Chủ Nhật, 14 tháng 3, 2021

Cùng phân tích mã độc ProfileVisitor - vẫn là đào coin bằng trình duyệt 15/03/2021

Chiều hôm qua mình có đọc 1 bài cảnh báo của Mạnh Tuấn trong group J2Team tại đây

https://www.facebook.com/groups/j2team.community/permalink/1524022037929911/

Mới đầu mình cũng không có để ý cho lắm, vì thực ra mình không chuyên mảng bảo mật, phân tích dịch ngược này. Múa rìu qua mắt thợ người ta cười cho.

Nhưng khoảng 2 tiếng sau mình lại thấy một bài post của Tuấn trên trang cá nhân (https://www.facebook.com/J2TEAM.ManhTuan/posts/1909208129218517)

Mình có tiện hỏi công cụ phân tích việc tạo/xoá file của các process thì Tuấn có bật mí là con trojan này được code bằng AutoIT

Bản thân mình cũng là một người yêu thích AutoIT và học nó gần như là ngôn ngữ lập trình đầu tiên (sau Pascal) nên khá là hứng thú. 

Hôm nay tiện đang rảnh nên ngồi vọc vạch em nó ra để xem em nó có gì hay. 

Đầu tiên tất nhiên là mình tạo máy ảo cho yên tâm cái đã.

Sau khi copy vào môi trường máy ảo. Mình thử ngay dịch ngược mã nguồn em nó ra xem có làm gì đc ko.

Với AutoIT thì hầu hết đều có thể dịch ngược được. Quan trọng có giải mã đc Obfuscate hay không thôi.

Dùng myAutToExe để dịch ngược thì được luôn. Nhưng sau khi mở mã nguồn đã dịch ngược thì hú hồn, hoa mắt chóng mặt vì cấp độ Obf của nó rất cao, đến tận từng string và value



Nhìn sơ qua thì có rất nhiều function và var được khai báo nhưng không sử dụng (mục đích làm rối code)

Mình có viết 1 đoạn script để loại bỏ các function và var này (bằng AutoIT luôn). Tuy nhiên sau khi loại bỏ phần dư thừa. Compile thành exe thì mình chạy lên process sẽ tự đóng. Mình nghĩ trong code đã có những function kiểm tra và thoát chương trình. Vì vậy mình tạm thời bỏ qua cách này. Quay ra phân tích hoạt động của nó

Mình sử dụng 4 công cụ:

  • HTTPDebuggerPro
  • ProcessMonitor
  • ProcessExplorer
  • và Windows_File_ToolsV1-0 do Mạnh Tuấn chỉ

Sau khi chạy con trojan. Mình kiểm tra trên HTTPDebuggerPro. Thì thấy có 3 request đến 1 domain là okim.me


1. Phân tích Request

Request đầu đến /login.php bằng method HEAD cùng với đó gửi kèm khá nhiều header khác thường như User-Agent, OS, Version...

Trả về của request HEAD đương nhiên cũng chỉ có HEADER với các thông số như ảnh

Ta chú ý có 2 giá trị là zip và unzip. Đây là đường dẫn của 2 file sẽ tải về máy. Bằng cách này thì con trojan có thể thay đổi chính nó sau này bằng cách đổi giá trị zip ở return header

Sau đó 2 request phía dưới lần lượt tải 2 file về máy. Tuy nhiên cũng phải dùng User-agentAutoIT mới có thể load về đc




7za.exe nhìn qua đã thấy là phần mềm 7zip. còn files.7z là gói nén mã độc

Mình lại xem bên Windows File Tool thì đầu tiên nó sẽ giải nén ra vào thư mục 

C:\Users\TESTING\AppData\Roaming\TESTING (Với TESTING là tên user Windows)

Sau đó dùng 7za.exe giải nén ra được những file sau



Sau đó thay đổi tham số mặc định khi run Chrome thành

"C:\Program Files\Google\Chrome\Application\chrome.exe" --enable-automation --disable-infobars --disable-blink-features=AutomationControlled --load-extension=C:\Users\TESTING\AppData\Roaming\TESTING



Tức là nó sẽ load addon đã giải nén ở thư mục trên mỗi khi chạy Chrome

Ngoài ra nó còn can thiệp cả vào thư mục của IE. Mình suy đoán có thể là can thiệp vào Edge (Edge mới cũng sử dụng lõi Chromium như Google Chrome)

Ngoài ra nó còn can thiệp vào Startup để đặt nó khởi động cùng Windows

2. Phân tích Addon

Như đã thấy thì addon đó được nén trong files.7z

Mình thử giải nén thì phát hiện là có đặt password. 


Dù sao nó cũng sẽ giải nén tự động tuy nhiên mình cũng check qua Process Monitor để tìm cmdline của 7za.exe thì thấy được mật khẩu giải nén


chính là đoạn sau -p đó ạ

Ngó qua 3 files
  1. manifest.json
  2. config.json
  3. background.js
thì ta thấy vài thứ đáng nghi. Tuy nhiên vì kiến thức về addon không có nhiều nên mình chỉ ngó sơ qua và liệt kê ở đây những gì mình thấy


File js được obf sơ sài

Ta thấy là có 1 url sau khi chắp nối là pube.me/config
Khi truy cập thì nhận được đoạn json dưới đây với hash/token thay đổi mỗi lần request (chắc liên quan đến đào coin)
Và truy cập pool.okim.me:3333 chắc cũng liên quan tới việc đào coin thôi. Ở đây ta có user và pass không biết có thể làm gì ko?


Về cái này chắc phải để chuyên gia Mạnh Tuấn phân tích sâu hơn

3. Phân tích domain


1. okim.me
Con này truy cập lại là 1 trang rút gọn link
Whois thì ra các thông tin là domain đã tạo được 1 năm tại namecheap, và đến 21/3 này hết hạn. Tuy nhiên mình nghĩ chủ của nó sẽ để auto renew thôi. Domain sử dụng cloudflare và private whois info


Lookup dns một chút thì mình phát hiện mail.okim.me có A record về IP của DigitalOcean, một nhà cung cấp máy chủ giá rẻ khá nổi tiếng. Với ip là 167.172.224.162 
Đến đây mình chưa biết làm gì tiếp với nó :D 

2. pube.me
Domain này cũng là 1 trang rút gọn link. Và whois lookup không có gì đặc biệt nên mình skip. Không loại trừ 2 domain này trỏ về chung server

4. Cách loại bỏ con trojan này khỏi máy

Đầu tiên mình dùng ProcessExplorer kill cái process gốc này đi. Kill cả process tree đi


Truy cập đường dẫn phía trên
C:\Users\TESTING\AppData\Roaming\TESTING

Xoá hết các file ở đây đi



Mở TaskManager, tắt hết startup này đi



Tiến hành gỡ Chrome cài lại

Tiến hành đổi mật khẩu Facebook để vô hiệu hoá access token cũ


Các bạn có phân tích thêm được gì cùng chia sẻ nhé!



Thứ Tư, 28 tháng 10, 2020

Fake iOS Tool - Tool - Fake iOS for jailbroken phone - Fake iOS hỗ trợ ghép SIM


// Vietnamese below


Hi. 

Today I introducing a small tool for fake iOS version, support insert SIM for low iOS version iPhone

Guide:

Step 1: Jailbreak your iPhone with Checkra1n (this tool support jailbreak with Checkra1n only)

Step 2: Connect the phone to PC, accept connection permission.

Step 3: Fill iOS and Build ID what are you want to fake or press "Get newest version" to automatic get newest version

Step 4: Press FAKE IOS VERSION

Step 5: Insert SIM with ICCID, active iPhone

Step 6: Re-jailbreak, Press Restore SystemVersion to restore original iOS version

Enjoy!


Hi.

Nay rảnh mình có làm cái tool nhỏ để fake iOS version hỗ trợ ghép SIM cho iOS thấp

Hướng dẫn: 

B1: Jailbreak máy với Checkra1n (tool chỉ hỗ trợ jb với Checkra1n)

B2: Kết nối thiết bị, cho phép quyền truy cập

B3: Điền version iOS muốn fake hoặc bấm "Get newest version" để lấy thông tin iOS mới nhất

B4: Bấm FAKE IOS VERSION

B5: Ghép SIM với ICCID

B6: Jailbreak lại máy, chọn Restore SystemVersion để khôi phục iOS version gốc của máy


Update version 1.1 fix check JB error, fix reboot after fake/restore

Download:

https://www.mediafire.com/file/zkrt0z4llf46prk/FakeiOSTool_1.1.rar/file

https://www.androidfilehost.com/?fid=10763459528675573339

MD5:

a85475695865f8ea94407d282802440c

Thứ Hai, 2 tháng 9, 2019

Chặn quảng cáo Viber PC app đơn giản

Viber PC từ phiên bản cập nhật 11.4.0 xuất hiện thêm một một khung quảng cáo ở phần danh sách liên lạc. Dù quảng cáo cũng khá nhỏ thôi nhưng nó làm danh sách cuộc hội thoại bị ngắn lại. Hơi khó chịu.
Tất nhiên dùng ứng dụng miễn phí thì nên chấp nhận quảng cáo để ứng dụng phát triển. Tuy nhiên nếu thấy nó quá vướng víu. Mình sẽ hướng dẫn các bạn chặn quảng cáo này chỉ trong một nốt nhạc

Quảng cáo lúc đầu sẽ như này


Sau khi tiến hành debug cơ bản thì thấy cái này cũng đơn giản thôi. Mình chỉ cần chặn địa chỉ cung cấp quảng cáo là xong. 
 
Màn hình debug
Vậy chỉ cần chặn bằng một trong những cách: sửa file hosts, chặn trên router...
Mình chọn cách cục bộ và đơn giản nhất là sửa file hosts
C:\Windows\System32\drivers\etc\hosts
Mình tiến hành thêm dòng sau
127.0.0.0 s-bid.rmp.rakuten.com
Rồi giờ lưu lại. Notepad++ cần chạy với quyền administrator nhé.
Giờ tắt Viber bật lại nhé


Vậy là xong rồi. Đơn giản mà phải không? Chúc các bạn thành công

Thứ Ba, 28 tháng 5, 2019

How to flash install zip firmware (ROM) on Xiaomi Phones (Global or China)
This guide is compatible with both Global and China build and also works with Alpha, Beta, and Stable versions. In fact, the same guide can also be followed to install upcoming MIUI updates including MIUI 10.2, MIUI 10.5, and more. So, what are you looking for? Follow the below steps and update your Xiaomi smartphone to latest MIUI ROM.

Pre-requisites:
The following flashing procedure is compatible only with Xiaomi Mi & Redmi smartphones. Don’t ever try on any other OEM smartphone.
Ensure the battery level on your device is more than 70% to prevent the accidental shutdown in-between the process.

Disclaimer: We are not responsible for any hardware/software issues that occur on your Xiaomi smartphone by following this guide. We ensure that the following guide is 100% safe to update your device to official firmware. In case, if you still feel uncomfortable with the following procedure, then please don’t proceed.

1. Firstly, Download MIUI 10 Recovery ROM and save it to your device storage.
2. Launch the ‘Updater’ app on your device.
3. Now you need to tap on the three-dot menu option ("..." icon) located at the top-right corner.
4. Select “choose update package”


In MIUI 10, choose update package is hidden. You must tap on number 10 icon 10 times to enable this menu




5. Select the downloaded recovery ROM which you have saved to device storage in Step 1.


6. Confirm!

That’s it! The installation process starts and once done your device will automatically reboot to the latest version.

Thứ Hai, 27 tháng 5, 2019

How to flash Fastboot firmware for Unlocked bootloader Xiaomi phone

Xiaomi Mi/Redmi Phone Flashing for Unlocked Bootloader

Note: A Windows PC/laptop will be needed for the following steps. Make sure that your device is fully charged or has enough power for this process. This guide will help you update your device to the latest MIUI ROM version. All user data will be purged in this process. Please back up your data and think twice before proceeding. All responsibility goes to you.



Only download 2 files.
  1. MIUI ROM Flashing Tool for flash official Fastboot ROM - Link
  2. Download Fastboot file for your device - mifirm.net


Decompress downloaded file. Please note if ext of file is .gz you have to extract 2 times, or quickly you can rename to ext .tgz then extract 1 time.
Open the file folder for the decompressed ROM pack, and copy its path on the computer.





Turn off the device. Press the Volume– key and the Power button at the same time to enter Fastboot mode. Then connect the device to the Windows PC/laptop via a USB cable






Decompress the MIUI ROM flashing tool downloaded in Step 1, and double click on it to install (if there is security warning, select 'Run'). After installation is completed, open MiFlash.exe
First, select clean all to make sure you will not forget it, if not, your phone will lock bootloader after flash and you can not boot




Paste the coppied path into the address bar the ROM file folder path copied in the Step 2 as picture below.





Click on the Refresh Button button to Refresh and detect the device, and MiFlash should automatically recognize the device.





Then click the Flash button to flash the ROM file to the device.





Now your device will restart automatically and you will get a fresh MIUI ROM!

Thứ Tư, 20 tháng 6, 2018

MiFirm - Get lastest firmware of any Xiaomi phone - Tải ROM mới nhất mọi máy Xiaomi
English:
Hi
This is a small tool to find any Xiaomi phone lastest firmware if available
This tool will embedded a small shortlink, just wait 5 secs and press SKIP THIS AD to download.
Shortlink will be small support to make a better tool later.
No ads version may release later
====================
Vietnamese:
Xin chào
Phần mềm nhỏ này dùng để tìm ROM mới nhất cho bất cứ điện thoại Xiaomi nào nếu có sẵn
Phần mềm sẽ nhúng một shortlink nhỏ, vui lòng đợi 5 giây và ấn SKIP THIS AD để download
Shortlink sẽ hỗ trợ một chút để tôi làm những phần mềm tốt hơn
Phiên bản không shortlink có thể phát hành sau.

Language: English
Code language: AutoIT
Author: Tungtata
Release: 20/06/2018
Update: 23/06/2018
Version: 0.0.0.3
Changelog: 
- Optimize get speed
- Add Singleton (Ignore duplicate run app)
- Fix some bug


NEW: Web version of Mi Firm - more easy, no need to download tool

Download: Link removed

Have fun!


Thứ Năm, 7 tháng 6, 2018

QCN tool - Simply QCN edit, IMEI <-> HEX converter
This is a small tool to help you improve your work, change IMEI of QCN or simply convert IMEI to HEX or HEX to IMEI
This is a freeware, without ads, without paid version, without any fees
So if you like it, you can give me a coffee via paypal paypal.me/DangThanhTung

Source: Open source
Language: English
Code language: AutoIT
Author: Tungtata
Release: 07/06/2018
Version: 1.0.0.0
Download: https://goo.gl/a5LSe3
Password: tungtata.net

Have fun!