sunny
VIP Members
-
30/06/2014
-
870
-
1.849 bài viết
Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
BTC xin thông báo danh sách Top 5 các đội gửi báo cáo sớm và đầy đủ nhất
- Trung tâm Công nghệ thông tin truyền thông Bến Tre
- Sở Thông tin và Truyền thông Hải Dương
- Ngân hàng Việt Nam Thương Tín (Vietbank)
- Sở Thông tin và Truyền thông Long An
- Ngân hàng TMCP Xuất nhập khẩu Việt Nam
Ngoài 5 đội nêu trên, còn rất nhiều đội thực hiện đầy đủ các nội dung tuy nhiên thời gian gửi muộn hơn nên không có tên trong danh sách trên.
Các đội cập nhật kết quả diễn tập trực tiếp trên Whitehat.vn tại Topic này. BTC sẽ dựa trên thông tin cập nhật của các đội để xếp Top 05 đội hoàn thành bài diễn tập nhanh nhất.
11:10 Đội Quảng Ngãi có đề nghị sau khi kết thúc diễn tập có email hướng dẫn khắc phục cụ thể gởi các đội để học tập và phòng ngừa. BTC xin trả lời, 11:30 BTC sẽ gửi mail gợi ý cho các đội tham gia diễn tập.
10:00 19/20 đội đã đăng nhập vào hệ thống diễn tập
08:45 BTC đã mở kết nối vào máy ảo để các đội kết nối vào hệ thống
__________________________________
Thời gian: Từ 09:00 - 12:00 ngày 17/07/2015
Hình thức: Diễn tập trực tuyến
Lịch trình diễn tập:
- 09:00 - 09:20: BTC mở chính thức bài diễn tập, các đội chuẩn bị kết nối vào hệ thống
- 09:20 - 11:30: Các đội thực hành theo kịch bản của BTC, kết quả các đội cập nhật tại Whitehat.vn/dientap
- 11:30 - 12:00: Các đội tổng hợp báo cáo và gửi cho BTC, BTC gửi gợi ý cho các đội; trao đổi thảo luận giữa các đội và BTC
Kênh trao đổi giữa các đội tham gia diễn tập và BTC:
- emeeting.vn
KỊCH BẢN DIỄN TẬP
Phòng IT vừa nhận được thông báo từ một nhân viên bộ phận kế toán rằng sau khi mở file văn bản đính kèm trong email của ngân hàng thì trên máy tính làm việc bị mất một số tài liệu quan trọng của công ty, đồng thời không thể đăng nhập được các tài khoản mạng xã hội, email… Để giữ an toàn cho toàn bộ công ty, đề nghị đội ứng cứu nhanh chóng kiểm tra, rà soát và làm rõ vấn đề.
NHIỆM VỤ CỦA ĐỘI ỨNG CỨU:
1. Tiếp nhận, rà soát sơ bộ tình trạng.
Sau khi nhận được thông tin người dùng bị mất dữ liệu quan trọng, không đăng nhập được tài khoản xã hội, email. Xác định hiện tượng và khoanh vùng nguyên nhân.
Mục tiêu cần đạt được:
· Xác định những dấu hiệu bất thường trên máy tính.
· Từ những dấu hiệu, thông tin được cung cấp khoanh vùng được nguyên nhân nguồn gốc lây nhiễm mã độc.
Công cụ sử dụng: TcpView, Process explorer, Anti-virus…v.v
2. Cô lập, phân tích và lấy mẫu mã độc
Đội ứng cứu phân tích và lấy mẫu mã độc để phục vụ cho quá trình điều tra cũng như ngăn chặn không cho hacker tiếp tục xâm nhập vào máy tính trong thời điểm phân tích.
Mục tiêu cần đạt được:
· Cô lập được máy tính khỏi Internet để tránh bị thay đổi hiện trường.(Trong trường hợp sử dụng truy cập qua máy ảo phải sử dụng internet, các đội nên sử dụng filewall đóng các cổng kết nối ra ngoài của mã độc thay vì ngắt internet)
· Thu thập được các file của mã độc để phục vụ công tác phân tích và điều tra
Công cụ sử dụng: Process Monitor, PC hunter …v.v
3. Xử lý mã độc trên máy tính bị lây nhiễm
Phân tích các tiến trình, file, key khởi động để phát hiện được mã độc trên máy tính. Phân tích hành vi của mã độc để khoanh vùng, theo dõi các kết nối để xem mã độc có quét các máy trong mạng LAN hay không. Có kết nối đến các server điều khiển hay chuyển dữ liệu đi hay không?
Các đội phải xử lý loại bỏ mã độc ra khỏi máy tính bị nhiễm bằng cách kill tiến trình, xóa file, xóa key khởi động.
Mục tiêu cần đạt được:
· Xác định và xử lý được đầy đủ các thành phần của mã độc
o Tiến trình của mã độc
o File của mã độc
o Thành phần đăng ký khởi động cùng máy tính của mã độc
· Phân tích được các hành vi của mã độc hoặc gửi đơn vị chuyên môn để được hỗ trợ phân tích.
Công cụ sử dụng: Autostart program viewer, debugger (ollydbg, IDA)…v.v
4. Điều tra nguồn tấn công
Đội ứng cứu phân tích các mã độc và phát hiện ra chi tiết thông tin server điều khiển. Sau đấy gửi yêu cầu trợ giúp điều tra tới các cơ quan chức năng. Gửi cảnh báo tới các cơ quan đơn vị khác để đề cao cảnh giác.
Mục tiêu cần đạt được:
· Xác định được đầy đủ thông tin của cuộc tấn công
o IP Server điều khiển
· Phối hợp với các cơ quan chức năng để điều tra. Tìm hiểu contact đơn vị chức năng khi cần trợ giúp.
5. Tổng hợp và báo cáo
Các đội gửi báo cáo theo mẫu ban tổ chức đã chuẩn bị theo địa chỉ [email protected].
Lưu ý:
Môi trường diễn tập trên máy ảo cloud (Bcloud.vn) nên các đội không tự ý thay đổi cấu hình mạng để đảm bảo kết nối tới máy ảo.
Mẫu mã độc được Bkav thu thập từ các cuộc tấn công thực tế nên các đội tuyệt đối không chạy mẫu mã độc ngoài môi trường diễn tập tránh gây ra những hậu quả ngoài ý muốn.
BTC Diễn tập An ninh mạng
Chỉnh sửa lần cuối bởi người điều hành:
