Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

sunny

VIP Members
30/06/2014
869
1.849 bài viết
Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
1490893245Banner Dien tap ANM-600x450-HoangN-150624-ok.jpg

BTC xin thông báo danh sách Top 5 các đội gửi báo cáo sớm và đầy đủ nhất


  • Trung tâm Công nghệ thông tin truyền thông Bến Tre
  • Sở Thông tin và Truyền thông Hải Dương
  • Ngân hàng Việt Nam Thương Tín (Vietbank)
  • Sở Thông tin và Truyền thông Long An
  • Ngân hàng TMCP Xuất nhập khẩu Việt Nam


Ngoài 5 đội nêu trên, còn rất nhiều đội thực hiện đầy đủ các nội dung tuy nhiên thời gian gửi muộn hơn nên không có tên trong danh sách trên.



Các đội cập nhật kết quả diễn tập trực tiếp trên Whitehat.vn tại Topic này. BTC sẽ dựa trên thông tin cập nhật của các đội để xếp Top 05 đội hoàn thành bài diễn tập nhanh nhất.


11:10 Đội Quảng Ngãi có đề nghị sau khi kết thúc diễn tập có email hướng dẫn khắc phục cụ thể gởi các đội để học tập và phòng ngừa. BTC xin trả lời, 11:30 BTC sẽ gửi mail gợi ý cho các đội tham gia diễn tập.

10:00 19/20 đội đã đăng nhập vào hệ thống diễn tập

08:45 BTC đã mở kết nối vào máy ảo để các đội kết nối vào hệ thống

__________________________________
Thời gian
: Từ 09:00 - 12:00 ngày 17/07/2015

Hình thức: Diễn tập trực tuyến

Lịch trình diễn tập:
  • 09:00 - 09:20: BTC mở chính thức bài diễn tập, các đội chuẩn bị kết nối vào hệ thống
  • 09:20 - 11:30: Các đội thực hành theo kịch bản của BTC, kết quả các đội cập nhật tại Whitehat.vn/dientap
  • 11:30 - 12:00: Các đội tổng hợp báo cáo và gửi cho BTC, BTC gửi gợi ý cho các đội; trao đổi thảo luận giữa các đội và BTC

Kênh trao đổi giữa các đội tham gia diễn tập và BTC:
  • emeeting.vn

KỊCH BẢN DIỄN TẬP

Phòng IT vừa nhận được thông báo từ một nhân viên bộ phận kế toán rằng sau khi mở file văn bản đính kèm trong email của ngân hàng thì trên máy tính làm việc bị mất một số tài liệu quan trọng của công ty, đồng thời không thể đăng nhập được các tài khoản mạng xã hội, email… Để giữ an toàn cho toàn bộ công ty, đề nghị đội ứng cứu nhanh chóng kiểm tra, rà soát và làm rõ vấn đề.

NHIỆM VỤ CỦA ĐỘI ỨNG CỨU:

1. Tiếp nhận, rà soát sơ bộ tình trạng.

Sau khi nhận được thông tin người dùng bị mất dữ liệu quan trọng, không đăng nhập được tài khoản xã hội, email. Xác định hiện tượng và khoanh vùng nguyên nhân.
Mục tiêu cần đạt được:
· Xác định những dấu hiệu bất thường trên máy tính.
· Từ những dấu hiệu, thông tin được cung cấp khoanh vùng được nguyên nhân nguồn gốc lây nhiễm mã độc.
Công cụ sử dụng: TcpView, Process explorer, Anti-virus…v.v

2. Cô lập, phân tích và lấy mẫu mã độc

Đội ứng cứu phân tích và lấy mẫu mã độc để phục vụ cho quá trình điều tra cũng như ngăn chặn không cho hacker tiếp tục xâm nhập vào máy tính trong thời điểm phân tích.

Mục tiêu cần đạt được:
· Cô lập được máy tính khỏi Internet để tránh bị thay đổi hiện trường.(Trong trường hợp sử dụng truy cập qua máy ảo phải sử dụng internet, các đội nên sử dụng filewall đóng các cổng kết nối ra ngoài của mã độc thay vì ngắt internet)
· Thu thập được các file của mã độc để phục vụ công tác phân tích và điều tra
Công cụ sử dụng: Process Monitor, PC hunter …v.v

3. Xử lý mã độc trên máy tính bị lây nhiễm

Phân tích các tiến trình, file, key khởi động để phát hiện được mã độc trên máy tính. Phân tích hành vi của mã độc để khoanh vùng, theo dõi các kết nối để xem mã độc có quét các máy trong mạng LAN hay không. Có kết nối đến các server điều khiển hay chuyển dữ liệu đi hay không?
Các đội phải xử lý loại bỏ mã độc ra khỏi máy tính bị nhiễm bằng cách kill tiến trình, xóa file, xóa key khởi động.
Mục tiêu cần đạt được:
· Xác định và xử lý được đầy đủ các thành phần của mã độc
o Tiến trình của mã độc
o File của mã độc
o Thành phần đăng ký khởi động cùng máy tính của mã độc
· Phân tích được các hành vi của mã độc hoặc gửi đơn vị chuyên môn để được hỗ trợ phân tích.
Công cụ sử dụng: Autostart program viewer, debugger (ollydbg, IDA)…v.v

4. Điều tra nguồn tấn công

Đội ứng cứu phân tích các mã độc và phát hiện ra chi tiết thông tin server điều khiển. Sau đấy gửi yêu cầu trợ giúp điều tra tới các cơ quan chức năng. Gửi cảnh báo tới các cơ quan đơn vị khác để đề cao cảnh giác.
Mục tiêu cần đạt được:
· Xác định được đầy đủ thông tin của cuộc tấn công
o IP Server điều khiển
· Phối hợp với các cơ quan chức năng để điều tra. Tìm hiểu contact đơn vị chức năng khi cần trợ giúp.

5. Tổng hợp và báo cáo

Các đội gửi báo cáo theo mẫu ban tổ chức đã chuẩn bị theo địa chỉ [email protected].

Lưu ý:

Môi trường diễn tập trên máy ảo cloud (Bcloud.vn) nên các đội không tự ý thay đổi cấu hình mạng để đảm bảo kết nối tới máy ảo.

Mẫu mã độc được Bkav thu thập từ các cuộc tấn công thực tế nên các đội tuyệt đối không chạy mẫu mã độc ngoài môi trường diễn tập tránh gây ra những hậu quả ngoài ý muốn.

BTC Diễn tập An ninh mạng
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”


08:45 BTC đã mở kết nối vào máy ảo để các đội kết nối vào hệ thống
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

:v :v :v ...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

;) ;) ;) ;) ;) ;) ;)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Đội Bắc Ninh chào Mode
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Hải Dương ơi có emeeting được ko?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Các đội cập nhật kết quả diễn tập trực tiếp trên Whitehat.vn tại Topic này. BTC sẽ dựa trên thông tin cập nhật của các đội để xếp Top 05 đội hoàn thành bài diễn tập nhanh nhất.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Sao emeeting.vn chẳng có ai tham gia trao đổi nhỉ ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Hiện nay BTC đang trao đổi cùng các đội trên emeeting, đội EximBank đăng nhập lại emeeting và chọn lại phòng họp "Diễn tập An ninh mạng" BTC đã tạo từ trước.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Screenshot (395).jpg

Hiện nay BTC đang trao đổi cùng các đội trên emeeting, đội EximBank đăng nhập lại emeeting và chọn lại phòng họp "Diễn tập An ninh mạng" BTC đã tạo từ trước.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Update thông tin:

10h15:

  • Sở Thông tin và Truyền thông Quảng Ninh : C:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32svchost.exe C:WINDOWSsystem32
    dpclip.exe
  • Sở Thông tin & Truyền thông Long An : C:Document and SettingAllUserDRMemproxym.exe.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Bên Bắc Ninh ko thấy phòng họp nên ko emeeting được, máy ảo Bắc Ninh hiện giờ cũng ko remote được nữa. BQT xem hộ mình với
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Tiếp nhận, rà soát sơ bộ tình trạng:

Các dấu hiệu bất thường trên máy tính: Máy chậm. Trong registry có key AutoRun cùng hệ thống: tệp M.exe. TCPView có kết nối liên tục tới dải địa chỉ 192.168.1.X . Vẫn truy cập được internet.
Sử dụng Task Manager nghi ngờ tệp lạ là wscntfy.exe, svchost.exe
Sử dụng TCPView phát hiện svchost.exe kết nối ra bên ngoài; scan dải địa chỉ cục bộ
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Update kết quả đội Bến Tre gửi BTC:
____________________________________
BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị :Trung tâm Công nghệ Thông tin Truyền thông Bến Tre
Tổng hợp kết quả:​
1. Tiếp nhận, rà soát sơ bộ tình trạng.

Các dấu hiệu bất thường trên máy tính:
+ Scan hệ thống mạng LAN (dãy IP: 192.168.1.x)
+ Gửi dữ liệu liên tục đến Server có địa chỉ 118.70.80.143
Con đường lây lan của mã độc, cơ sở để xác định:
+ Người dùng tải ứng dụng không rõ nguồn gốc trên mạng Internet
+ Nhận File giả mạo của Hacker (Có thể 01 trong những người quen của mình đã bị hack tai khoản Email, Nickname trên mạng xã hội...)
+ Sử dụng USB nhưng không có biện pháp bảo đảm an toàn nên bị lay nhiễm Virus
2. Cô lập, phân tích và lấy mẫu mã độc.

Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
+ Dùng msconfig, Autoruns để xác định các file autostart bất thường trên máy
+ Dùng Autoruns để xác định Key đã cài vào registry
+ Dùng TcpView để kiểm tra Virus sẽ làm gì (Có Scan mạng LAN, Gửi dữ liệu...)
3. Xử lý mã độc trên máy tính bị lây nhiễm.

Tên các tiến trình của mã độc:
+ emproxy.exe
+ drmv2.lic
+drmv2.sst
Key khởi động : emproxy
Xác định hành vi của mã độc: Lấy thông tin trên hệ thống gửi lại theo Server đã định sẵn
4. Điều tra nguồn tấn công

Địa chỉ server điều khiển: Có IP là 118.70.80.143
Tên các cơ quan chức năng khi cần trợ giúp:
+ Lãnh đạo phụ trách trực tiếp
+ Đội ứng cứu sự cố trên địa bàn.
+ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).
+ Các Trung tâm ứng cứu thành viên nhứ BKAV....
+ Các cơ quan chuyên trách trên địa bàn.
Các biện pháp đề xuất để phòng chống tấn công:
+ Dùng Proxy quản lý truy cập internet
+ Cài Antivirus có bản quyền như BKAV, KAS...
+ Hạn chế sử dụng USB trong hệ thống
+ Hướng dẫn sử dụng máy tính an toàn trong cơ quan vì suy cho cùng công tác con người là quan trọng nhất
+ Đưa ra quy chế sử dụng máy tính trong cơ quan
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Screen Shot 2015-07-17 at 10.29.35 AM.jpg

Mình đăng nhập xong nhưng ko tìm thấy phòng họp này
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên