Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

sunny

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Drill_AgriBank;26720 đã viết:
Agribank cung mong muon BTC gui huong dan de cho cac don vi danh gia lai qua trinh dien tap cua minh de RUT KINH NGHIEM Cam on BTC

Như đã nói ở trên, sau khi các đội hoàn thành bài diễn tập, BTC sẽ gửi gợi ý để các đội tham khảo.

Drill_LongAn

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị: Sở Thông tin và Truyền thông Long An
Tổng hợp kết quả:
1. Tiếp nhận, rà soát sơ bộ tình trạng.

Các dấu hiệu bất thường trên máy tính:
- Máy tính hoạt động chậm, có 1 tiến trình hoạt động bất thường khi người dùng không sử dụng.
Con đường lây lan của mã độc, cơ sở để xác định:
- Con đường lây lan: Người dùng download phần mềm Vietkey 2007 (chứa file VKey07_Setup.exe) trên mạng không có nguồn gốc rõ ràng từ diễn đàn SinhvienIT.net lúc 9:19:24 PM ngày 13/7/2015.
- Cơ sở xác định: Kiểm tra lịch sử truy cập của trình duyệt Chrome.
2.Cô lập, phân tích và lấy mẫu mã độc.

Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: C

ocument and SettingAllUserDRMemproxym.exe.
Dùng Power Tool tìm tiến trình nghi ngờ dùng và VirutTotal kiểm tra thì phát hiện đây là Trojan (0049ee0a1)
3. Xử lý mã độc trên máy tính bị lây nhiễm.

Tên các tiến trình của mã độc: scvhost.exe có PID: 1308

Key khởi động:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
C

ocuments and SettingsAll UsersDRMemproxym.exe
Xác định hành vi của mã độc:
- Tạo kết nối đến máy chủ C&C có IP (118.70.80.143)
- Chờ lệnh thực thi từ máy chủ C&C để thực hiện: tấn công từ chối dịch vụ DDoS, truy xuất dữ liệu, tấn công vào mạng nội bộ, leo thang đặc quyền,…
4. Điều tra nguồn tấn công

Địa chỉ server điều khiển: 118.70.80.143
Tên các cơ quan chức năng khi cần trợ giúp:
- Cục An toàn thông tin;
- Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT);
- Đơn vị có dịch vụ ứng cứu sự cố (BKIS,...);
- Nhà cung cấp dịch vụ (trong trường hợp bị tấn công từ chối dịch vụ DDoS).
Các biện pháp đề xuất để phòng chống tấn công:
- Đào tạo, nâng cao nhận thức cho cán bộ lãnh đạo, người sử dụng trong cơ quan.
- Trang bị thiết bị tưởng lửa chuyên dụng, thiết bị phát hiện xâm nhập IDS, thiết bị phòng chống xâm nhập IPS cho hệ thống mạng.
- Triển khai cài đặt phần mềm có bản quyền (hệ điều hành, diệt virut,...) và thường xuyên cập nhật các bản vá lỗi.
- Định kỳ rà soát, đánh giá ATTT hệ thống mạng, máy tính trong cơ quan, khắc phục nhanh chóng các điểm yếu hiện có.
- Xây dựng phương án phòng chống tấn công mạng, các phương án ứng cứu sự cố cũng như phương án dự phòng trong trường hợp hệ thống bị tấn công.
----------------Hết----------------
P/S: có 1 số ảnh nhưng không upload được.

Drill_BacNinh

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Sunny cho hỏi hiện giờ remote máy ảo vẫn chưa vào được thì BN có cần phải đợi để diễn tập nữa ko? Cái emeeting thì bị từ lúc bắt đầu diễn tập là ko thấy phòng rồi.

Drill_EximBank

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

[h=2]Exim Team
1. Tiếp nhận, rà soát sơ bộ tình trạng.[/h]Các dấu hiệu bất thường trên máy tính:
Email được gửi đính kèm file word có nội dung từ ngân hàng BIDV nhưng có nguồn gốc domain là @drill.com
Startup có chạy file m.exe
Có kết nối tới IP 118.70.80.143
Con đường lây lan của mã độc, cơ sở để xác định:
Lây lan do người dùng nhận và mở email có chứa mã độc
[h=2]2. Cô lập, phân tích và lấy mẫu mã độc.[/h]Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
Folder: C

couments and SettingAll Users DRMemproxy*
Folder: Temp, các file như M.T, M.B
C:WindowsTasks
.dll
Cơ sở xác định : Sử dụng Msconfig, phân tích Md5, phân tích malware trên trên malwr.com, process explorer, wireshark
[h=2]3. Xử lý mã độc trên máy tính bị lây nhiễm.[/h]Tên các tiến trình của mã độc:
+ svchost PID 1588.......................................................................................................................
..........................................................................................................................................................
..........................................................................................................................................................
Key khởi động :
+ emproxy (m.exe)
..........................................................................................................................................................
..........................................................................................................................................................
..........................................................................................................................................................
Xác định hành vi của mã độc:
+ gửi thông tin đến IP 118.70.80.143
+ Broadcast, dò quét mạng Lan trong dãy IP 192.168.1.0/24 ............................................
..........................................................................................................................................................
..........................................................................................................................................................
[h=2]4. Điều tra nguồn tấn công[/h]Địa chỉ server điều khiển:
+ 118.70.80.143
+ Onwer : Trần Thanh Hải , [email protected]......................................................................
..........................................................................................................................................................
..........................................................................................................................................................
Tên các cơ quan chức năng khi cần trợ giúp:
+ VnCert
+ Bkav
+ C50 – Cục phòng chống tội phạm công nghệ cao
..........................................................................................................................................................
..........................................................................................................................................................
..........................................................................................................................................................
Các biện pháp đề xuất để phòng chống tấn công:
+ Block email domain @drill.com (IP 207.58.190.64)
+ Cài đặt và cập nhật bản Antivirus mới nhất
+ Cập nhật bản vá lỗ hổng CVE-2012-0158
+ Bật Firewall Block in/out đến IP 118.70.80.113

Drill_PhuYen

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH

Tên đơn vị : Đội Diễn tập An ninh mạng – Sở Thông tin và Truyền thông Phú Yên
Tên máy tính ảo: 103.237.99.84
Tổng hợp kết quả:

1. Tiếp nhận, rà soát sơ bộ tình trạng.
Các dấu hiệu bất thường trên máy tính:
+ Kiểm tra trên tiến trình Msconfig -> Startup: thấy 02 ứng dụng lạ: dumper và m. Trong đó “m” được thiết lập trong ứng dụng khởi động theo Windows
+ Mở tool Process moinitor để xác định tiến trình “m.exe” phát hiện loại file này tại thư mục “All userDRMemproxym.exe”. Sử dụng tool TCP view xác định kết nối port là 1357 và sử dụng giao thức kết nối TCP.
Con đường lây lan của mã độc, cơ sở để xác định:
+ Người dùng cài đặt phần mềm hệ điều hành không rõ nguồn gốc;
+ Mở những email lạ có đính kèm file bị nhiễm virus;
+ Tải những file ứng dụng trên mạng bị nhiễm virus;
+ Sử dụng USB không có biện pháp đảm bảo an toàn (nguyên nhân chính trong ngữ cảnh của cuộc diễn tập); gửi gói tin bị nhiễm trên mạng nội bộ thông qua port 1357, dãy địa chỉ IP 192.168.1.xxx.
+ Lây nhiễm nội bộ từ những máy bị nhiễm virus.
2. Cô lập, phân tích và lấy mẫu mã độc.
+ Xác định đường dẫn chứa file nhiễm độc:
C

ocumnet an Settting All user DRMemproxym.exe. Sau khi lấy mã độc tổng hợp các thông tin và dùng các công cụ phân tích, nhận thấy file này: dạng Worm trojan
3. Xử lý mã độc trên máy tính bị lây nhiễm.
Tên các tiến trình của mã độc:
+ m.exe ẩn trong tiến trình thực thi hệ thống Windows “svchot.exe”
+ Key khởi động : emproxy
Xác định hành vi của mã độc: Lấy dữ liệu của máy nạn nhân gửi đến địa chỉ của máy chủ định sẵn.
4. Điều tra nguồn tấn công
Địa chỉ server điều khiển: Có IP là 118.70.80.143. Xác định địa chỉ IP này được nhà cung cấp dịch vụ fpttelecom đặt tại Hà Nội.
140.133.13.37 nhà cung cấp dịch vụ TANet đặt tại Taiwan (Đài Loan)
Tên các cơ quan chức năng khi cần trợ giúp:
+ Lãnh đạo phụ trách trực tiếp
+ Các Trung tâm ứng cứu thành viên nhứ BKAV; CMC Việt Nam; Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT); PA81-CA Tỉnh Phú Yên; ….
Các biện pháp đề xuất để phòng chống tấn công:
+ Thiết lập các quy tắc truy cập trên hệ thống tường lửa của đơn vị;
+ Cài đặt phần mềm diệt virus theo mô hình Server -Client
+ Cài Antivirus có bản quyền như BKAV, CMC, KAS, …
+ Trên mỗi USB cài đặt các biện pháp an toàn và Hạn chế sử dụng USB trong hệ thống;
+ Hạn chế cài đặt phần mềm hệ điều hành, ứng dụng không rõ nguồn gốc.
+ Xác nhận thông tin email lạ trước khi mở file đính kèm;
+ Giám sát kỹ các tiến trình của những ứng dụng chạy cùng Windows
+ Phát hiện và cách ly máy bị nhiễm virus.
+ Đưa ra quy chế sử dụng máy tính trong cơ quan

sunny

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Đội Long An gửi kết quả:
___________________

BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị: Sở Thông tin và Truyền thông Long An
Tổng hợp kết quả:
[h=2]1. Tiếp nhận, rà soát sơ bộ tình trạng.[/h]Các dấu hiệu bất thường trên máy tính:
- Máy tính hoạt động chậm, có 1 tiến trình hoạt động bất thường khi người dùng không sử dụng.
Con đường lây lan của mã độc, cơ sở để xác định:
- Con đường lây lan: Người dùng download phần mềm Vietkey 2007 (chứa file VKey07_Setup.exe) trên mạng không có nguồn gốc rõ ràng từ diễn đàn SinhvienIT.net lúc 9:19:24 PM ngày 13/7/2015.

- Cơ sở xác định: Kiểm tra lịch sử truy cập của trình duyệt Chrome.

[h=2]2. Cô lập, phân tích và lấy mẫu mã độc.[/h]Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: C

ocument and SettingAllUserDRMemproxym.exe.

Dùng Power Tool tìm tiến trình nghi ngờ dùng và VirutTotal kiểm tra thì phát hiện đây là Trojan (0049ee0a1)

[h=2]3. Xử lý mã độc trên máy tính bị lây nhiễm.[/h]Tên các tiến trình của mã độc: scvhost.exe có PID: 1308

Key khởi động:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun

C

ocuments and SettingsAll UsersDRMemproxym.exe
Xác định hành vi của mã độc:
- Tạo kết nối đến máy chủ C&C có IP (118.70.80.143)
- Chờ lệnh thực thi từ máy chủ C&C để thực hiện: tấn công từ chối dịch vụ DDoS, truy xuất dữ liệu, tấn công vào mạng nội bộ, leo thang đặc quyền,…
[h=2]4. Điều tra nguồn tấn công[/h]Địa chỉ server điều khiển: 118.70.80.143
Tên các cơ quan chức năng khi cần trợ giúp:
- Cục An toàn thông tin;
- Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT);
- Đơn vị có dịch vụ ứng cứu sự cố (BKIS,...);
- Nhà cung cấp dịch vụ (trong trường hợp bị tấn công từ chối dịch vụ DDoS).
Các biện pháp đề xuất để phòng chống tấn công:
- Đào tạo, nâng cao nhận thức cho cán bộ lãnh đạo, người sử dụng trong cơ quan.
- Trang bị thiết bị tưởng lửa chuyên dụng, thiết bị phát hiện xâm nhập IDS, thiết bị phòng chống xâm nhập IPS cho hệ thống mạng.
- Triển khai cài đặt phần mềm có bản quyền (hệ điều hành, diệt virut,...) và thường xuyên cập nhật các bản vá lỗi.
- Định kỳ rà soát, đánh giá ATTT hệ thống mạng, máy tính trong cơ quan, khắc phục nhanh chóng các điểm yếu hiện có.
- Xây dựng phương án phòng chống tấn công mạng, các phương án ứng cứu sự cố cũng như phương án dự phòng trong trường hợp hệ thống bị tấn công.
----------------Hết----------------

sunny

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Đội Long An gửi ảnh rất chi tiết, chúc mừng đội đã hoàn thành bài diễn tập.

Drill_AgriBank · 17/07/2015

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BÁO CÁO RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH Tên đơn vị : Ngân hàng Agribank Tổng hợp kết quả: 1. Tiếp nhận, rà soát sơ bộ tình trạng. Dấu hiệu: vẫn vào web, gởi và nhận mail bình thường 2. Cô lập, phân tích và lấy mẫu mã độc. Sau khi sử dụng một số tool có phát hiện: + Liên tục scan hệ thống mạng LAN (dải địa chỉ IP: 192.168.1.x) + Gửi dữ liệu liên tục đến Server có địa chỉ 118.70.80.143 Phát hiện: Thành phần một số file của mã độc tại: C

ocuments and SettingsAll UsersDRMemproxy 3. Xử lý mã độc trên máy tính bị lây nhiễm. svchost.exe PID 1384 (random PID mỗi lần chạy mới), rdpclip.exe. Kill bằng Autoruns hoặc Task Manager Key khởi động : emproxy, xác định bằng Autoruns hoặc msconfig, delete bằng Autoruns 4. Điều tra nguồn tấn công Địa chỉ server điều khiển: 118.70.80.143 Báo cho các đơn vị chức năng phối hợp.

Drill_AgriBank

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BÁO CÁO RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH Tên đơn vị : Ngân hàng Agribank Tổng hợp kết quả: 1. Tiếp nhận, rà soát sơ bộ tình trạng. Dấu hiệu: vẫn vào web, gởi và nhận mail bình thường 2. Cô lập, phân tích và lấy mẫu mã độc. Sau khi sử dụng một số tool có phát hiện: + Liên tục scan hệ thống mạng LAN (dải địa chỉ IP: 192.168.1.x) + Gửi dữ liệu liên tục đến Server có địa chỉ 118.70.80.143 Phát hiện: Thành phần một số file của mã độc tại: C

ocuments and SettingsAll UsersDRMemproxy 3. Xử lý mã độc trên máy tính bị lây nhiễm. svchost.exe PID 1384 (random PID mỗi lần chạy mới), rdpclip.exe. Kill bằng Autoruns hoặc Task Manager Key khởi động : emproxy, xác định bằng Autoruns hoặc msconfig, delete bằng Autoruns 4. Điều tra nguồn tấn công Địa chỉ server điều khiển: 118.70.80.143 Báo cho các đơn vị chức năng phối hợp.

olus

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Phát hiện m.exe thực hiện keylogger:

sunny

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BTC update kết quả của đội DakLak
_____________________________________

BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Sở Thông tin và Truyền thông tỉnh Đăk Lăk
Tổng hợp kết quả:

[h=2]1. Tiếp nhận, rà soát sơ bộ tình trạng.[/h]Các dấu hiệu bất thường trên máy tính: Máy ảo bị lag, Sử dụng các công cụ theo dõi giám sát phát hiện Các dấu hiệu bất thường trên máy tính:
- Scan hệ thống mạng LAN bằng tool phát hiện (dãy IP: 192.168.1.x)
+ phát hiện gửi dữ liệu liên tục đến Server có địa chỉ static.vdc.vn
Con đường lây lan của mã độc, cơ sở để xác định:
Qua kiểm tra trên máy được sử dụng phát hiện:
- Máy sử dụng ứng dụng từ nhiều nguồn khác nhau trên Internet.
- Nhận dữ liệu do hacker giả mạo gửi tới.
- Không sử dụng phần mềm diệt virus để hạn chế các loại virus gấy hại cho máy tính.
[h=2]2. Cô lập, phân tích và lấy mẫu mã độc.[/h]Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
- C:WINDOWSsystem32winlogon.exe
- C:WINDOWSsystem3 2svchost.exe
- C:WINDOWSsystem32
dpclip.exe
cách xác định sử dụng công cụ , Anti-virus, Chạy Autorun để xác định các mã độc trong register.
[h=2]3. Xử lý mã độc trên máy tính bị lây nhiễm.[/h]Tên các tiến trình của mã độc:
Phát hiện đối tượng emproxy.exe
Xác định hành vi của mã độc: Đánh cắp thông tin
Key khởi động : emproxy
Xác định hành vi của mã độc: Đánh cắp thông tin.
[h=2]4. Điều tra nguồn tấn công[/h]Tên các cơ quan chức năng khi cần trợ giúp: Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).
Các biện pháp đề xuất để phòng chống tấn công: Cài Antivirus có bản quyền như BKAV PRO, KAS, AVG,… Hạn chế sử dụng USB( mở trực tiếp, quyết virus cho USB) và sử dụng các phần mềm chuyên dụng để diệt virus trên USB. Truy cập và sử dụng tài nguyên trên INTERNET ở các địa chỉ chính thống có thông tin rõ rang. Phối hợp với các đơn vị chuyên đảm bảo an toàn an ninh thông tin để xử lý kịp thời các mối tân công từ bên ngoài,…

Drill_BachViet

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Phát hiện hành vi keylogger, đây là nguyên nhân mà victim bị mất email, facebook:

sunny

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BTC update kết quả đội AgriBank
_________________________
BÁO CÁO RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Ngân hàng Agribank
Tổng hợp kết quả:
1. Tiếp nhận, rà soát sơ bộ tình trạng.
Dấu hiệu: vẫn vào web, gởi và nhận mail bình thường

2. Cô lập, phân tích và lấy mẫu mã độc.
Sau khi sử dụng một số tool có phát hiện:
+ Liên tục scan hệ thống mạng LAN (dải địa chỉ IP: 192.168.1.x)
+ Gửi dữ liệu liên tục đến Server có địa chỉ 118.70.80.143
Phát hiện: Thành phần một số file của mã độc tại: C

ocuments and SettingsAll UsersDRMemproxy

3. Xử lý mã độc trên máy tính bị lây nhiễm.

svchost.exe PID 1384 (random PID mỗi lần chạy mới), rdpclip.exe. Kill bằng Autoruns hoặc Task Manager
Key khởi động : emproxy, xác định bằng Autoruns hoặc msconfig, delete bằng Autoruns

4. Điều tra nguồn tấn công

Địa chỉ server điều khiển: 118.70.80.143
Báo cho các đơn vị chức năng phối hợp.

sunny

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Drill_BachViet;26736 đã viết:
Phát hiện hành vi keylogger, đây là nguyên nhân mà victim bị mất email, facebook:

Chúc mừng đội Bách Việt. Không phải đội nào cũng tìm ra.

sunny

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BTC update kết quả của đội Quảng Ninh
_____________________________________
BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Sở Thông tin và Truyền thông Quảng Ninh
Tổng hợp kết quả:
[h=2]1. Tiếp nhận, rà soát sơ bộ tình trạng.[/h]Các dấu hiệu bất thường trên máy tính: Nhiều tiến trình chạy qua svhost.exe, nhiều dịch vụ lạ.
Con đường lây lan của mã độc, cơ sở để xác định: Lây lan qua các file hệ thống.
[h=2]2. Cô lập, phân tích và lấy mẫu mã độc.[/h]Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: Các tiến trình có dấu hiệu
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32
dpclip.exe
Đường dẫn mẫu: C

ocuments and SettingsAll UsersDRMemproxym.exe
[h=2]3. Xử lý mã độc trên máy tính bị lây nhiễm.[/h]Tên các tiến trình của mã độc
Key khởi động : : emproxy
Xác định hành vi của mã độc: Có thể khởi chạy tool ở background, gửi các gói tin cho máy chủ điều khiển từ xa.
[h=2]4. Điều tra nguồn tấn công[/h]Địa chỉ server điều khiển: 118.70.80.143
Tên các cơ quan chức năng khi cần trợ giúp: VNcert
Các biện pháp đề xuất để phòng chống tấn công: cài đặt chương trình diệt virus, bật tường lửa…

Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Số người đang xem

Thống kê diễn đàn