Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

minh da mo 2 file , nhung chi thay virus o file thu 1 thoi:

 

Trà Vinh Gửi báo cáo phase 3

 

Vĩnh Long trả lời Phase 4:
_Xác định nguồn gốc tấn công:
Từ Mail [email protected] , từ IP 118.70.80.143
Địa chỉ ví Bitcoin: 1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE
Phục hồi dữ liệu bằng cách tải các tập tin từ https://118.70.80.143:4443/!/#tailieu chép vào thư mục C:\Users\Bkav\Documents\tailieu

chúc mừng team bạn nhé

 

Drill_TTTTBacNinh báo cáo phase 2
Đã cô lập In và cho phép remote qua port 3889
Phân tích khi click vào file word phát hiện link đến đường dẫn sau chứa virus tải về ổ C
SourceName = "http://118.70.80.143:4448/ransomware_tb.exe"
Destination = "C:\Windows\Temp\ransomware.exe"

 

Tiếp tục Phase 3:

Dùng PC Hunter để xóa file, reg mà virus đã tạo ra.

Sau đó thay lại hình nền của máy tính.

Registry: "HKEY_CURRENT_USER\Software\Rs" : Xóa ID và IsEncrypt
Xóa Flag trong "HKEY_CURRENT_USER\Software\whitehatdrill"
Xóa file ransomware.exe trong C:\Windows\Temp và xóa file phát tán tải về

+ Đổi lại hình nền đòi tiền chuộc:
+ Địa chỉ ví Bitcoin: 1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE

 

co gui mau file ransomware cho MOD kg?

 

Trà Vinh gửi đáp án phase 4

 

co gui mau file ransomware cho MOD kg?

Không cần, bạn cứ làm theo mẫu báo cáo thôi nhé

 

Như này là bị sao ạ? Mod giúp với ạ.

 

Phase 4:

Mail [email protected]
IP 118.70.80.143
Ví Bitcoin: 1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE

Dùng tortoise để backup lại.

 

minh da dong tat ca cac port , va bat firewall roi -> tiep theo lam sao nua?

 

Như này là bị sao ạ? Mod giúp với ạ.

Đây là do cấu hình server, bạn chọn Advance (nâng cao) => tiếp tục nhé

 

minh da mo 2 file , nhung chi thay virus o file thu 1 thoi:
View attachment 2051

Vì file thứ 2 đã bị mã hóa rồi bạn nhé

 

Trả lời Phase 4:
Địa chỉ tấn công: http://118.70.80.143/

 

BTC đã ghi nhận. Mời đội tiếp tục diễn tập.

bổ sung pha 2:
file 2: ransomware_tb dc tải về từ http://118.70.80.143:4443/ransamware_tb.exe

Pha 3
Nguồn phát tán: mail của [email protected]
Sử dụng mã hóa RSA
Key mã hóa:
MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgHNXVw8m22G9F4nyB02SU8aNO/Rc6WTtOciMzCZu7n4oDN7qJuR9Qtc8kJ1xc3jJOk8+ekRjVvCKvwbEIz27bNxdkammiy6iMl6r/s6eSeIXDQ7LIHLuTqZkOU4MxCHBDt75RYwUFHc8sbOA6wdPx14pV1dM0gOFiEf7Iizk2fi7AgMBAAE=
Các thư mục bị mã hóa: Downloads , Desktop\hoctap, \canhac, Documents\tailieu
_Liệt kê các hành vi khác của ransomware:
-Kiểm tra trong Registry: "Software\whitehatdrill\Flag, Software\Rs\IsEncrypt"
-đổi hình nền Desktop tại đường dẫn C:\Users\Bkav\Desktop\Notify.jpg,
-đổi định dạng các tập tin bị mã hóa sang "*.bam!"
_Xử lý các thành phần độc hại:
-Xóa registry "HKEY_CURRENT_USER\Software\Rs"
-Xóa khóa Flag trong "HKEY_CURRENT_USER\Software\whitehatdrill"
-Xóa file ransomware.exe trong C:\Windows\Temp và xóa file phát tán tải về
-Xóa các file bị lây nhiễm tiến hành khôi phục lại (nếu có bản backup trước đó nhanh nhất)