Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Lưu ý các kết quả cập nhật là của các đội gửi, chưa phải là kết quả của BTC.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

2015-07-17_103223.jpg

Bn cũng bị như Exim và không remote được từ 10h
2015-07-17_103202.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Đội Bắc Ninh đợi trong giây lát, BTC đang kiểm tra vấn đề.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

C:Document and SettingAllUserDRMemproxym.exe
- Virus này là dạng Virus an cắp thông tin truyền về Server định sẵn, biến máy tính thành boxnet
- Cách diệt thì có thể dung tools hoặc dùng tay, Mình xin mạn phép chia sẻ:
+ Dùng Autoruns, msconfig để xác định tiến trình và sẽ thấy như đường dẫn trên
+ Dung TCPView để xem Virus nó làm gì trên hệ thống
+ Dùng Autoruns chọn Jump to để chuyển đến key Virus và del nó
+ Dùng Autoruns hoặc Task Manager để kill tiến trình của Virus
+ Di chuyển Virus sang đường dẫn khác (Vidu: tao mot folder de move nó vào đó) và sau đó del bằng tay
+ Logoff máy tính hoặc Restart lại máy tính
+ Kiểm tra lại máy và tìm những key (nếu còn) còn xót trong registry
+ Dùng Tools Antivirus Scan lại máy tính
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Bách Việt xin chào các đội.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Chào đội BachViet, các bạn cập nhật kết quả làm bài tại Topic này nhé.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Sở Thông tin và Truyền thông Quảng Ngãi:
Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: C:Documents and SettingsAll UsersDRMemproxym.exe
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Drill_QuangNgai lưu ý: mã độc gồm nhiều thành phần, không chỉ 1 file.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Update kết quả của đội Quảng Ngãi
________________________________
BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị :Sở Thông tin và Truyền thông Quảng Ngãi
Tổng hợp kết quả:​
1. Tiếp nhận, rà soát sơ bộ tình trạng.

Các dấu hiệu bất thường trên máy tính: Máy tính chạy chậm.
Con đường lây lan của mã độc, cơ sở để xác định: Dùng tool Autostart program viewer phát hiện mã độc có hình icon giống chương trình diệt virus.
2. Cô lập, phân tích và lấy mẫu mã độc.

Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: C:Documents and SettingsAll UsersDRMemproxym.exe

(đang cập nhật tiếp)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Đội Quảng Ngãi có đề nghị sau khi kết thúc diễn tập có email hướng dẫn khắc phục cụ thể gởi các đội để học tập và phòng ngừa.

BTC xin trả lời, 11:30 BTC sẽ gửi mail gợi ý cho các đội tham gia diễn tập.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Sở Thông tin & Truyền thông Hải Dương​
Tổng hợp kết quả:
1. Tiếp nhận, rà soát sơ bộ tình trạng.

Các dấu hiệu bất thường trên máy tính:
+ Liên tục scan hệ thống mạng LAN (dải địa chỉ IP: 192.168.1.x)
+ Gửi dữ liệu liên tục đến Server có địa chỉ 118.70.80.143
Con đường lây lan của mã độc, cơ sở để xác định:
+ Người dùng tải ứng dụng không rõ nguồn gốc trên mạng Internet
+ Nhận fle giả mạo khi truy cập internet
+ Sử dụng USB nhưng không có biện pháp bảo đảm an toàn nên bị lay nhiễm Virus
2. Cô lập, phân tích và lấy mẫu mã độc.

Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
+ Dùng lệnh msconfig để xác định các file autostart bất thường trên máy hoặc phần mềm Autoruns để xác định Key đã cài vào registry
+ Dùng TcpView để kiểm tra Virus sẽ làm gì (Có Scan mạng LAN, Gửi dữ liệu...)
3. Xử lý mã độc trên máy tính bị lây nhiễm.

Tên các tiến trình của mã độc:
Thư mục C:Documents and SettingsAll UsersDRM
+ emproxy
+ drmv2.lic
+ drmv2.sst
Tại thư mục: C:Documents and SettingsAll UsersDRMemproxy có chứa các tệp nghi ngờ bị nhiễm mã độc: tệp m.exe; Các tệp iswfh; yslkmvy liên tục được tạo mới nếu xoá đi.
Key khởi động : emproxy
Xác định hành vi của mã độc: Lấy thông tin trên hệ thống gửi lại theo Server đã cài đặt trước đó.
4. Điều tra nguồn tấn công

Địa chỉ server điều khiển: 118.70.80.143
Tên các cơ quan chức năng khi cần trợ giúp:
+ Lãnh đạo phụ trách trực tiếp
+ Đội ứng cứu sự cố trên địa bàn.
+ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).
+ Các Trung tâm ứng cứu thành viên như BKAV....
+ Các cơ quan chuyên trách trên địa bàn tỉnh.
Các biện pháp đề xuất để phòng chống tấn công:
+ Dùng Proxy quản lý truy cập internet( ISA, Forefront)
+ Cài Antivirus có bản quyền như BKAV, KAS...
+ Hạn chế sử dụng USB trong hệ thống
+ Đưa ra quy chế sử dụng máy tính trong cơ quan
+ Sử dụng máy tính khoa học
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Chúc mừng đội Hải Dương đã hoàn thành bài diễn tập.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Ngân hàng Việt Nam Thương tín (Vietbank)
Tổng hợp kết quả:
1. Tiếp nhận, rà soát sơ bộ tình trạng.

Các dấu hiệu bất thường trên máy tính: vẫn vào web, mạng xã hội, gởi và nhận mail bình thường nhưng máy chạy chậm
Con đường lây lan của mã độc, cơ sở để xác định: lây lan sau khi check mail rồi mở file đính kèm “Ngân hàng BIDV - Thông báo thay đổi tài khoản”. Ngoài ra sử dụng USB nhưng không có biện pháp đảm bảo an toàn như cài chương trình antivirus

2. Cô lập, phân tích và lấy mẫu mã độc.

Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: C:Documents and SettingsAll UsersDRMemproxym.exe

3. Xử lý mã độc trên máy tính bị lây nhiễm.

Tên các tiến trình của mã độc: svchost.exe PID 1384 (random PID mỗi lần chạy mới), rdpclip.exe. Kill bằng Autoruns hoặc Task Manager
Key khởi động : emproxy, xác định bằng Autoruns hoặc msconfig, delete bằng Autoruns

Xác định hành vi của mã độc: gởi dữ liệu ra server bên ngoài, theo dõi hệ thống mạng LAN

4. Điều tra nguồn tấn công

Địa chỉ server điều khiển: 118.70.80.143, xác định bằng Wireshark
Tên các cơ quan chức năng khi cần trợ giúp: Cấp trên trực tiếp, lãnh đạo đơn vị phụ trách về ATTT, VNCERT, BKAV
Các biện pháp đề xuất để phòng chống tấn công: Cài chương trình antivirus và internet security như KAV, KIS, BKAV. Hướng dẫn người dùng các biện pháp phòng tránh. Ban hành quy trình quy định phòng tránh và xử lý
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Agribank cung mong muon BTC gui huong dan de cho cac don vi danh gia lai qua trinh dien tap cua minh de RUT KINH NGHIEM Cam on BTC
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Drill_VietBank;26719 đã viết:
BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Ngân hàng Việt Nam Thương tín (Vietbank)
Tổng hợp kết quả:
1. Tiếp nhận, rà soát sơ bộ tình trạng.

Các dấu hiệu bất thường trên máy tính: vẫn vào web, mạng xã hội, gởi và nhận mail bình thường nhưng máy chạy chậm
Con đường lây lan của mã độc, cơ sở để xác định: lây lan sau khi check mail rồi mở file đính kèm “Ngân hàng BIDV - Thông báo thay đổi tài khoản”. Ngoài ra sử dụng USB nhưng không có biện pháp đảm bảo an toàn như cài chương trình antivirus

2. Cô lập, phân tích và lấy mẫu mã độc.

Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: C:Documents and SettingsAll UsersDRMemproxym.exe

3. Xử lý mã độc trên máy tính bị lây nhiễm.

Tên các tiến trình của mã độc: svchost.exe PID 1384 (random PID mỗi lần chạy mới), rdpclip.exe. Kill bằng Autoruns hoặc Task Manager
Key khởi động : emproxy, xác định bằng Autoruns hoặc msconfig, delete bằng Autoruns

Xác định hành vi của mã độc: gởi dữ liệu ra server bên ngoài, theo dõi hệ thống mạng LAN

4. Điều tra nguồn tấn công

Địa chỉ server điều khiển: 118.70.80.143, xác định bằng Wireshark
Tên các cơ quan chức năng khi cần trợ giúp: Cấp trên trực tiếp, lãnh đạo đơn vị phụ trách về ATTT, VNCERT, BKAV
Các biện pháp đề xuất để phòng chống tấn công: Cài chương trình antivirus và internet security như KAV, KIS, BKAV. Hướng dẫn người dùng các biện pháp phòng tránh. Ban hành quy trình quy định phòng tránh và xử lý
Chúc mừng đội VietBank đã hoàn thành bài diễn tập, rất đầy đủ và chi tiết. :rolleyes:
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên