Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

Từ Mail [email protected] , từ IP 118.70.80.143
Phục hồi dữ liệu bằng cách tải các tập tin từ https://118.70.80.143:4443/svn/tailieu chép vào thư mục C:\Users\Bkav\Documents\tailieu.

 

Pha 4:
nguồn: [email protected]
IP: 118.70.80.143
bitcoin: 1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE
Phục hồi dữ liệu bằng cách tải các tập tin từ https://118.70.80.143:4443/svn/tailieu chép vào thư mục C:\Users\Bkav\Documents\tailieu.
Nếu có bản backup win trước thì restore lại cho lành )

 

Phase 3: Phân tích và xử lý các thành phần độc hại.
• Phân tích hành vi file ransomware: Sử dụng phần mềm IDA
o Phương thức mã hóa: RSA
o Mã hóa tất cả các file có định dạng: jpeg, rb, jpg, doc,lay,3gp,m3u,..... rất nhiều có ảnh kèm theo
o Các thư mục bị mã hóa: Desktop, Dowload, Documents
o Các hành vi khác của mã độc:
Tạo Registry và kết nối tới máy chủ 118.70.80.143.
•Xử lý các thành phần độc hại:
Tiến hành xóa các Registry mà mã độc đã tạo.
-Xóa các file độc hại: Xóa các file ở thư mục C:Window/temp, file .doc

 

ĐH Thái Nguyên: Pha 4

Ví BTC:1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE
Email [email protected]
IP: 118.70.80.143

Bổ sung, thay đổi các key:
HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004
HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004\SOFTWARE\Microsoft\Cryptography\Providers\Type 001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Offload
HKEY_CURRENT_USER\Software\whitehatdrill

Cập nhật lại Pha 4 cho admin

 

Phase 3: Phân tích và xử lý các thành phần độc hại.

· Phân tích hành vi file ransomware:

o Phương thức mã hóa:

o Mã hóa tất cả các file có định dạng:

o Các thư mục bị mã hóa: Các thư mục Downloads, Desptops và Documents

o Các hành vi khác của mã độc: Chỉnh sủa nội dung trong Registry

Trong HKEY_CURRENT_USER.rdata:00410C60 unicode 0, <Software\whitehatdrill>,0

Tạo file ransomware trong thư mục C:/Windows/Temp/ransomware.exe

· Xử lý các thành phần độc hại:

Xóa Registry này đi

Xóa File ransomware trong thư mục C:/Windows/Temp/ransomware.exe

 

Báo cáo tổng hợp

 

Phase 5: Phòng chống Ransomware bằng phần mềm Anti-virus

· Thử nghiệm các file đính kèm khi đã cài đặt Bkav Endpoint.

Các biện pháp đề xuất để phòng chống tấn công:

Cài đặt Antivirus Software như BKAV, BitDefender, Kapersky…..

+ Hạn chế sử dụng USB trong hệ thống

+ Hướng dẫn sử dụng máy tính an toàn trong cơ quan vì suy cho cùng công tác con người là quan trọng nhất

+ Đưa ra quy chế sử dụng máy tính trong cơ quan

+ Không mở File DOC có chứa Macro. Cần phải check kiểm tra trong môi trường ảo hóa (VMware) để theo dõi hành vi.

 

Đội ĐH Thái Nguyên gửi báo cáo tổng hợp.

 

Cập nhật lại báo cáo Tổng hợp. Bổ sung phần 5.

 

Vĩnh long đã hoàn thành pha 5. và gửi báo cáo Pha 6

 

To: BTC,
chung toi gui bao cao dien tap phong chong ma doc. Mac du, toi chua hoan tat bai dien tap 1 cach tron ven. Toi xin chan thanh cam on BTC da tao dieu kien cho chung toi tiep can voi moi truong thuc te.
Toi hy vong BTC se to chuc nhieu buoi tap huan trong tuong lai.
Kinh chuc BTC nhieu suc khoe.
Chan thanh cam on.
K.TUYen

 

Sở Thông tin và Truyền thông Trà Vinh gửi báo cáo tổng hợp

 

Sở TTTT TRÀ VINH GỬI BÁO CÁO PHA 3

 

MSEC-HVKTQS báo cáo tổng hợp

Hi vọng sẽ có nhiều buổi diễn tập như thế này nữa cho mọi người tham gia tìm hiều và phòng chống các nguy cơ tấn công!!
Chúc mừng diễn tập thành công!!!

 

Đội Drill_mipcorp gửi báo cáo Tổng hợp. Mod check mail giúp ạ.