Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Danh sách Top 5 các đội gửi báo cáo sớm và đầy đủ nhất​

BTC xin thông báo danh sách Top 5 các đội gửi báo cáo sớm và đầy đủ nhất

• Trung tâm Công nghệ thông tin truyền thông Bến Tre
• Sở Thông tin và Truyền thông Hải Dương
• Ngân hàng Việt Nam Thương Tín (Vietbank)
• Sở Thông tin và Truyền thông Long An
• Ngân hàng TMCP Xuất nhập khẩu Việt Nam

Ngoài 5 đội nêu trên, có một số đội thực hiện đầy đủ các nội dung tuy nhiên thời gian gửi muộn hơn nên không có tên trong danh sách trên

 

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Công ty TNHH 1 Thành viên Bách Việt
Tổng hợp kết quả:
[h=2]1. Tiếp nhận, rà soát sơ bộ tình trạng.[/h]Các dấu hiệu bất thường trên máy tính:


- Process bất thường: Process svchost.exe có PPiD là 1388. Không có process nào hiện đang chạy có PID như vậy => Nghi ngờ Malware khởi chạy process svchost.exe sau đó tự động kill chính mình

- Autorun: Có chương trình lạ khởi động cùng với Windows với logo Kaspersky tại: Cocuments and SettingsAll UsersDRMemproxym.exe => Đây là malware được khởi động cùng Windows
- Network: Process svchost.exe ở trên có hoạt động network bất thường như sau:
o Liên tục quét các máy tính trong mạng LAN dải 192.168.1.x:1357
o Kết nối bất thường đến ip: 118.70.80.143

Con đường lây lan của mã độc, cơ sở để xác định:

- Nghi ngờ malware được lây nhiễm qua file: Ngân hàng BIDV - Thông báo thay đổi tài khoản.doc.
- Các nghi ngờ khác: Lây nhiễm qua cắm usb, tải phần mềm không rõ nguồn gốc trên mạng, mở các tài liệu có gắn malware…

[h=2]2. Cô lập, phân tích và lấy mẫu mã độc.[/h]Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
- Thư mục: Cocuments and SettingsAll UsersDRM (Xác định qua autorun)
o drmv2.lic
o drmv2.lic
o emproxy iswfh
o emproxy m.exe
o emproxy msi.dll
o emproxy msi.dll.mov
o emproxyyslkmvy
o emproxy zbftsxrkdkgwtm
- Thư mục: %temp% (Các file tạm mà malware copy ra, phân tích qua quá trình phân tích động)
o msi.dll
o msi.dll.mov




[h=2]3. Xử lý mã độc trên máy tính bị lây nhiễm.[/h]- Tên các tiến trình của mã độc
o Svchost.exe: Xử lý bằng cách kill process svchost.exe đang chạy bằng process explorer
- Key khởi động :
o Xóa key khởi động của malware: HKCUSoftwareMicrosoftWindowsCurrentVersionRunemproxy

- Xóa các file malware liệt kê ở mục 2.


- Xác định hành vi của mã độc:
o Liên tục quét các máy tính trong mạng LAN dải 192.168.1.x:1357
o Kết nối bất thường đến ip: 118.70.80.143
o Chương trình thực hiện ghi lại bàn phím của người dùng (Keylogger). Đây là nguyên nhân lý giải người dùng bị mất tài khoản facebook, email:

[h=2]4. Điều tra nguồn tấn công[/h]- Địa chỉ server điều khiển:
o 118.70.80.143
o Thông tin server: http://whois.domaintools.com/118.70.80.143

- Tên các cơ quan chức năng khi cần trợ giúp:
o Cấp trên trực tiếp, lãnh đạo đơn vị phụ trách về ATTT, các công ty về An ninh mạng như VNCERT, BKAV…

- Các biện pháp đề xuất để phòng chống tấn công:
o Tuyên truyền, định hướng về ANTT cho các cán bộ, nhân viên
o Cài các chương trình Antivirus trên máy nhân viên như KAS, Symantect
o Update bản vá cho các lỗi Microsoft Office: http://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-320/Microsoft-Office.html

 

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Cục Công nghệ tin học – Ngân hàng Nhà nước
Tổng hợp kết quả:
[h=2]1. Tiếp nhận, rà soát sơ bộ tình trạng.[/h]Các dấu hiệu bất thường trên máy tính:
- 1 process có tên svchost.exe lạ nằm trong process cha explorer.exe, bình thường svchost.exe phải nằm trong process cha system
- Svchost.exe thường xuyên kết nối đến dải192.168.1.x qua port 1357 và 1 số port khác, thông qua dns đang được cấu hình 118.70.80.143
- Trong regedit: có key emproxy trong HKLM/…/RUN có value = Cocument and SettingAllUserDRMemproxym.exe
Con đường lây lan của mã độc, cơ sở để xác định: file đính kèm trong email (file doc Ngân hàng BIDV…doc). Khi chạy file đính kèm này sẽ tạo ra key khởi động cùng windows và tạo ra các file Cocument and SettingAllUserDRMemproxy
[h=2]2. Cô lập, phân tích và lấy mẫu mã độc.[/h]Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
-File m.exe trong đường dẫn Cocument and SettingAllUserDRMemproxym.exe với icon giống AV kaspersky (FakeAV).
- Process: svchost.exe
[h=2]3. Xử lý mã độc trên máy tính bị lây nhiễm.[/h]Tên các tiến trình của mã độc: tắt processvchost.exe
Key khởi động : Disable Key
Xác định hành vi của mã độc: file m.exe được khởi động sẽ tạo process svchost kết nối đến máy chủ C&C

[h=2]4. Điều tra nguồn tấn công[/h]Địa chỉ server điều khiển: 115.78.161.135 với giao thức TPKT
Tên các cơ quan chức năng khi cần trợ giúp:
Các biện pháp đề xuất để phòng chống tấn công:
- Đầu tư giải pháp nhận diện malware theo hành vi.
- Đào tạo nhận thức ATT với người dung

 

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Sở Thông tin và Truyền thông tỉnh Thừa Thiên Huế
Tổng hợp kết quả:
[h=2]1. Tiếp nhận, rà soát sơ bộ tình trạng.[/h]Các dấu hiệu bất thường trên máy tính:
- Phát hiện máy tính liên tục gửi các request TCP SYN_SENT đến các máy khác trong mạng LAN thông qua port 1357.
Con đường lây lan của mã độc, cơ sở để xác định:

- Mã độc lây lan thông qua hệ thống mạng LAN, giữa các máy tính trong mạng LAN.
- Cơ sở xác định: máy tính nhiễm mã độc liên tục gửi các request TCP SYN_SENT thông qua port 1357.
[h=2]2. Cô lập, phân tích và lấy mẫu mã độc.[/h]Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
- File mã độc: m.exe (Cocument and SettingsALLUserDRMemproxym.exe), xác định bằng phần mềm Autoruns.
[h=2]3. Xử lý mã độc trên máy tính bị lây nhiễm.[/h]Tên các tiến trình của mã độc: ...................................................................................................
..........................................................................................................................................................
..........................................................................................................................................................
Key khởi động : ............................................................................................................................
..........................................................................................................................................................
..........................................................................................................................................................
Xác định hành vi của mã độc:
- Lây lan mã độc trong mạng LAN
- Đánh cắp thông tin, gửi thông tin đến Server định sẵn qua giao thức http
[h=2]4. Điều tra nguồn tấn công[/h]Địa chỉ server điều khiển: 118.70.128.143 (WTCP Viewer)
Tên các cơ quan chức năng khi cần trợ giúp:
- Cục An toàn thông tin;
- Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT);
- Công an Tỉnh;
- Nhà cung cấp dịch vụ Internet;
…
Các biện pháp đề xuất để phòng chống tấn công:
- Cài đặt phần mềm ngăn chặn, diệt virus
- Nâng cao nhận thức người sử dụng
- Rà soát hệ thống thông tin định kỳ

 

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Cho kết quả của BTC đi admin

 

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Do chậm chân không được tham gia, thấy địa phương có 1 đội nhưng không có tên trong Top 5 là DakLak nên xin mạo muội đóp góp vài ý kiến .

Do ở đây các đội tiếp cận qua internet nên có thể ỏ qua trường hợp này. Còn trong một số tình huống thực tế chúng ta nên thực hiện thêm một số thao tác như sau :

(1) Khi mới tiếp cận với máy tính bị nhiễm, nếu như máy quan trọng thì chúng ta nên chụp vài hình ảnh của máy tính, coi như giữ lại các dấu vế của hiện trường, tốt nhất là dùng smartphone quay video lại tổng thể vì biết đâu các dấu hiệu sẽ bị mất đi trong quá trình chúng ta xử lý sự cố.

(2) Đối với máy thật sự tại cơ quan thì nên lưu lại 1 bản (giống như bản Ghost) để phòng khi chúng ta dò tìm máy nó ngủm luôn thì lôi image ra mà làm tiếp

(3) Ngoài ra, một trong nhữ dữ liệu rất hữu ích cho quá trình phân tích là bộ nhớ, vì mã độc hay các dấu hiệu khó mà chạy đi đâu để lẩn trốn được trong bộ nhớ ngay cả các siêu mã độc như stuxnet (http://goo.gl/3MpnEa) , các tôl có thể sử dụng như dumpit và VOL!

Một số giải pháp phòng chống cho máy tính an toàn :

Cài BKAV bảb Free hay bản có phí càng tốt

i - Cài Comodo Antivirus Free : Xin thứ lỗi vì khi tôi thử nghiệm môtt vài malware thông dụng thì ngay cả KaV (bản có phí, cài trên các máy tính của chuyên viên ở BQP) và cả BKAV bản miễn phí vì tôi chưa có bản có phí, hy vọng được BKAV tặng 1 bản để test) tìm không ra nhưng Comodo AV Free phát hiện được.
ii - Cài thêm Zone Alarm Free
iii - Cài EMET (cũng free) luôn
iv - Cài plugin Key cramber

 

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Cho kết quả của BTC đi admin

BTC đã gửi gợi ý đến các đội tham gia diễn tập trước thời điểm 12:00, đội LongAn kiểm tra lại email nhé.

 

Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”

Do chậm chân không được tham gia, thấy địa phương có 1 đội nhưng không có tên trong Top 5 là DakLak nên xin mạo muội đóp góp vài ý kiến .

Do ở đây các đội tiếp cận qua internet nên có thể ỏ qua trường hợp này. Còn trong một số tình huống thực tế chúng ta nên thực hiện thêm một số thao tác như sau :







Một số giải pháp phòng chống cho máy tính an toàn :


i - Cài Comodo Antivirus Free : Xin thứ lỗi vì khi tôi thử nghiệm môtt vài malware thông dụng thì ngay cả KaV (bản có phí, cài trên các máy tính của chuyên viên ở BQP) và cả BKAV bản miễn phí vì tôi chưa có bản có phí, hy vọng được BKAV tặng 1 bản để test) tìm không ra nhưng Comodo AV Free phát hiện được.
ii - Cài thêm Zone Alarm Free
iii - Cài EMET (cũng free) luôn
iv - Cài plugin Key cramber

BTC cảm ơn anh đã góp ý.

 

Tường thuật thế này khó theo dõi quá Admin ơi

 

Bác diễn tập lần nào chưa?