Bạn làm tiếp bước Phân tích mẫu đính kèm để lấy mẫu ransomware (Pha 2) nhé.
Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04
- Bắt đầu WhiteHat News #ID:2017
- Ngày bắt đầu
Pha 2: tiền hành cô lập các port chỉ mở port 3389.
o Qua file “Diễn tập ANM – 1.doc”:
- File 1 bị lây nhiễm: 29/57
o Qua file “Diễn tập ANM – 2.doc”: -
- File 2 bị lây nhiễm: 10/57
o Qua file “Diễn tập ANM – 1.doc”:
- File 1 bị lây nhiễm: 29/57
o Qua file “Diễn tập ANM – 2.doc”: -
- File 2 bị lây nhiễm: 10/57
Comment
Sở Thông tin và Truyền thông Phú Thọ báo cáo Phase 3
Phase 3: Phân tích và xử lý các thành phần độc hại.
• Phân tích hành vi file ransomware: Sử dụng phần mềm OllyDBG để phân tích file ransomware
o Phương thức mã hóa: CryptAcquireContextW, CryptGenRandom, CryptReleaseContext, CryptImportKey, CryptSetKeyParam, CryptGetKeyParam, CryptDecodeObjectEx, CryptImportPublicKeyInfo
o Mã hóa tất cả các file có định dạng: Mã hóa tất cả các định dạng file .text, .doc, .xls, .pdf, mp3, .zip.
o Các thư mục bị mã hóa: Thư mục Desktop, Dowload, Documents
o Các hành vi khác của mã độc:
Khởi tạo và kết nối tới thanh Registry và thực hiện liên tục kết nối tới máy chủ 118.70.80.143.
•Xử lý các thành phần độc hại:
- Sử dụng công cụ ProccessMonitor tiến hành xóa các Registry mà mã độc đã tạo.
- Xóa các file độc hại: Xóa các file ở thư mục C:Window/temp
Kết luận Ransomware được viết bởi Oleh yusohuk và tiến hành xóa bỏ các file trong đường dẫn.
Phase 3: Phân tích và xử lý các thành phần độc hại.
• Phân tích hành vi file ransomware: Sử dụng phần mềm OllyDBG để phân tích file ransomware
o Phương thức mã hóa: CryptAcquireContextW, CryptGenRandom, CryptReleaseContext, CryptImportKey, CryptSetKeyParam, CryptGetKeyParam, CryptDecodeObjectEx, CryptImportPublicKeyInfo
o Mã hóa tất cả các file có định dạng: Mã hóa tất cả các định dạng file .text, .doc, .xls, .pdf, mp3, .zip.
o Các thư mục bị mã hóa: Thư mục Desktop, Dowload, Documents
o Các hành vi khác của mã độc:
Khởi tạo và kết nối tới thanh Registry và thực hiện liên tục kết nối tới máy chủ 118.70.80.143.
•Xử lý các thành phần độc hại:
- Sử dụng công cụ ProccessMonitor tiến hành xóa các Registry mà mã độc đã tạo.
- Xóa các file độc hại: Xóa các file ở thư mục C:Window/temp
Kết luận Ransomware được viết bởi Oleh yusohuk và tiến hành xóa bỏ các file trong đường dẫn.
Comment
ĐH Thái Nguyên: Pha 4
Ví BTC:1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE
Email [email protected]
IP: 118.70.80.143
Bổ sung, thay đổi các key:
HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004
HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004\SOFTWARE\Microsoft\Cryptography\Providers\Type 001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Offload
HKEY_CURRENT_USER\Software\whitehatdrill
Ví BTC:1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE
Email [email protected]
IP: 118.70.80.143
Bổ sung, thay đổi các key:
HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004
HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004\SOFTWARE\Microsoft\Cryptography\Providers\Type 001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Offload
HKEY_CURRENT_USER\Software\whitehatdrill
Comment
Các công cụ đó có bản quyền, nên bạn search Google và tự "tìm" nhé
Comment
Phase 4: Điều tra nguồn tấn công và khôi phục dữ liệu bị mã hóa
· Các thông tin về nguồn tấn công gồm:
o Email phát tán mã độc: [email protected]
o IP server chứa mã độc: 118.70.80.143
o Địa chỉ ví Bitcoin: 1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE
· Các bước khôi phục dữ liệu:
Xóa registry tại địa chỉ HKEY_CURRENT_USER/Software/whitehatdrill
Xóa File ransomware trong thư mục C:/Windows/Temp/ransomware.exe
Phục hồi dữ liệu bằng cách tải các tập tin từ https://118.70.80.143:4443/!/#tailieu chép vào thư mục C:\Users\Bkav\Documents\tailieu
· Các thông tin về nguồn tấn công gồm:
o Email phát tán mã độc: [email protected]
o IP server chứa mã độc: 118.70.80.143
o Địa chỉ ví Bitcoin: 1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE
· Các bước khôi phục dữ liệu:
Xóa registry tại địa chỉ HKEY_CURRENT_USER/Software/whitehatdrill
Xóa File ransomware trong thư mục C:/Windows/Temp/ransomware.exe
Phục hồi dữ liệu bằng cách tải các tập tin từ https://118.70.80.143:4443/!/#tailieu chép vào thư mục C:\Users\Bkav\Documents\tailieu
Comment
Comment
Phase 3: Phân tích và xử lý các thành phần độc hại.
· Phân tích hành vi file ransomware:
o Phương thức mã hóa: Thay đổi các file đuổi doc, 7z, mp3 (đều có đuôi .bam! ).
o Mã hóa tất cả các file có định dạng: doc .mp3 .7zip
o Các thư mục bị mã hóa: "canhac" va "hoctap"
Phase 4:
_Xác định nguồn gốc tấn công:
Từ Mail [email protected] , từ IP 118.70.80.143
Phục hồi dữ liệu bằng cách tải các tập tin từ https://118.70.80.143:4443/svn/tailieu chép vào thư mục C:\Users\Bkav\Documents\tailieu.
· Phân tích hành vi file ransomware:
o Phương thức mã hóa: Thay đổi các file đuổi doc, 7z, mp3 (đều có đuôi .bam! ).
o Mã hóa tất cả các file có định dạng: doc .mp3 .7zip
o Các thư mục bị mã hóa: "canhac" va "hoctap"
Phase 4:
_Xác định nguồn gốc tấn công:
Từ Mail [email protected] , từ IP 118.70.80.143
Phục hồi dữ liệu bằng cách tải các tập tin từ https://118.70.80.143:4443/svn/tailieu chép vào thư mục C:\Users\Bkav\Documents\tailieu.
Comment