Tường thuật Diễn tập An ninh mạng tháng 8/2016: “Điều tra và xử lý website bị tấn công”

Thảo luận trong 'Diễn tập An ninh mạng' bắt đầu bởi sunny, 18/08/16, 02:08 PM.

  1. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,738
    Đã được thích: 767
    Điểm thành tích:
    113
    08:50: BTC Diễn tập ANM tháng 8/2016 đã mở hệ thống máy ảo, các đội có thể đăng nhập để tham gia chương trình Diễn tập ANM tháng 8.

    --------------------
    [​IMG]











    BQT Diễn đàn An ninh mạng Việt Nam - WhiteHat.vn xin thông báo chi tiết về buổi diễn tập An ninh mạng tháng 8/2016 với chủ đề “Điều tra và xử lý website bị tấn công”:
    • Thời gian: Từ 09:00 - 12:00 ngày 19/8/2016
    • Hình thức: Diễn tập trực tuyến
    • Lịch trình diễn tập:
    09:00 - 09:20: BTC mở chính thức bài diễn tập, các đội chuẩn bị kết nối vào hệ thống
    09:20 - 11:30: Các đội thực hành theo kịch bản của BTC, kết quả các đội cập nhật tại Whitehat.vn/dientap
    11:30 - 12:00: Các đội tổng hợp báo cáo và gửi cho BTC, trao đổi thảo luận giữa các đội và BTC

    Trân trọng,

    BTC Diễn tập An ninh mạng tháng 8/2016
     
    Last edited by a moderator: 19/08/16, 10:08 AM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,738
    Đã được thích: 767
    Điểm thành tích:
    113
    BTC xin thông báo: Kết quả chương trình Diễn tập An ninh mạng tháng 8/2016 dành cho các Sở TT&TT

    Sau khi rà soát, BTC đã lựa chọn được Top 05 đội hoàn thành nhiệm vụ và gửi báo cáo sớm nhất, bao gồm:

    • Trung tâm Tích hợp Dữ liệu - Sở Thông tin và Truyền thông Phú Yên
    • Sở Thông tin và Truyền thông Quảng Nam
    • Sở Thông tin và Truyền thông Hải Phòng
    • Sở Thông tin và Truyền thông Thanh Hóa
    • Sở Thông tin và Truyền thông Tiền Giang
    BTC xin chân thành cảm ơn các đội đã quan tâm, đăng ký và tham dự chương trình!


    -----------------------

    15:00
    BTC xin thông báo Chương trình Diễn tập An ninh mạng tháng 08/2016 đã chính thức khép lại.

    BTC xin lưu ý các đội chưa gửi báo cáo có thể hoàn thành và gửi báo cáo về cho BTC vào địa chỉ email [email protected].

    BTC sẽ kiểm tra đáp án và thông báo Top 5 đội gửi báo cáo sớm và đúng nhất vào ngày mai (20/08/2016)

    BTC sẽ gửi gợi ý các pha cho các đội vào địa chỉ email đã đăng ký.

    Trân trọng,

    ------------------------

    13:45
    BTC xin thông báo:

    Tính đến thời điểm hiện tại, BTC đã nhận được báo cáo kết quả diễn tập an ninh mạng của 5 đội: Sở TT&TT Quảng Ngãi, Quảng Nam, Quảng Bình, Hải Phòng và Trà Vinh.

    BTC xin lưu ý các đội nhanh chóng gửi báo cáo kết quả diễn tập an ninh mạng về cho BTC trước 16:00 ngày 19/08/2016.

    Xin cám ơn!

    -----------------------

    12:00
    Sở TT&TT Quảng Ngãi và Quảng Nam là 2 đội đầu tiên gửi báo cáo submit kết quả diễn tập về cho BTC. Chúc mừng hai đội!
    04_DTANM.jpg

    05_DTANM.jpg







    BTC xin lưu ý các đội còn lại nhanh chóng giải và submit kết quả về cho BTC.

    ------------------

    11:50
    BTC Diễn tập An ninh mạng xin thông báo:

    Thời gian Diễn tập An ninh mạng tháng 8/2016 sẽ được kéo dài đến 12:30 thay vì 12:00. Đội nào có nhu cầu diễn tập tiếp sau thời gian 12:30, vui lòng đăng ký với BTC.

    Trân trọng,

    --------------------

    11:40 Gợi ý Pha 5
    • Thông tin cuộc tấn công :
      • Sử dụng công cụ monitor như TCPView để theo dõi các kết nối ra ngoài internet của các tiến trình. Mục đích để kiểm tra xem những tiến trình độc hại kết nối đến địa chỉ nào và tần suất kết nối:
      • Trong đoạn log ghi lại hành vi tải mã độc của shell :
    • Các cơ quan chức năng, chuyên môn khi cần trợ giúp:
      • Cơ quan cảnh sát phòng chống tội phạm sử dụng công nghệ cao.
      • Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) .
      • Công ty an ninh mạng Bkav.
    --------------------

    11:35
    Kịch bản diễn tập pha 5: Điều tra nguồn tấn công


    Kịch bản: Sau khi phân tích shell và mã độc, tìm ra chi tiết thông tin server điều khiển, địa chỉ tải mã độc. Sau đấy gửi yêu cầu trợ giúp điều tra tới các cơ quan chức năng. Gửi cảnh báo tới các cơ quan đơn vị khác để đề cao cảnh giác.
    Mục tiêu:
    • Xác định được đầy đủ thông tin của cuộc tấn công
      • IP Server điều khiển, địa chỉ tải mã độc.
    • Biết các cơ quan chức năng để liên hệ phối hợp hỗ trợ.
    Thời gian thực hiện: 20’


    -----------------------

    11:30 Gợi ý Pha 4:
    Xác định và vá lỗ hổng website
    • Xác định lỗ hổng: Để xác định được hacker đã lợi dụng module nào để tải file độc hại lên server, chúng ta cần phải phân tích file log và điều tra xem file shell đã được tải lên thông qua module nào, có thể điều tra dựa theo tên shell hoặc nội dung của file shell được tải lên. Đọc source để tìm đoạn code gây lỗi và tìm phương pháp khắc phục.
    • Rà soát bằng tay hoặc sử dụng một số công cụ quét lỗ hổng để rà soát lại toàn bộ các module của website để đảm bảo website không còn lỗ hổng nào khác cho phép hacker tấn công trở lại.
    ----------------------

    11:25
    Sở TT&TT Bình Dương là đội đầu tiên submit lời giải cho Pha 3
    03_DTANM.jpg





    -----------------------

    11:25 Pha 4: Xác định và vá lỗ hổng website


    Kịch bản: Ở phase thứ 2 các đội đã xác định được hacker đã tấn công thông qua lỗ hổng website. Đội ứng cứu cần xác định chính xác lỗ hổng bị khai thác, vá lỗ hổng này để tránh hacker tấn công trở lại.
    Mục tiêu:
    • Xác định được lỗ hổng mà hacker đã sử dụng để tấn công, vá các lỗ hổng này.
    • Rà soát và vá các lỗ hổng ở module khác của website (bước này giúp các đội rèn luyện khả năng tìm kiếm và xử lý lỗ hổng trên website. BTC sẽ không đánh giá phần này).
    Thời gian thực hiện: 30’

    Công cụ tham khảo: (có thể tải các tools đã được kiểm tra virus tại tools.whitehat.vn):
    • Công cụ chỉnh sửa code: Notepad++, Sublime Text…
    • Công cụ pentest website: Acunetix (có phí), Nmap, Burp Suite…
    ----------------------

    11:20
    Gợi ý phase 3 phân tích và xử lý các thành phần độc hại đã được cài lên server.

    • Xử lý các thành phần bằng cách xóa các thành phần độc hại đã được tìm thấy:
      • Xóa file shell: Xóa tiến trình mã độc
      • Xóa file mã độc:
      • Thành phần khởi động trong registry: :
    • Phân tích các hành vi của file độc hại
      • Có thể đọc mã nguồn của shell để phân tích hành vi, đối với nhưng webshell đa năng có thể truy cập vào giao diện của webshell để xem những chức năng của shell.
      • Dịch ngược mã nguồn mã độc để phân tích hành vi, ngoài ra có thể sử dụng giám sát các hành vi ghi file hoặc truy cập ra ngoài.
    --------------------------

    11:00 Pha 3: Phân tích và xử lý các thành phần độc hại đã được cài lên server


    Kịch bản:Sau khi phân tích hiện trường và lấy được các mẫu file độc hại. Các đội phân tích hành vi của mã độc để khoanh vùng, theo dõi các kết nối đến server. Sau đó xử lý mã độc ra khỏi server bị nhiễm bằng cách loại bỏ tiến trình, xóa file shell, xóa key khởi động
    Mục tiêu:
    • Xác định và xử lý được đầy đủ các thành phần của mã độc
      • File shell hacker đã tải lên server
      • Tiến trình của mã độc
      • File của mã độc
      • Thành phần đăng ký khởi động cùng server của mã độc
    • Thu thập tất cả các thành phần file độc hại và gửi về ban tổ chức (Gửi dưới dạng file nén với tên vào địa chỉ [email protected]).
    • Phân tích được các hành vi của shell và mã độc (Đây là phần nâng cao để các đội rèn luyện kỹ năng dịch ngược mã độc. BTC sẽ không đánh giá phần này).
    Thời gian thực hiện: 40’

    Công cụ tham khảo: (có thể tải các tools đã được kiểm tra virus tại tools.whitehat.vn):
    • Đọc mã nguồn web shell: Notepad++, Sublime Text...
    • Tools phân tích mã độc: Autostart program viewer, debugger (ollydbg, IDA)…
    -----------------------

    10:45
    Gợi ý phase 2: Phân tích và cô lập hiện trường.
    • Các bước cô lập hiện trường:
      • Cấu hình firewall: Trước khi cấu hình firewall để chặn mã độc kết nối ra ngoài hay hacker tiếp tục tấn công vào server, cần giữ một số cổng của các dịch vụ quan trọng như web (80), remote (3389). Có thể chặn hết các cổng còn lại.
    • Cấu hình trỏ Virtual Host: Khi mở cổng web thể hiển thị thông báo bảo trì, hacker cũng có thể tấn công qua cổng web. Để cách ly hoàn hoàn, cần phải cấu hình chỉ trỏ domain về trang bảo trì.
    • Phân tích hiện trường: Sau khi đã rà soát thấy file shell, tiến hành điều tra theo tên shell trong file logs web để xác định chính xác shell được tải lên qua lỗ hổng web, và hành vi của nó. Để tìm kiếm được các thành phần khác của mã độc, sử dụng công cụ “Autorun” để tìm kiếm các key khởi động cùng hệ thống.
    ------------------------

    10:15
    Yêu cầu Pha 2:

    Pha 2: Phân tích và cô lập hiện trường

    Kịch bản: Đội ứng cứu phân tích logs web và lấy mẫu mã độc, file shell để phục vụ cho quá trình điều tra cũng như ngăn chặn không cho hacker tiếp tục xâm nhập vào máy tính trong thời điểm phân tích.
    Mục tiêu:
    • Cô lập được máy tính khỏi Internet để tránh bị thay đổi hiện trường. Trong môi trường diễn tập sử dụng máy ảo các đội cần cấu hình firewall để chỉ mở duy nhất cổng remote (3389) và cổng dịch vụ web (80) đồng thời cấu hình dịch vụ web chỉ trỏ Virtual Host về trang bảo trì.
    • Điều tra, phân tích hiện trường để tìm kiếm các file shell, phân tích hành vi của nó và xác định con đường lây nhiễm mã độc.
    Thời gian thực hiện: 30’

    ------------------------

    09:55
    9/30 đội đã đăng nhập thành công hệ thống Diễn tập submit lời giải yêu cầu Pha 1

    -------------------------

    09:50
    Gợi ý giải Pha 1:

    Gợi ý phase 1: Rà soát sơ bộ tình trạng, khắc phục tạm thời.
    • Cách khắc phục tạm thời: Tạo một file HTML tĩnh (index.html) với nội dung thông báo website đang bảo trì tại thư mục “C:xampphtdocs”. (Để ứng phó nhanh nên xây dựng sẵn mẫu bảo trì cho website để sử dụng khi gặp sự cố).
    • Các dấu hiệu bất thường trên máy tính:
      • Khi đã xác định được trang web bị tấn công, tiến hành rà soát các file độc hại ở trong thư mục web (C:xampphtdocs). Sử dụng các trình editor để tìm kiếm theo các hàm nguy hiểm thường được sử dụng trong web shell (Một số hàm phổ biến: preg_replace, passthru, shell_exec, exec, base64_decode, eval, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source).
    Ngoài ra có thể sử dụng thêm một số công cụ hỗ trợ như Web Shell Detector để quét các định dạng shell phức tạp hơn (sử dụng mã hóa tên, mã hóa mã nguồn…).


    --------------------------

    09:30 30/37 đội đã kết nối thành công hệ thống máy ảo
    02_DTANM.jpg












    --------------------------

    09:25
    Sở TT & TT Phú Yên và Thái Bình là những đội đầu tiên submit lời giải yêu cầu Pha 1

    --------------------------

    09:15 BTC Diễn tập ANM xin được up yêu cầu Pha 1:
    Phase 1: Rà soát sơ bộ tình trạng, khắc phục tạm thời

    Kịch bản: Vừa có nhân viên phát hiện ra trên website của Sở có xuất hiện nội dung lạ. Đề nghị đội ứng cứu nhanh chóng rà soát sơ bộ server để xác định hiện tượng, khoanh vùng nguyên nhân. Dự đoán sự cố mất nhiều thời gian để khắc phục đội ứng cứu phải đưa ra phương án khắc phục tạm thời để giảm thiểu làm ảnh hưởng đến uy tín của đơn vị.
    Mục tiêu:
    • Thay thế nội dung trang chủ bằng thông báo bảo trì/nâng cấp.
    • Rà soát để tìm kiếm các shell hacker đã upload lên server, mã độc trên server
    • Từ những dấu hiệu, thông tin được cung cấp khoanh vùng được nguyên nhân nguồn gốc tấn công.
    Thời gian thực hiện: 20’

    -------------------------------

    09:05 Ban tổ chức và Đội ngũ hỗ trợ kỹ thuật chương trình Diễn tập ANM tháng 8/2016:
    01_DTANM.jpg












    -------------------------

    09:00
    Chương trình DTANM chính thức bắt đầu. Các đội có thể vào link hướng dẫn

    -------------------------

    08:55 KỊCH BẢN DIỄN TẬP


    Buổi diễn tập sẽ mô phỏng một cuộc tấn công vào cổng thông tin điện tử của một tỉnh. Kẻ xấu đã khai thác được một lỗ hổng trên hệ thống để đăng tải thông tin sai lệch lên trang chủ website.

    Mục tiêu của Đội ứng cứu
    • Tìm ra được nguyên nhân của đợt tấn công
    • Rà soát và xử lý những file độc hại được kẻ xấu tải lên server.
    • Khắc phục lỗ hổng và điều tra nguồn gốc tấn công.
    • Đưa ra các phương án đề phòng chống tấn công tương tự.
    -------------------------

    08:50
    BCT Diễn tập An ninh mạng tháng 8/2016 chính thức mở hệ thống máy ảo. Các đội có thể đăng nhập để tham gia chương trình.
    ------------
    17:00, 18/8/2016: BTC đã gửi mail Thông tin chương trình "Diễn tập An ninh mạng tháng 8/2016" đến 35 đội tham dự.

    Trân trọng,

    BTC Diễn tập An ninh mạng tháng 8/2016
     
    Last edited by a moderator: 20/08/16, 09:08 AM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Drill_CaoBang

    Drill_CaoBang W-------

    Tham gia: 18/08/16, 09:08 AM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    aaaa
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,738
    Đã được thích: 767
    Điểm thành tích:
    113
    Đơn vị nào đã đăng nhập vào diễn đàn xin mời điểm danh ạ!!!
     
    Last edited by a moderator: 19/08/16, 09:08 AM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. dungnt709

    dungnt709 W-------

    Tham gia: 19/08/16, 08:08 AM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Chào anh em bên đơn vị Sở TTTT Nghệ An, vào lúc 08:09 ngày 18/8/2016 bên em có gửi thông tin để đăng ký tham gia mà ko thấy phản hồi, giờ bên em muốn bổ sung tham gia đợt tập huấn có được không ạ, cảm ơn anh, chị nhiều!
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,738
    Đã được thích: 767
    Điểm thành tích:
    113
    Anh cho em xin thông tin email gửi đăng ký để BTC kiểm tra ạ.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. dungnt709

    dungnt709 W-------

    Tham gia: 19/08/16, 08:08 AM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. Drill_QuangNgai

    Drill_QuangNgai W-------

    Tham gia: 16/07/15, 06:07 PM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Sở TTTT Quảng Ngãi up
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. Drill_HaiPhong

    Drill_HaiPhong W-------

    Tham gia: 18/05/16, 02:05 PM
    Bài viết: 6
    Đã được thích: 0
    Điểm thành tích:
    6
    Sở TTTT Hải Phòng đăng nhập.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. Drill_HaTinh

    Drill_HaTinh W-------

    Tham gia: 18/08/16, 11:08 AM
    Bài viết: 4
    Đã được thích: 0
    Điểm thành tích:
    1
    Sở TTTT Hà Tĩnh đã đ
    ăng nhâập
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. Drill_CaoBang

    Drill_CaoBang W-------

    Tham gia: 18/08/16, 09:08 AM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Sở TTTT Cao Bằng chào BTC và toàn thể anh chị em
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. Drill_BenTre

    Drill_BenTre W-------

    Tham gia: 16/07/15, 03:07 PM
    Bài viết: 4
    Đã được thích: 0
    Điểm thành tích:
    6
    Btre cert
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. Drill_QuangNam

    Drill_QuangNam W-------

    Tham gia: 18/08/16, 09:08 AM
    Bài viết: 5
    Đã được thích: 0
    Điểm thành tích:
    1
    Chào anh!
    Địa chỉ website của đội Quảng Nam không truy cập được.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. Drill_ThaiBinh

    Drill_ThaiBinh W-------

    Tham gia: 18/05/16, 02:05 PM
    Bài viết: 12
    Đã được thích: 0
    Điểm thành tích:
    6
    hi ae, Thái Bình đã có mặt :)
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  15. Drill_PhuYen

    Drill_PhuYen W-------

    Tham gia: 16/07/15, 03:07 PM
    Bài viết: 5
    Đã được thích: 0
    Điểm thành tích:
    6
    STTTT Phú Yên đã đăng nhập
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan