy ngày nay im ru, không thấy động tĩnh gì nữa. Thành ra tìm được thằng chủ botnet, chưa chắc gì đã tìm được thằng chủ mưu :-P.

Theo tôi, phân tích này hoàn toàn chính xác. IP mà BKIS chỉ ra trong hình đơn thuần chỉ là IP mà ai-đó đã dùng trình duyệt để kiểm tra xem flash.gif tồn tại hay không. Master server thì không tự động GET /favicon.ico làm gì cả!

Mời các bạn thảo luận.

Chú ý, thread này chỉ bàn về kỹ thuật, các vấn đề khác không bàn ở đây!

[wdtech.net]

Mình cũng thấy trên một báo uy tín của thế giới nói là ở us chứ ko phải ở nước ANH nên mình cũng tin là sai (đó là mình tin vậy), còn sự thật thì phải chờ công bố chính thức khi vụ này kết thúc đã. hì.

[Clarious]

Chỉ có điều mình thắc mắc là máy chủ dịch vụ web gì mà lại show apache log ra vậy? :| Hơn nữa sao cái hình lại xanh trên nền đen + mỗi entry nằm trên 1 line riêng -> Không phải xem trong term emulator --> Có cái dịch vụ nào show apache log rồi định dạng xanh xanh đỏ đỏ như thế không? Hay bác Quảng chọn màu cho nó giống 'the matrix' ? (dĩ nhiên dùng một cái term emu với width thật dài cũng được, nhưng làm thế rồi bôi xanh xanh đỏ đỏ thì...)

Nếu giả sử như thế này là đúng, chúng ta sẽ thấy rằng việc 'tấn công' của bên BKIS không có gì là cao siêu hết vì mọi thứ sờ sờ ra đấy rồi, và cũng hợp pháp nốt -> Sẽ khỏi lo vi phạm pháp luật, nhưng mất mặt :-/

Dĩ nhiên ko thể loại trừ khả năng là đây chỉ là 1 trong những đoạn log mà bên BKIS dùng để tìm ra master server, và họ chỉ chọn tấm này để đăng lên thôi.

OT quả: Font trong kia font courier new nhỉ?

[vragon]

Chỉ có điều mình thắc mắc là máy chủ dịch vụ web gì mà lại show apache log ra vậy?

hình như bác ko thẽo dõi bên cái topic kia,
làm chi có cái vụ show log ra thế >
nghĩ đi nghĩ lại thì mấy cái thông báo của BKIS chả có gì là mâu thuẫn cả.
2 cái server này có dịch vụ chia sẻ thiệt nhưng mà để có quyền truy cập vào cái "chia sẽ" ấy thì phải "gain control" ạ.
nguyên tác các file log thường dc set root hoặc tương đương thôi.
P.S:
tám ngòai lề phát, chiều có nhảy vào xem, thấy bác nano_fantasy bị stress thấy tội quá.
việc chi bác phải tức giận như vậy. gặp mấy thành viên mới như vậy bác cứ ghi cho em là đọc lại từ đầu tìm câu trả lời :P
rổi ra uống tách cà phê cho nó giải stress
hơi đâu mà...
cái này gọi là "quangmenia"

[raulgonzalez]

BKIS không xác định sai.
Bài của Thái nói rằng request đó do CON NGƯỜI thực hiện, và vì vậy CÓ CƠ SỞ ĐỂ NGHI NGỜ rằng đó là Master server. Còn BKIS nhận định chắc chắn rằng đó là master server vì họ có nhiều thông tin hơn, còn Thái chỉ có đoạn log như vậy nên chỉ đi đến kết luận đó được thôi.

[fantasy_nano]

BKIS không xác định sai.
Bài của Thái nói rằng request đó do CON NGƯỜI thực hiện, và vì vậy CÓ CƠ SỞ ĐỂ NGHI NGỜ rằng đó là Master server. Còn BKIS nhận định chắc chắn rằng đó là master server vì họ có nhiều thông tin hơn, còn Thái chỉ có đoạn log như vậy nên chỉ đi đến kết luận đó được thôi.

bờ kít không xác định sai vậy thì bờ kít đúng --> nguồn ở Anh ?

[Global]

Nói thật, BKIS từ 8 C&C Server để suy ra master server là sai.
Giờ giả sử hacker ko sử dụng lược đồ kiểu:
- Master -> C&C -> zombie

Mà dùng kiểu:
- Master -> A -> B -> C -> D -> C&C Server -> zombie thì sao?
Nghĩa là A, B, C, D đóng vai trò là proxies. D là cái server mà BKIS tìm ra. Hacker làm thế để các cơ quan an ninh khó lần ngược lại hơn.

Theo tớ nghĩ, các bác an ninh mạng thế giới đang lần đến B, bác BKIS la làng là master node là D --> ...

[raulgonzalez]

Thứ nhất: Chỉ có thể nói BKIS xác nhận sai trong trường hợp BKIS xác định 1 server lạc hướng. Đằng này BKIS xác định được IP đúng flow điều tra. Việc điều tra tiếp theo chỉ là dùng biện pháp hành chính (hỏi thẳng cơ quan quản lý).
Thứ hai: Cái này chẳng liên quan gì đến thể diện quốc gia, bởi BKIS chỉ là trung tâm của ĐHBK thôi. Phải như cái vụ buôn sừng tê giác của đại sứ quán mới là thể diện quốc gia.

[copyright]

Conmale và số thành viên bên diễn đàn HVA đã bác bõ kết quả phân tích quả file Log của BKIS đưa ra cho báo chí viết bài quả thực vấn đề này thì giới kĩ thuật không khá tin tưởng. Tôi bổ xung tiếp ý kiến xung quanh vấn đề này

1/Dựa vào cái hình trên, tôi cho rằng BKIS đã giả lập lại Server Master đã tấn công vào HÀN QUỐC và US. Quá trình này chả có gì khó bởi vì Bkis đã có trong tay mã nguồn con Virus để tạo ra Bootnet khi xin lại từ phía Hàn Quốc.
2/Theo nhận định khách quan, BKIS phải chăng đã "vố hớ" vấn đề tìm ra Master gốc là Anh. Sau đó kết quả là US ? Phải chăng BKIS đang có vấn đề trong quá trình điều tra kết quả. Vậy tại sao phía BKIS đã biết từ US mà vẫn dừng lại không tấn công tiếp như đã từng làm với 2 Máy Chủ ở Anh. Họ có quyền cơ mà (Bkis quả quyết với giới truyền thông là họ không vi phạm luật) trong khi đó US và Hàn Quốc vẫn chưa tìm ra được thực sự Master gốc????

[=========> Bổ sung bài viết <=========]

[ruckus]

Ngay từ đầu chủ topic đã khuyến cáo chỉ bàn đến vấn đề kĩ thuật. Chúng ta nên tránh đi quá xa khỏi mục đích chính.

Vấn đề IP mà BKIS cho rằng là master server. Tôi xin giả thiết thế này:

BKIS dựa vào request từ IP này để khẳng định nó là master, tôi nghĩ là đoán mò thôi. Thực tế, nếu PC có địa chỉ IP đó bị nhiễm virus chiếm quyền điều khiển homepage của IE (kavo chẳng hạn), thì hoàn toàn có thể request file flash.gif mà chủ máy hoàn toàn ko biết. Chuyện này ko khó xảy ra, vì hacker đã code được mydoom thì ko khó khăn mấy để chỉnh sửa kavo theo ý mình.

Quan điểm cá nhân tôi, không biết mọi người nghĩ sao. Tôi thấy hoàn toàn khả thi, nếu hacker là 1 tay cẩn thận.