Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

minh da mo 2 file , nhung chi thay virus o file thu 1 thoi:
upload_2017-7-26_16-23-48.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Trà Vinh Gửi báo cáo phase 3
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Drill_TTTTBacNinh báo cáo phase 2
Đã cô lập In và cho phép remote qua port 3889
Phân tích khi click vào file word phát hiện link đến đường dẫn sau chứa virus tải về ổ C
SourceName = "http://118.70.80.143:4448/ransomware_tb.exe"
Destination = "C:\Windows\Temp\ransomware.exe"
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Tiếp tục Phase 3:

Dùng PC Hunter để xóa file, reg mà virus đã tạo ra.

Sau đó thay lại hình nền của máy tính.

Registry: "HKEY_CURRENT_USER\Software\Rs" : Xóa ID và IsEncrypt
Xóa Flag trong "HKEY_CURRENT_USER\Software\whitehatdrill"
Xóa file ransomware.exe trong C:\Windows\Temp và xóa file phát tán tải về

+ Đổi lại hình nền đòi tiền chuộc:
+ Địa chỉ ví Bitcoin: 1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
co gui mau file ransomware cho MOD kg?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Trà Vinh gửi đáp án phase 4
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Như này là bị sao ạ? Mod giúp với ạ.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phase 4:

Mail [email protected]
IP 118.70.80.143
Ví Bitcoin: 1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE

Dùng tortoise để backup lại.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
minh da dong tat ca cac port , va bat firewall roi -> tiep theo lam sao nua?

upload_2017-7-26_16-33-25.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
BTC đã ghi nhận. Mời đội tiếp tục diễn tập.
bổ sung pha 2:
file 2: ransomware_tb dc tải về từ http://118.70.80.143:4443/ransamware_tb.exe

Pha 3
Nguồn phát tán: mail của [email protected]
Sử dụng mã hóa RSA
Key mã hóa:
MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgHNXVw8m22G9F4nyB02SU8aNO/Rc6WTtOciMzCZu7n4oDN7qJuR9Qtc8kJ1xc3jJOk8+ekRjVvCKvwbEIz27bNxdkammiy6iMl6r/s6eSeIXDQ7LIHLuTqZkOU4MxCHBDt75RYwUFHc8sbOA6wdPx14pV1dM0gOFiEf7Iizk2fi7AgMBAAE=
Các thư mục bị mã hóa: Downloads , Desktop\hoctap, \canhac, Documents\tailieu
_Liệt kê các hành vi khác của ransomware:
-Kiểm tra trong Registry: "Software\whitehatdrill\Flag, Software\Rs\IsEncrypt"
-đổi hình nền Desktop tại đường dẫn C:\Users\Bkav\Desktop\Notify.jpg,
-đổi định dạng các tập tin bị mã hóa sang "*.bam!"
_Xử lý các thành phần độc hại:
-Xóa registry "HKEY_CURRENT_USER\Software\Rs"
-Xóa khóa Flag trong "HKEY_CURRENT_USER\Software\whitehatdrill"
-Xóa file ransomware.exe trong C:\Windows\Temp và xóa file phát tán tải về
-Xóa các file bị lây nhiễm tiến hành khôi phục lại (nếu có bản backup trước đó nhanh nhất)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
[email protected]
Bên trên