Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

Thảo luận trong 'Diễn tập An ninh mạng' bắt đầu bởi WhiteHat News #ID:2017, 25/07/17, 05:07 PM.

  1. WhiteHat News #ID:2017

    WhiteHat News #ID:2017 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 120
    Đã được thích: 47
    Điểm thành tích:
    28
    Tường thuật Diễn tập an ninh mạng WhiteHat Drill 04


    • 17:40: Danh sách các đội đã gửi kết quả báo cáo final cho BTC tính đến thời điểm 17:40 ngày 26/7/2017.
      Pha Đội hoàn thành
      6 @Drill_AITSolutions @Drill_TTTTGiaLai @Drill_TTTTThaiBinh @Drill_DHBKHCM @Drill_DHThaiNguyen@Drill_TTTTVinhLong @Drill_VICT @Drill_TTTTTraVinh @Drill_HVKTQS @Drill_QTSC
      5 @Drill_AITSolutions @Drill_TTTTGiaLai @Drill_TTTTThaiBinh @Drill_DHBKHCM @Drill_DHThaiNguyen@Drill_TTTTVinhLong @Drill_VICT @Drill_TTTTTraVinh @Drill_HVKTQS @Drill_QTSC
      4 @Drill_TTTTLamDong @Drill_TTTTTraVinh @Drill_TTTTVinhLong @Drill_DHBKHCM @Drill_Lazada
      3 @Drill_DHBKHCM@Drill_DHBKHCM @Drill_DHThaiNguyen @Drill_TTTTLamDong @Drill_MipeCorp @Drill_TTTTVinhLong @Drill_Lazada
      2 @Drill_DHBKHCM @Drill_TTTTVinhLong @Drill_DHThaiNguyen @Drill_Lazada @Drill_TTTTTraVinh @Drill_AITSolutions @Drill_QTSC @Drill_PGBank @Drill_TTTTLamDong @Drill_MipeCorp@Drill_HVKTQS @Drill_DHKTHCCAND @Drill_TTTTQuangNinh @Drill_DHQGHN @Drill_TEKCOM @Drill_TTTTPhuTho
      1 @Drill_DHBKHCM @Drill_MipeCorp @Drill_DHQGHN @Drill_PGBank @Drill_SHB @Drill_TTTTVinhLong @Drill_TTTTTraVinh @Drill_UBNDVungTau @Drill_TTTTNgheAn @Drill_TTTTPhuTho @Drill_TEKCOM @Drill_Lazada @Drill_TTTTKhanhHoa @Drill_FujikuraVN @Drill_TTTTBacNinh@Drill_HVKTQS @Drill_QTSC @Drill_TTTTLamDong @Drill_TTTTQuangNinh @Drill_DHKTHCCAND]


    • 17:20: BTC DT ANM xin thông báo:
      Thời gian Diễn tập chính thức đã hết, các đội có kết quả nhưng chưa cập nhật, vui lòng cập nhật lên forum WhiteHat.vn hoặc gửi về địa chỉ email [email protected]. BTC quyết định mở hệ thống Diễn tập đến hết ngày hôm nay cho các đội chưa hoàn thành, kết quả vẫn được cập nhật trên "bảng kết quả" của BTC. Báo cáo Diễn tập các đội vui lòng cập nhật theo mẫu của BTC và gửi lại trong ngày 26/07/2017 BTC sẽ tổng hợp kết quả và gửi đáp án để các đội tham khảo vào ngày mai 27/07/2017.

    • 17:10: Qua kênh hỗ tợ kỹ thuật IRC của chương trình Diễn tập An ninh mạng 04, BTC rất ghi nhận tinh thần hỗ trợ của đội DHBKHCM dành cho các đội cùng tham gia. BTC cũng hy vọng các đội tham gia DTANM có sự trao đổi, chia sẻ kinh nghiệm với nhau để chúng ta cùng có được một buổi diễn tập thật chất lượng.
      06.jpg



    • 16:50: Danh sách các đội đã gửi kết quả về BTC:
      Pha Đội hoàn thành
      6 @Drill_DHBKHCM
      5 @Drill_DHBKHCM
      4 @Drill_TTTTTraVinh @Drill_TTTTVinhLong @Drill_DHBKHCM @Drill_Lazada
      3 @Drill_DHBKHCM@Drill_DHBKHCM @Drill_DHThaiNguyen @Drill_TTTTLamDong @Drill_MipeCorp @Drill_TTTTVinhLong @Drill_Lazada
      2 @Drill_DHBKHCM @Drill_TTTTVinhLong @Drill_DHThaiNguyen @Drill_Lazada @Drill_TTTTTraVinh @Drill_AITSolutions @Drill_QTSC @Drill_PGBank @Drill_TTTTLamDong @Drill_MipeCorp@Drill_HVKTQS @Drill_DHKTHCCAND @Drill_TTTTQuangNinh @Drill_DHQGHN @Drill_TEKCOM @Drill_TTTTPhuTho
      1 @Drill_DHBKHCM @Drill_MipeCorp @Drill_DHQGHN @Drill_PGBank @Drill_SHB @Drill_TTTTVinhLong @Drill_TTTTTraVinh @Drill_UBNDVungTau @Drill_TTTTNgheAn @Drill_TTTTPhuTho @Drill_TEKCOM @Drill_Lazada @Drill_TTTTKhanhHoa @Drill_FujikuraVN @Drill_TTTTBacNinh@Drill_HVKTQS @Drill_QTSC @Drill_TTTTLamDong @Drill_TTTTQuangNinh @Drill_DHKTHCCAND

    • 16:30: BTC gửi lời chúc mừng tới đội ĐHBKHCM đã là đội đầu tiên gửi báo cáo kết quả về cho BTC.
      05..jpg
      BTC hy vọng các đội tích cực giải đề và gửi báo cáo kết quả về cho BTC theo mẫu
      tại đây.

























    • Pha Đội hoàn thành
      6
      5 @Drill_DHBKHCM
      4 @Drill_TTTTTraVinh @Drill_TTTTVinhLong @Drill_DHBKHCM @Drill_Lazada
      3 @Drill_DHBKHCM@Drill_DHBKHCM @Drill_DHThaiNguyen @Drill_TTTTLamDong @Drill_MipeCorp @Drill_TTTTVinhLong @Drill_Lazada
      2@Drill_DHBKHCM @Drill_TTTTVinhLong @Drill_DHThaiNguyen @Drill_Lazada @Drill_TTTTTraVinh @Drill_AITSolutions @Drill_QTSC @Drill_PGBank @Drill_TTTTLamDong @Drill_MipeCorp@Drill_HVKTQS @Drill_DHKTHCCAND @Drill_TTTTQuangNinh @Drill_DHQGHN @Drill_TEKCOM @Drill_TTTTPhuTho
      1@Drill_DHBKHCM @Drill_MipeCorp @Drill_DHQGHN @Drill_PGBank @Drill_SHB @Drill_TTTTVinhLong @Drill_TTTTTraVinh @Drill_UBNDVungTau @Drill_TTTTNgheAn @Drill_TTTTPhuTho @Drill_TEKCOM @Drill_Lazada @Drill_TTTTKhanhHoa @Drill_FujikuraVN @Drill_TTTTBacNinh@Drill_HVKTQS @Drill_QTSC @Drill_TTTTLamDong @Drill_TTTTQuangNinh @Drill_DHKTHCCAND


    • 16:20: Gợi ý Pha 4 như sau:
      Gợi ý phase 4: Điều tra nguồn tấn công và khôi phục dữ liệu bị mã hóa.
      • Từ các bước đã thực hiện, có thể thu thập được các thông tin về nguồn gốc tấn công như địa chỉ phát tán mã độc, địa chỉ server host mã độc,…
      · Sử dụng SVN đã được cài sẵn trong máy để khôi phục dữ liệu.


    • 16:15: Cập nhật kết quả các đội đã gửi lời giải các pha về BTC:























      Pha Đội hoàn thành
      6
      5
      4
      3 @Drill_DHThaiNguyen
      2 @Drill_TTTTVinhLong @Drill_DHThaiNguyen @Drill_Lazada @Drill_TTTTTraVinh @Drill_AITSolutions @Drill_QTSC @Drill_PGBank @Drill_TTTTLamDong @Drill_MipeCorp
      1@Drill_MipeCorp @Drill_DHQGHN @Drill_PGBank @Drill_SHB @Drill_TTTTVinhLong @Drill_TTTTTraVinh @Drill_UBNDVungTau @Drill_TTTTNgheAn @Drill_TTTTPhuTho @Drill_TEKCOM @Drill_Lazada @Drill_TTTTKhanhHoa @Drill_FujikuraVN @Drill_TTTTBacNinh@Drill_HVKTQS @Drill_QTSC @Drill_TTTTLamDong @Drill_TTTTQuangNinh @Drill_DHKTHCCAND


    • 16:00: BTC vẫn tiếp tục nhận được các lời giải cho yêu cầu các pha từ những đội tham gia DTANM. Trên kênh hỗ trợ IRC, các trao đổi giữa các đội và đội ngũ hỗ trợ kỹ thuật của BTC đang diễn ra rất sôi nổi.
      04..jpg



    • 15:55: BTC xin mở yêu cầu Pha 4, Pha 5 và Pha 6 như sau:
      Phase 4: Điều tra nguồn tấn công và khôi phục dữ liệu bị mã hóa

      Kịch bản: Sau khi đã phân tích xong mã độc, các đội phân tích tiếp các đầu mối, các file mã độc để điều tra các nguồn gốc tấn công. Đồng thời, cần tìm cách khôi phục dữ liệu. Dữ liệu bị mã hóa mà không có backup sẽ không thể khôi phục được. Tuy nhiên, máy tính bị lây nhiễm có thư mục được backup bằng SVN (Documents/tailieu), nên các đội thực hiện khôi phục dữ liệu trong thư mục này.

      Mục tiêu:

      • Xác định nguồn gốc tấn công phục vụ cho điều tra về sau: các địa chỉ IP chứa mã độc; mail phát tán mã độc; địa chỉ đòi tiền chuộc.
      • Hiểu được vai trò của sao lưu dữ liệu và tạo thói quen sao lưu các tài liệu quan trọng. Thực hiện khôi phục dữ liệu tại đường dẫn Documents/tailieu bằng SVN:
      1. User: bkav, password: [email protected]
      Thời gian thực hiện: 15’
      Phase 5: Phòng chống Ransomware bằng phần mềm Anti-virus
      Kịch bản: trong các phương pháp phòng chống mã độc, sử dụng phần mềm Anti-virus cũng là một phương pháp hiệu quả. Các đội chơi thực hiện thử nghiệm tính năng chống mã độc của Anti-virus theo các bước sau:

      Bước 1: hướng dẫn cài đặt Bkav Endpoint Enterprise.

      1. Cài đặt phần mềm diệt virus Bkav Endpoint Enterprise qua file cài đặt BkavE12Clientsetup tại thư mục Downloads. Thực hiện các bước cài đặt như tùy chọn mặc định. Sau khi cài đặt xong, sẽ hiện thông báo:
      01.jpg

      Hãy nhấn nút “Khởi động lại”.
      2. Đợi khoảng 2 phút, sau đó Remote vào và tiến hành đăng ký bản quyền Bkav Endpoint. Mở giao diện chính của Bkav Endpoint, chọn “Bản quyền” >> chọn “Đăng ký”, rồi nhập các thông tin như yêu cầu. Tại mục “Tên máy chủ”, nhập địa chỉ 118.70.80.143.

      02.jpg
      3. Tiến hành update Bkav Endpoint. Tại giao diện chính, chọn “Tìm bản mới”, và đợi cho Bkav update xong thì khởi động lại.
      03.jpg
      4. Để khởi động lại, chạy “cmd” bằng quyền quản trị (Run As Administrator), rồi gõ lệnh “shutdown /r”. Máy tính sẽ khởi động lại. Sau khoảng 2 phút, thực hiện đăng nhập Remote Desktop lại.

      Bước 2: thử nghiệm các file đính kèm khi đã cài đặt Bkav Endpoint.

      1. Để đảm bảo tái hiện được tình huống lây nhiễm mã độc, các đội thực hiện:
        • Xóa Registry “HKEY_CURRENT_USER\Software\Rs” (nếu không xóa, file mã độc sẽ không khởi chạy)
        • Xóa file mã độc C:\Windows\Temp\ransomware.exe
        • Đảm bảo đã khôi phục thành công các file trong Documents\tailieu.
      2. Hãy tải lại file đính kèm của phase 1 về và giải nén trong môi trường diễn tập, và mở file “Diễn tập ANM – 1.doc”. Mô tả hiện tượng xảy ra khác như thế nào so với trước khi cài đặt Bkav Endpoint.
      3. Thử nghiệm tính năng SafeRun: để mở file “Diễn tập ANM – 2.doc” bằng Safe Run, hãy click chuột phải vào file, chọn “Mở file với Bkav Safe Run”. Khi Bkav hỏi có cho phép Word kết nối Internet không, hãy “Đồng ý” (Word kết nối Internet để tải mã độc về). Sau đó kiểm tra xem file ransomware có được lưu thành công vào đường dẫn được lưu vào C:\Windows\Temp\ransomware.exe không.
      4. Thử nghiệm tính năng chống ransomware của Bkav: hãy mở file “Diễn tập ANM – 2.doc” đọc theo cách thông thường và mô tả hiện tượng xảy ra.
      Thời gian thực hiện: 30’

      Mục tiêu: Hiểu được khả năng của Anti-virus trước các cuộc tấn công mã độc, đặc biệt là tính năng chống mã hóa.

      Phase 6: Tổng hợp và báo cáo
      Các đội gửi báo cáo theo mẫu ban tổ chức đã chuẩn bị. (Có thể tải tại đây)

    • 15:30:
      Gợi ý phase 3: phân tích và xử lý các thành phần độc hại đã được cài lên server.


      • Sử dụng các công cụ reverse để phân tích file ransomware: IDA, OllyDbg.
      • Sử dụng các công cụ monitor tiến trình: Process Monitor (giám sát hành vi thay đổi file, registry,…).



    • 15:15: BTC vẫn đang tiếp tục mở các yêu cầu của các pha diễn tiệp tiếp theo. Các đội lưu ý gửi lời giải theo mẫu báo cáo mà BTC vừa đăng lên đồng thời cập nhật kết quả lên forum WhiteHat.vn để BTC ghi nhận.

      Hiện tại, đã có 3 đội là TTTTVinhLong, ThaiNguyen và Lazada gửi lời giải cho Pha 2. Thông tin chi tiết trong bảng tổng hợp kết quả dưới đây:



























































































      Pha Đội hoàn thành
      6
      5
      4
      3 @Drill_DHThaiNguyen
      2 @Drill_TTTTVinhLong @Drill_DHThaiNguyen @Drill_Lazada @Drill_TTTTTraVinh @Drill_AITSolutions @Drill_QTSC @Drill_PGBank @Drill_TTTTLamDong @Drill_MipeCorp
      1@Drill_MipeCorp @Drill_DHQGHN @Drill_PGBank @Drill_SHB @Drill_TTTTVinhLong @Drill_TTTTTraVinh @Drill_UBNDVungTau @Drill_TTTTNgheAn @Drill_TTTTPhuTho @Drill_TEKCOM @Drill_Lazada @Drill_TTTTKhanhHoa @Drill_FujikuraVN @Drill_TTTTBacNinh@Drill_HVKTQS @Drill_QTSC @Drill_TTTTLamDong @Drill_TTTTQuangNinh @Drill_DHKTHCCAND





    • 15:10: BTC tiếp tục mở yêu cầu pha 3 như sau:

      Phase 3: Phân tích và xử lý các thành phần độc hại.
      Kịch bản: sau khi phân tích hiện trường và lấy được các mẫu file độc hại, các đội phân tích hành vi, phương thức mã hóa của ransomware.
      Mục tiêu:
      Phân tích ransomware để đánh giá chính xác mức độ nguy hiểm của nó (nâng cao):
      o Xác định phương thức mã hóa xem có cách giải mã không (thuật toán dùng để mã hóa; key mã hóa).
      o Chỉ ra các định dạng file và thư mục bị mã hóa.
      o Liệt kê các hành vi khác của ransomware.
      Xử lý các thành phần độc hại:
      o Xóa các registry mà mã độc tạo ra (HKEY_CURRENT_USER\Software\Rs).
      o Xóa các file độc hại (file phát tán, file ransomware).
      o Đổi lại hình nền Desktop (lưu lại địa chỉ đòi tiền chuộc trước khi thay).
      Thời gian thực hiện: 45’
      Công cụ tham khảo (có thể tải các tools đã được kiểm tra virus tại tools.whitehat.vn):
      Tools phân tích mã độc: Ollydbg, IDA…
      Tools monitor tiến trình: ProcessMonitor,…



    • 15:05: BTC tiếp tục update danh sách các đội đã gửi kết quả và được BTC ghi nhận. BTC cũng lưu ý, các đội nhớ cập nhật lời giải lên forum WhiteHat.vn để BTC ghi nhận.






















      Pha Đội hoàn thành
      6
      5
      4
      3
      2
      1 @Drill_MipeCorp; @Drill_DHQGHN;@Drill_PGBank;@Drill_SHB;@ Drill_TTTTVinhLong;@Drill_TTTTTraVinh;@ Drill_UBNDVungTau; @Drill_TTTTNgheAn;@ Drill_TTTTPhuTho




    • 15:00: BTC lưu ý các đội gửi báo cáo lời giải cho yêu cầu các pha theo mẫu sau đây:
      BÁO CÁO

      RANSOMWARE: XỬ LÝ VÀ PHÒNG CHỐNG


      Tên đội : .........................................................................................................................................


      Tổng hợp kết quả:


      Phase 1: Mô phỏng tình huống bị lây nhiễm ransomware và rà soát, xác minh tình trạng lây nhiễm.

      · Sau khi mở các file đính kèm, dữ liệu tại các thư mục Desktop, Downloads,… đã bị thay đổi:


      ………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


      · Dự đoán con đường mã độc lây nhiễm vào máy tính: …………………………………………………………………………………………………………………………………………………………………


      Phase 2: Cô lập hiện trường và phân tích, lấy mẫu.

      Cô lập hiện trường: ………………………………………………………………………………………………………………….………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


      Phân tích và lấy mẫu: lấy về file thực thi của ransomware.


      · Cách lấy các file ransomware:


      o Qua file “Diễn tập ANM – 1.doc”: …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



      o Qua file “Diễn tập ANM – 2.doc”: …………………………………………………………………………………..…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


      Phase 3: Phân tích và xử lý các thành phần độc hại.

      · Phân tích hành vi file ransomware:


      o Phương thức mã hóa: …………………………………………………….…….……………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….……………


      o Mã hóa tất cả các file có định dạng: …………………………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….


      o Các thư mục bị mã hóa: …………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….…………………………….


      o Các hành vi khác của mã độc: ……………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….…………………………….…….……………


      · Xử lý các thành phần độc hại: ………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


      Phase 4: Điều tra nguồn tấn công và khôi phục dữ liệu bị mã hóa

      · Các thông tin về nguồn tấn công gồm:


      o Email phát tán mã độc: ………………………………………………


      o IP server chứa mã độc: ………………………………………………


      o Địa chỉ trả tiền chuộc: ………………………………………………


      · Các bước khôi phục dữ liệu: ………………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….……………….


      Phase 5: Phòng chống Ransomware bằng phần mềm Anti-virus

      · Thử nghiệm các file đính kèm khi đã cài đặt Bkav Endpoint.


      …………………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….


      Các biện pháp đề xuất để phòng chống tấn công: ……………..……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….……………………….




    • 14:55: BTC Diễn tập ANM up gợi ý giải yêu cầu Pha 2 như sau:

      Gợi ý phase 2: Cô lập hiện trường và phân tích, lấy mẫu.

      · Các file đính kèm chính là các file phát tán mã độc. Khi được mở ra, chúng tải về và thực thi ransomware. Với trường hợp các file phát tán mã độc là các file .doc, chúng có thể là Macro hoặc khai thác lỗ hổng phần mềm.


      o Đối với loại file doc khai thác lỗ hổng phần mềm, chúng lợi dụng lỗ hổng của Word để thực thi mã tùy ý. Các file khai thác lỗ hổng phần mềm thường sẽ bị phần mềm diệt virus phát hiện. Để kiểm tra xem file doc bị khai thác theo lỗ hổng nào, có thể dùng https://virustotal.com để quét. Từ đó, có hướng để phân tích file doc.


      o Macro là một tính năng của Microsoft Office cho phép file doc có thể thực hiện script, tải về và thực thi chương trình. Tính năng này thường bị lợi dụng để tải về mã độc và thực thi. Để đọc Macro của file doc, có thể dùng chính Microsoft Word.


      Ngoài ra, dùng Wireshark bắt gói tin cũng là một cách để lấy được các mẫu mã độc được tải về. Bật Wireshark trong khi mở các file đính kèm, các hành vi kết nối Internet của các file đính kèm sẽ được Wireshark ghi lại.


    • 14:50: Tính đến thời điểm hiện tại, 7 đội đã gửi lời giải yêu cầu Pha 1, BTC xin chúc mừng các đội và đã ghi nhận kết quả. Danh sách các đội như sau:

      MepeCorp

      DHQGHN

      Lazada

      SHB

      TTTTVinhLong

      TTTTVungTau

      TTTTPhuTho

      Vẫn chưa có đội nào giải được Pha 2.





    • 14:30: Theo thống kê sơ bộ từ BTC đã có 7 đội gửi kết quả cho yêu cầu của Pha 1. BTC đã mở tiếp yêu cầu của Pha 2. Các đội chưa có lời giải cứ yên tâm tiếp tục diễn tập.


      Phase 2: Cô lập hiện trường và phân tích, lấy mẫu

      Kịch bản: Khi đã rà soát và xác định sơ bộ là máy tính đã bị nhiễm mã độc, đội ứng cứu nhanh chóng phân tích và lấy những mẫu bị nghi ngờ là mã độc để phục vụ cho quá trình điều tra, đồng thời ngăn chặn không cho hacker tiếp tục xâm nhập vào máy tính trong thời điểm phân tích.

      Mục tiêu:


      · Cô lập được máy tính khỏi Internet để tránh bị thay đổi hiện trường. Trong môi trường diễn tập sử dụng máy ảo remote qua Internet nên các đội cần cấu hình firewall để chỉ mở duy nhất cổng remote (3389) và chặn các hướng đi vào (Inbound) từ Internet trên Firewall.


      · Hãy thực hiện phân tích các file đính kèm để lấy mẫu ransomware.


      Thời gian thực hiện: 30’


      Công cụ tham khảo (có thể tải các tools đã được kiểm tra virus tại tools.whitehat.vn):


      Công cụ soạn thảo: Notepad++, Microsoft Word.

      Công cụ bắt gói tin: Wireshark.




    • 14:20: BTC đã bắt đầu nhận được lời giải cho yêu cầu Pha 1 của các đội. BTC sẽ cập nhật kết quả lên để các đội theo dõi.




    • 14:00: BTC Diễn tập an ninh mạng tháng 7 xin up yêu cầu Pha 1 như sau:

      Phase 1: Mô phỏng tình huống bị lây nhiễm ransomware và rà soát, xác minh tình trạng lây nhiễm

      Kịch bản: Trong thực tế, có rất nhiều cách thức mà ransomware có thể lây nhiễm vào máy tính của bạn. Phase đầu tiên sẽ mô tả một số cách lây nhiễm ransomeware với mức độ khác nhau. Với kịch bản là người dùng nhận được email có đính kèm file và mở file theo cách thông thường (trình tự thực hiện như các bước phía dưới).


      Mục tiêu:


      · Nhận biết được tình trạng máy tính bị nhiễm ransomware.


      · Nắm được một số cách thức lây nhiễm ransomeware và mức độ nguy hiểm, phức tạp trên thực tế.

      Hãy thực hiện các yêu cầu sau trên máy diễn tập:


      Bước 1: Sau khi đăng nhập vào máy, trước khi thực hiện các bước tiếp theo các đội ứng cứu cần phải rà soát tình trạng ban đầu của máy tính (rà soát các file, thư mục trong Documents, Desktop, Downloads) để nhận biết được sự thay đổi trên máy khi thực hiện các bước tiếp theo.


      Bước 2: BTC đã gửi mail “Ransomware: xử lý và phòng chống” tới mail của mỗi đội. Đội ứng cứu hãy đọc mail, tải file đính kèm về và giải nén, mở ra đọc trên máy diễn tập. (Lưu ý: Chỉ chạy giải nén file đính kèm và mở các file được giải nén trên máy diễn tập. BTC sẽ không chịu trách nhiệm nếu đội ứng cứu mở các file doc ngoài môi trường diễn tập).


      Bước 3: Sau khi đã mở các file đính kèm, hãy kiểm tra lại các thư mục Documents, Desktop, Downloads xem tình trạng thay đổi thế nào? Từ đó xác minh tình trạng lây nhiễm mã độc, và dự đoán con đường mã độc lây nhiễm vào máy tính.


      Thời gian thực hiện: 30’




    • BTC Diễn tập An ninh mạng xin thông báo: Các đội điểm danh để BTC gửi thông tin máy chủ để chuẩn bị diễn tập.

    • 11:00 Do sự cố từ bên cung cấp hạ tầng máy chủ nên nhiều đội hiện không kết nối được với hệ thống. Để đảm bảo quyền lợi cho tất cả các đội tham gia, Ban tổ chức thông báo lùi lịch diễn tập sang buổi chiều. WhiteHat Drill 04 sẽ bắt đầu từ 14:00 chiều nay (26/7/2017).

  2. Đội hỗ trợ kỹ thuật của WhiteHat Drill 04
    _MG_1697.JPG

    587x340 bai dang.jpg

    BQT Diễn đàn An ninh mạng Việt Nam - WhiteHat.vn xin thông báo chi tiết về chương trình Diễn tập An ninh mạng WhiteHat Drill 04 với chủ đề “Ransomware: Xử lý và Phòng chống”:

    • Thời gian: Từ 09:00 - 12:00 ngày 26/07/2017
    • Hình thức: Diễn tập trực tuyến
    • Lịch trình diễn tập:
    08:45 - 09:15: BTC mở chính thức bài diễn tập, các đội chuẩn bị kết nối vào hệ thống


    09:15 - 11:45: Các đội thực hành theo kịch bản của BTC, kết quả các đội cập nhật tại Whitehat.vn/dientap


    11:45 - 12:00: Các đội tổng hợp báo cáo và gửi cho BTC, trao đổi thảo luận giữa các đội và BTC

    =========================
    Kịch bản chung: Đợt diễn tập mô phỏng một cuộc tấn công có chủ đích sử dụng ransomware đến một số các máy trong hệ thống cơ quan đơn vị. Kẻ xấu đã tổ chức các cuộc tấn công để khởi chạy ransomeware với mục đích mã hóa tài liệu quan trọng và tống tiền của nạn nhân. Đội ứng cứu sẽ phải thực hiện các biện pháp xử lý trước tình huống tấn công này, đồng thời đưa ra các biện pháp phòng chống.

    Quá trình diễn tập sẽ bao gồm 6 phase:

    Phase 1: Mô phỏng tình huống bị lây nhiễm ransomware và rà soát, xác minh tình trạng lây nhiễm.

    Phase 2 : Cô lập hiện trường và phân tích, lấy mẫu.

    Phase 3: Phân tích và xử lý các thành phần độc hại.

    Phase 4: Điều tra nguồn tấn công và khôi phục dữ liệu bị mã hóa.

    Phase 5: Phòng chống Ransomware bằng phần mềm Anti-virus.

    Phase 6: Tổng hợp và báo cáo.

    Mục tiêu của Đội ứng cứu:

    • Rà soát và xử lý những thành phần mã độc trên máy bị tấn công.
    • Điều tra nguồn gốc tấn công.
    Đưa ra các phương án phòng chống tấn công tương tự.

    Lưu ý:

    Ø Môi trường diễn tập trên máy ảo cloud nên các đội không tự ý thay đổi cấu hình mạng để đảm bảo kết nối tới máy ảo.

    Ø Mẫu mã độc dùng trong quá trình diễn tập có khả năng gây nguy hiểm trong thực tế nên các đội tuyệt đối không chạy mẫu mã độc ngoài môi trường diễn tập tránh gây ra những hậu quả ngoài ý muốn.
  3.  

    Các file đính kèm:

    Last edited by a moderator: 20/09/17, 11:09 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. adam

    adam W-------

    Tham gia: 07/09/13, 01:09 AM
    Bài viết: 1
    Đã được thích: 1
    Điểm thành tích:
    1
    Chúc các đội thành công!
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Drill_TTTTCaoBang

    Drill_TTTTCaoBang New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Máy chủ yếu quá mod ơi
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. Drill_TTTTTienGiang

    Drill_TTTTTienGiang New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Vẫn ko connnect được VPS
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. Drill_TTTTThaiBinh

    Drill_TTTTThaiBinh New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Vẫn chưa kết nối được tới máy chủ... :(
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. Thinhtran2015

    Thinhtran2015 New Member

    Tham gia: 26/07/17, 08:07 AM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    3
    Drill_DHQGHN: không connect được vào máy chủ
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. Thinhtran2015

    Thinhtran2015 New Member

    Tham gia: 26/07/17, 08:07 AM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    3
    Drill_DHQGHN: đã connect được vào máy chủ, cảm ơn BTC
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Drill_TTTTCaoBang thích bài này.
  10. Drill_TTTTThaiBinh

    Drill_TTTTThaiBinh New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Đã connect vào được, nhưng ko điều khiển được, máy bị treo. @@
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. Drill_TTTTThanhHoa

    Drill_TTTTThanhHoa New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. Drill_TTTTThaiBinh

    Drill_TTTTThaiBinh New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Tình hình kết nối và máy móc thế này sao làm đc ạ @@
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,738
    Đã được thích: 767
    Điểm thành tích:
    113
    Last edited by a moderator: 20/09/17, 11:09 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Drill_TEKCOM thích bài này.
  14. Drill_TTTTThaiBinh

    Drill_TTTTThaiBinh New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    ad sunny kiểm tra dùm mình máy Thái Bình, máy móc không điều khiển được
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  15. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,738
    Đã được thích: 767
    Điểm thành tích:
    113
    Kịch bản chung: Đợt diễn tập mô phỏng một cuộc tấn công có chủ đích sử dụng ransomware đến một số các máy trong hệ thống cơ quan đơn vị. Kẻ xấu đã tổ chức các cuộc tấn công để khởi chạy ransomeware với mục đích mã hóa tài liệu quan trọng và tống tiền của nạn nhân. Đội ứng cứu sẽ phải thực hiện các biện pháp xử lý trước tình huống tấn công này, đồng thời đưa ra các biện pháp phòng chống.

    Quá trình diễn tập sẽ bao gồm 6 phase:

    Phase 1: Mô phỏng tình huống bị lây nhiễm ransomware và rà soát, xác minh tình trạng lây nhiễm.

    Phase 2 : Cô lập hiện trường và phân tích, lấy mẫu.

    Phase 3: Phân tích và xử lý các thành phần độc hại.

    Phase 4: Điều tra nguồn tấn công và khôi phục dữ liệu bị mã hóa.

    Phase 5: Phòng chống Ransomware bằng phần mềm Anti-virus.

    Phase 6: Tổng hợp và báo cáo.

    Mục tiêu của Đội ứng cứu:

    • Rà soát và xử lý những thành phần mã độc trên máy bị tấn công.
    • Điều tra nguồn gốc tấn công.
    Đưa ra các phương án phòng chống tấn công tương tự.

    Lưu ý:

    Ø Môi trường diễn tập trên máy ảo cloud nên các đội không tự ý thay đổi cấu hình mạng để đảm bảo kết nối tới máy ảo.

    Ø Mẫu mã độc dùng trong quá trình diễn tập có khả năng gây nguy hiểm trong thực tế nên các đội tuyệt đối không chạy mẫu mã độc ngoài môi trường diễn tập tránh gây ra những hậu quả ngoài ý muốn.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  16. Drill_TTTTSonLa

    Drill_TTTTSonLa New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Máy ảo chậm quá :(
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  17. Drill_TTTTSonLa

    Drill_TTTTSonLa New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    @sunny : kiểm tra giúp máy ảo của Sơn La ip 255
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  18. Drill_TTTTNgheAn

    Drill_TTTTNgheAn New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 1
    Đã được thích: 1
    Điểm thành tích:
    3
    Không remote vào máy ảo được BTC ơi
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  19. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,738
    Đã được thích: 767
    Điểm thành tích:
    113
    Ø Mẫu mã độc dùng trong quá trình diễn tập có khả năng gây nguy hiểm trong thực tế nên các đội tuyệt đối không chạy mẫu mã độc ngoài môi trường diễn tập tránh gây ra những hậu quả ngoài ý muốn.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  20. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,738
    Đã được thích: 767
    Điểm thành tích:
    113
    Bên mình đang khởi động lại hệ thống, các đội đợi chút rồi đăng nhập lại nhé.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  21. Drill_TEKCOM

    Drill_TEKCOM New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    sao không thấy mail mod nhỉ
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  22. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,738
    Đã được thích: 767
    Điểm thành tích:
    113
    Mail mã độc hả anh, file bên BTC đã up lên rồi đấy
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  23. phungchiquoc

    phungchiquoc W-------

    Tham gia: 27/05/14, 05:05 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Máy ảo Phú Thọ 103.237.99.21 chưa vào được
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  24. Drill_UBNDQuangTri

    Drill_UBNDQuangTri New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    quảng trị không vào đc
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  25. Drill_TTTTQuangNinh

    Drill_TTTTQuangNinh New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    máy ảo của quảng ninh cũng chưa vào được luôn
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  26. Drill_TTTTTienGiang

    Drill_TTTTTienGiang New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Máy ảo của Tiền Giang login được nhưng ko tạo remote section để sử dụng được. Mod kiểm tra giúp
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  27. Drill_TakashimayaVN

    Drill_TakashimayaVN New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Sau 1h vẫn chưa thể vào được Ad ơi....
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  28. Drill_TEKCOM

    Drill_TEKCOM New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  29. Drill_TTTTDienBien

    Drill_TTTTDienBien New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    3
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Drill_TEKCOM thích bài này.
  30. Drill_DHKHCNHN

    Drill_DHKHCNHN New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Bên mình vào được rồi, mở file hướng dẫn và bị mã hóa rồi thì phải làm gì tiếp theo nữa nhỉ?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  31. Drill_PGBank

    Drill_PGBank New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Anh em cứ bình tĩnh!
    Anh em bên đó đang xử lý.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan