Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Thảo luận trong 'Diễn tập An ninh mạng' bắt đầu bởi sunny, 17/07/15, 07:07 AM.

  1. BkavCR

    BkavCR VIP Members

    Tham gia: 27/09/13, 11:09 AM
    Bài viết: 204
    Đã được thích: 98
    Điểm thành tích:
    48
    Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

    Danh sách Top 5 các đội gửi báo cáo sớm và đầy đủ nhất


    BTC xin thông báo danh sách Top 5 các đội gửi báo cáo sớm và đầy đủ nhất

    • Trung tâm Công nghệ thông tin truyền thông Bến Tre
    • Sở Thông tin và Truyền thông Hải Dương
    • Ngân hàng Việt Nam Thương Tín (Vietbank)
    • Sở Thông tin và Truyền thông Long An
    • Ngân hàng TMCP Xuất nhập khẩu Việt Nam


    Ngoài 5 đội nêu trên, có một số đội thực hiện đầy đủ các nội dung tuy nhiên thời gian gửi muộn hơn nên không có tên trong danh sách trên :)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 860
    Điểm thành tích:
    113
    Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

    BÁO CÁO
    RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
    Tên đơn vị : Công ty TNHH 1 Thành viên Bách Việt
    Tổng hợp kết quả:
    [h=2]1. Tiếp nhận, rà soát sơ bộ tình trạng.[/h]Các dấu hiệu bất thường trên máy tính:


    - Process bất thường: Process svchost.exe có PPiD là 1388. Không có process nào hiện đang chạy có PID như vậy => Nghi ngờ Malware khởi chạy process svchost.exe sau đó tự động kill chính mình

    [​IMG]

    - Autorun: Có chương trình lạ khởi động cùng với Windows với logo Kaspersky tại: C:Documents and SettingsAll UsersDRMemproxym.exe => Đây là malware được khởi động cùng Windows
    - Network: Process svchost.exe ở trên có hoạt động network bất thường như sau:
    o Liên tục quét các máy tính trong mạng LAN dải 192.168.1.x:1357
    o Kết nối bất thường đến ip: 118.70.80.143

    Con đường lây lan của mã độc, cơ sở để xác định:

    - Nghi ngờ malware được lây nhiễm qua file: Ngân hàng BIDV - Thông báo thay đổi tài khoản.doc.
    - Các nghi ngờ khác: Lây nhiễm qua cắm usb, tải phần mềm không rõ nguồn gốc trên mạng, mở các tài liệu có gắn malware…

    [h=2]2. Cô lập, phân tích và lấy mẫu mã độc.[/h]Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
    - Thư mục: C:Documents and SettingsAll UsersDRM (Xác định qua autorun)
    o drmv2.lic
    o drmv2.lic
    o emproxy iswfh
    o emproxy m.exe
    o emproxy msi.dll
    o emproxy msi.dll.mov
    o emproxyyslkmvy
    o emproxy zbftsxrkdkgwtm
    - Thư mục: %temp% (Các file tạm mà malware copy ra, phân tích qua quá trình phân tích động)
    o msi.dll
    o msi.dll.mov




    [h=2]3. Xử lý mã độc trên máy tính bị lây nhiễm.[/h]- Tên các tiến trình của mã độc
    o Svchost.exe: Xử lý bằng cách kill process svchost.exe đang chạy bằng process explorer
    - Key khởi động :
    o Xóa key khởi động của malware: HKCUSoftwareMicrosoftWindowsCurrentVersionRunemproxy

    - Xóa các file malware liệt kê ở mục 2.


    - Xác định hành vi của mã độc:
    o Liên tục quét các máy tính trong mạng LAN dải 192.168.1.x:1357
    o Kết nối bất thường đến ip: 118.70.80.143
    o Chương trình thực hiện ghi lại bàn phím của người dùng (Keylogger). Đây là nguyên nhân lý giải người dùng bị mất tài khoản facebook, email:

    [​IMG]




    [h=2]4. Điều tra nguồn tấn công[/h]- Địa chỉ server điều khiển:
    o 118.70.80.143
    o Thông tin server: http://whois.domaintools.com/118.70.80.143

    - Tên các cơ quan chức năng khi cần trợ giúp:
    o Cấp trên trực tiếp, lãnh đạo đơn vị phụ trách về ATTT, các công ty về An ninh mạng như VNCERT, BKAV…

    - Các biện pháp đề xuất để phòng chống tấn công:
    o Tuyên truyền, định hướng về ANTT cho các cán bộ, nhân viên
    o Cài các chương trình Antivirus trên máy nhân viên như KAS, Symantect
    o Update bản vá cho các lỗi Microsoft Office: http://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-320/Microsoft-Office.html
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 860
    Điểm thành tích:
    113
    Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

    BÁO CÁO
    RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
    Tên đơn vị : Cục Công nghệ tin học – Ngân hàng Nhà nước
    Tổng hợp kết quả:
    [h=2]1. Tiếp nhận, rà soát sơ bộ tình trạng.[/h]Các dấu hiệu bất thường trên máy tính:
    - 1 process có tên svchost.exe lạ nằm trong process cha explorer.exe, bình thường svchost.exe phải nằm trong process cha system
    - Svchost.exe thường xuyên kết nối đến dải192.168.1.x qua port 1357 và 1 số port khác, thông qua dns đang được cấu hình 118.70.80.143
    - Trong regedit: có key emproxy trong HKLM/…/RUN có value = C:Document and SettingAllUserDRMemproxym.exe
    Con đường lây lan của mã độc, cơ sở để xác định: file đính kèm trong email (file doc Ngân hàng BIDV…doc). Khi chạy file đính kèm này sẽ tạo ra key khởi động cùng windows và tạo ra các file C:Document and SettingAllUserDRMemproxy
    [h=2]2. Cô lập, phân tích và lấy mẫu mã độc.[/h]Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
    -File m.exe trong đường dẫn C:Document and SettingAllUserDRMemproxym.exe với icon giống AV kaspersky (FakeAV).
    - Process: svchost.exe
    [h=2]3. Xử lý mã độc trên máy tính bị lây nhiễm.[/h]Tên các tiến trình của mã độc: tắt processvchost.exe
    Key khởi động : Disable Key
    Xác định hành vi của mã độc: file m.exe được khởi động sẽ tạo process svchost kết nối đến máy chủ C&C

    [h=2]4. Điều tra nguồn tấn công[/h]Địa chỉ server điều khiển: 115.78.161.135 với giao thức TPKT
    Tên các cơ quan chức năng khi cần trợ giúp:
    Các biện pháp đề xuất để phòng chống tấn công:
    - Đầu tư giải pháp nhận diện malware theo hành vi.
    - Đào tạo nhận thức ATT với người dung
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 860
    Điểm thành tích:
    113
    Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

    BÁO CÁO
    RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
    Tên đơn vị : Sở Thông tin và Truyền thông tỉnh Thừa Thiên Huế
    Tổng hợp kết quả:
    [h=2]1. Tiếp nhận, rà soát sơ bộ tình trạng.[/h]Các dấu hiệu bất thường trên máy tính:
    - Phát hiện máy tính liên tục gửi các request TCP SYN_SENT đến các máy khác trong mạng LAN thông qua port 1357.
    Con đường lây lan của mã độc, cơ sở để xác định:

    - Mã độc lây lan thông qua hệ thống mạng LAN, giữa các máy tính trong mạng LAN.
    - Cơ sở xác định: máy tính nhiễm mã độc liên tục gửi các request TCP SYN_SENT thông qua port 1357.
    [h=2]2. Cô lập, phân tích và lấy mẫu mã độc.[/h]Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
    - File mã độc: m.exe (C:Document and SettingsALLUserDRMemproxym.exe), xác định bằng phần mềm Autoruns.
    [h=2]3. Xử lý mã độc trên máy tính bị lây nhiễm.[/h]Tên các tiến trình của mã độc: ...................................................................................................
    ..........................................................................................................................................................
    ..........................................................................................................................................................
    Key khởi động : ............................................................................................................................
    ..........................................................................................................................................................
    ..........................................................................................................................................................
    Xác định hành vi của mã độc:
    - Lây lan mã độc trong mạng LAN
    - Đánh cắp thông tin, gửi thông tin đến Server định sẵn qua giao thức http
    [h=2]4. Điều tra nguồn tấn công[/h]Địa chỉ server điều khiển: 118.70.128.143 (WTCP Viewer)
    Tên các cơ quan chức năng khi cần trợ giúp:
    - Cục An toàn thông tin;
    - Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT);
    - Công an Tỉnh;
    - Nhà cung cấp dịch vụ Internet;

    Các biện pháp đề xuất để phòng chống tấn công:
    - Cài đặt phần mềm ngăn chặn, diệt virus
    - Nâng cao nhận thức người sử dụng
    - Rà soát hệ thống thông tin định kỳ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Drill_LongAn

    Drill_LongAn W-------

    Tham gia: 16/07/15, 03:07 PM
    Bài viết: 4
    Đã được thích: 0
    Điểm thành tích:
    6
    Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

    Cho kết quả của BTC đi admin
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. webattack

    webattack W-------

    Tham gia: 17/07/15, 11:07 AM
    Bài viết: 8
    Đã được thích: 4
    Điểm thành tích:
    8
    Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

    Do chậm chân không được tham gia, thấy địa phương có 1 đội nhưng không có tên trong Top 5 là DakLak nên xin mạo muội đóp góp vài ý kiến .

    Do ở đây các đội tiếp cận qua internet nên có thể ỏ qua trường hợp này. Còn trong một số tình huống thực tế chúng ta nên thực hiện thêm một số thao tác như sau :

    Một số giải pháp phòng chống cho máy tính an toàn :

    i - Cài Comodo Antivirus Free : Xin thứ lỗi vì khi tôi thử nghiệm môtt vài malware thông dụng thì ngay cả KaV (bản có phí, cài trên các máy tính của chuyên viên ở BQP) và cả BKAV bản miễn phí vì tôi chưa có bản có phí, hy vọng được BKAV tặng 1 bản để test) tìm không ra nhưng Comodo AV Free phát hiện được.
    ii - Cài thêm Zone Alarm Free
    iii - Cài EMET (cũng free) luôn
    iv - Cài plugin Key cramber
     
    Last edited by a moderator: 17/07/15, 01:07 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 860
    Điểm thành tích:
    113
    Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

    BTC đã gửi gợi ý đến các đội tham gia diễn tập trước thời điểm 12:00, đội LongAn kiểm tra lại email nhé.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 860
    Điểm thành tích:
    113
    Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

    BTC cảm ơn anh đã góp ý.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. Ngoc Duy Ai

    Ngoc Duy Ai W-------

    Tham gia: 30/06/13, 07:06 PM
    Bài viết: 6
    Đã được thích: 0
    Điểm thành tích:
    6
    Tường thuật thế này khó theo dõi quá Admin ơi :)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. Theeye

    Theeye Wh------

    Tham gia: 23/10/14, 05:10 PM
    Bài viết: 64
    Đã được thích: 14
    Điểm thành tích:
    18
    Bác diễn tập lần nào chưa?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan