Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

D
Drill_TTTTThuaThienHue đã viết:
Sở Huế hiện vẫn chưa remote được server.

Xin hỏi ban tổ chức là có phải 2 file trong file nén của Sunny gửi phía trên chứa mã độc để Huế tiếp tục detect. Xin cảm ơn.
Nhấn để mở rộng...
CHUẨN LÀ 2 FILE ĐÓ CÓ MÃ ĐỘC ĐẤY Ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
DHBK hoàn tất xong Phase 1.

Mã độc lây nhiễm qua việc mở File DOC.
Các file (DOC, 7zip...) bị mã hóa.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
Nếu không vào được máy chủ thì đơn vị chúng tôi không thể kiểm thử được mã độc mà BTC gửi, đề nghị BTC cho phương án giải quyết.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
Drill_TTTTKienGiang đã viết:
Tiếp tục phân tích chúng tôi nhận thấy tệp logo.doc ping đến máy chủ 10.2.78.69, vì đây là PrivateIP nên dù đã kích hoạt vẫn không thể bị lây nhiễm máy ảo tự tạo. Do vậy, các phase sau chúng tôi sẽ tham khảo cách làm của các đội đã connect VPS thành công.
Nhấn để mở rộng...

Ransomware này có thể lấy tại địa chỉ
http://118.70.80.143/ransomware.exe (đường link trong file Dien tap 1)
http://118.70.80.143:4448/ransomware_tb.exe (đường link trong file Dien tap 2)

Sử dụng WGET trong Linux để download file Ransomware.
wget http://118.70.80.143:4448/ransomware_tb.exe
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
Drill_TTTTYenBai đã viết:
CHUẨN LÀ 2 FILE ĐÓ CÓ MÃ ĐỘC ĐẤY Ạ
Nhấn để mở rộng...

Mình cũng đã check qua Virustotal, có thấy file đã nhiễm, đã thử chạy nhưng có lẽ máy không kết nối được Internet nên file mã độc không thực thi được
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
Nếu dùng máy ảo để chạy thì có thể dùng trên tất cả các hệ điều hành hay chỉ cho phép chay trên Windows thôi vậy Mod?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Drill_DHKTHCCAND
upload_2017-7-26_11-20-0.png

kết nối cứ bị như vậy nên dùng thử máy khác
khi mở file doc, trên file đó có thêm 1 link với source là http://118.70.80.143/getransomware.hta
và file đó sẽ tải 1 file http://118.70.80.143/ransomware.exe cho vào thư mục temp và tự mở sau đó máy đã dính ramsomware.
các file trong các thư mục như Document,Download,.. sẽ bị mở hóa và hiên lên desktop thông báo ...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
2017-07-265.png

cuối cùng em nó cũng dính
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
Nếu diễn tập ko thành công, hy vọng whitehat.vn hướng dẫn chi tiết các pha để các đội học tập nhé
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
Pha 1: Đội Mipecorp truy cập thành công máy chủ. Đã download file zip về phát hiện có 2 file Doc. click vào file doc thì bị nhiễm virus tống tiền. Qua kiểm tra thì thấy Desktop đã chuyển hình nền của virus tống tiền, các file trong Document không thể thực thi được và xác định máy tính đã bị nhiễm mã độc.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
Phase 1: đã tải được file .doc, mở ra và đã thấy bị nhiễm virut
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
Phase 1: Team Lazada Việt Nam xem trước các tài liệu hiện có trên máy tính.

Tiến hành cài đặt 7-zip. Sau đó kích hoạt mẫu virus vừa mới tải về.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
2017283ddc2c-0832-4b86-807d-719e88b646e3.png



201710928581-76ff-4e73-ad06-d44444e8ed24.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Tường thuật Diễn tập An ninh mạng WhiteHat Drill 07 - Bảng C - Ngày 9/7
  • Tường thuật Diễn tập An ninh mạng WhiteHat Drill 07 - Bảng B - Ngày 8/7
  • Tường thuật Diễn tập an ninh mạng WhiteHat Drill 07 - Bảng A - Ngày 7/7
  • [Tường thuật] Diễn tập an toàn, an ninh mạng cho các Sở Thông tin và Truyền thông toàn miền Bắc
  • Tường thuật Diễn tập ATTTM "Điều tra, xử lý và phòng chống mã độc đào tiền ảo qua lỗ hổng phần mềm"
  • Tường thuật Diễn tập An ninh mạng tháng 8/2016: “Điều tra và xử lý website bị tấn công”
    • Thẻ
    [email protected]
    Bên trên