Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

Thảo luận trong 'Diễn tập An ninh mạng' bắt đầu bởi WhiteHat News #ID:2017, 25/07/17, 05:07 PM.

  1. Ginny Hà

    Ginny Hà WhiteHat Support

    Tham gia: 04/06/14, 02:06 PM
    Bài viết: 609
    Đã được thích: 85
    Điểm thành tích:
    48
    Bạn làm tiếp bước Phân tích mẫu đính kèm để lấy mẫu ransomware (Pha 2) nhé.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Drill_AITSolutions

    Drill_AITSolutions New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Drill_TEKCOM

    Drill_TEKCOM New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Pha 2: tiền hành cô lập các port chỉ mở port 3389.
    o Qua file “Diễn tập ANM – 1.doc”:

    - File 1 bị lây nhiễm: 29/57

    o Qua file “Diễn tập ANM – 2.doc”: -

    - File 2 bị lây nhiễm: 10/57
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. Drill_DHKTHCCAND

    Drill_DHKTHCCAND New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 1
    Đã được thích: 1
    Điểm thành tích:
    3
    Phân tích Key Public
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. RadCet

    RadCet VIP Members

    Tham gia: 27/04/17, 09:04 AM
    Bài viết: 12
    Đã được thích: 8
    Điểm thành tích:
    3
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. Drill_VICT

    Drill_VICT New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Tools phân tích mã độc: Ollydbg, IDA… -> lay o dau vay?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. phungchiquoc

    phungchiquoc W-------

    Tham gia: 27/05/14, 05:05 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Sở Thông tin và Truyền thông Phú Thọ báo cáo Phase 3
    Phase 3: Phân tích và xử lý các thành phần độc hại.

    • Phân tích hành vi file ransomware: Sử dụng phần mềm OllyDBG để phân tích file ransomware
    o Phương thức mã hóa: CryptAcquireContextW, CryptGenRandom, CryptReleaseContext, CryptImportKey, CryptSetKeyParam, CryptGetKeyParam, CryptDecodeObjectEx, CryptImportPublicKeyInfo
    o Mã hóa tất cả các file có định dạng: Mã hóa tất cả các định dạng file .text, .doc, .xls, .pdf, mp3, .zip.
    o Các thư mục bị mã hóa: Thư mục Desktop, Dowload, Documents
    o Các hành vi khác của mã độc:
    Khởi tạo và kết nối tới thanh Registry và thực hiện liên tục kết nối tới máy chủ 118.70.80.143.
    •Xử lý các thành phần độc hại:
    - Sử dụng công cụ ProccessMonitor tiến hành xóa các Registry mà mã độc đã tạo.
    - Xóa các file độc hại: Xóa các file ở thư mục C:Window/temp
    Kết luận Ransomware được viết bởi Oleh yusohuk và tiến hành xóa bỏ các file trong đường dẫn.
     

    Các file đính kèm:

    • p31.png
      p31.png
      Kích thước:
      90.7 KB
      Đọc:
      307
    • p32.png
      p32.png
      Kích thước:
      72.8 KB
      Đọc:
      300
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. vietgol

    vietgol W-------

    Tham gia: 12/03/15, 03:03 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    ĐH Thái Nguyên: Pha 4

    Ví BTC:1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE
    Email whitehat@bkav.com
    IP: 118.70.80.143

    Bổ sung, thay đổi các key:
    HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004
    HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004\SOFTWARE\Microsoft\Cryptography\Providers\Type 001
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
    HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Offload
    HKEY_CURRENT_USER\Software\whitehatdrill
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. Ginny Hà

    Ginny Hà WhiteHat Support

    Tham gia: 04/06/14, 02:06 PM
    Bài viết: 609
    Đã được thích: 85
    Điểm thành tích:
    48
    Các công cụ đó có bản quyền, nên bạn search Google và tự "tìm" nhé :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Drill_DHKTHCCAND thích bài này.
  10. Drill_TTTTLamDong

    Drill_TTTTLamDong New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Phase 4: Điều tra nguồn tấn công và khôi phục dữ liệu bị mã hóa

    · Các thông tin về nguồn tấn công gồm:

    o Email phát tán mã độc: whitehat@bkav.com

    o IP server chứa mã độc: 118.70.80.143

    o Địa chỉ ví Bitcoin: 1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE

    · Các bước khôi phục dữ liệu:

    Xóa registry tại địa chỉ HKEY_CURRENT_USER/Software/whitehatdrill

    Xóa File ransomware trong thư mục C:/Windows/Temp/ransomware.exe

    Phục hồi dữ liệu bằng cách tải các tập tin từ https://118.70.80.143:4443/!/#tailieu chép vào thư mục C:\Users\Bkav\Documents\tailieu
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. RadCet

    RadCet VIP Members

    Tham gia: 27/04/17, 09:04 AM
    Bài viết: 12
    Đã được thích: 8
    Điểm thành tích:
    3
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. Drill_DHKTHCCAND

    Drill_DHKTHCCAND New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 1
    Đã được thích: 1
    Điểm thành tích:
    3
    Phase 4:

    Mail whitehat@bkav.com
    IP 118.70.80.143
    Ví Bitcoin: 1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. Drill_MipeCorp

    Drill_MipeCorp New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 2
    Đã được thích: 3
    Điểm thành tích:
    3
    Phase 3: Phân tích và xử lý các thành phần độc hại.
    · Phân tích hành vi file ransomware:

    o Phương thức mã hóa: Thay đổi các file đuổi doc, 7z, mp3 (đều có đuôi .bam! ).

    o Mã hóa tất cả các file có định dạng: doc .mp3 .7zip

    o Các thư mục bị mã hóa: "canhac" va "hoctap"



    Phase 4:
    _Xác định nguồn gốc tấn công:
    Từ Mail whitehat@bkav.com , từ IP 118.70.80.143
    Phục hồi dữ liệu bằng cách tải các tập tin từ https://118.70.80.143:4443/svn/tailieu chép vào thư mục C:\Users\Bkav\Documents\tailieu.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. Drill_DHKHCNHN

    Drill_DHKHCNHN New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1
    Drill_DHKHCNHN báo cáo phase 2
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  15. Drill_TTTTQuangNinh

    Drill_TTTTQuangNinh New Member

    Tham gia: 25/07/17, 06:07 PM
    Bài viết: 0
    Đã được thích: 0
    Điểm thành tích:
    1

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan