Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

Đăng nhập từ sáng giờ mới được thì màn hình toàn màu đen huyền ảo

 

Phú Thọ chưa vào được .19

 

Ninh Bình vẫn không remote đc vào

 

sau 1h30 phút vẫn chưa thể vào được.....

 

Thanh Hóa cũng không vào được, CPU 100%

 

Bắc Ninh chưa vào được mod ơi

 

Sau khoảng 1h30p cố gắng nhưng không thể kết nối. Thái Bình xin dừng buổi diễn tập tại đây. Cảm ơn Bkav và hẹn gặp lại vào lần tới!

 

 

Nghệ An từ sáng đến giờ nó cứ như thế này đây

 

Yên Bái đã connect VPS và đã bị nhiễm mã độc trên máy chủ. Đang tiếp tục xử lý

 

Cũng như Thái Bình. Thank

 

Nghệ An từ sáng đến giờ nó cứ như thế này đây
View attachment 1935

Bác ở vinh ak bác . Bên em cũng không connect được

 

Yên Bái đã connect VPS và đã bị nhiễm mã độc trên máy chủ. Đang tiếp tục xử lý

Chúc mừng bạn đã bị mã hóa, bạn thực hiện tiếp theo các yêu cầu từ Pha1 của BTC nhé.

 

Do không thể kết nối được VPS nên chúng tôi đã download tệp về lấy mẫu và phân tích.
- Giải nén file mẫu. Mở 2 tệp .doc.
- Phát hiện liên kết đến máy chủ http://118.70.80.143 và tự động download tệp getransomware.hta và 3 tệp còn lại. Lợi dụng lỗ hỏng bảo mật Microsoft CVE-2017-0199: Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API.

Tiếp tục phân tích chúng tôi nhận thấy tệp logo.doc ping đến máy chủ 10.2.78.69, vì đây là PrivateIP nên dù đã kích hoạt vẫn không thể bị lây nhiễm máy ảo tự tạo. Do vậy, các phase sau chúng tôi sẽ tham khảo cách làm của các đội đã connect VPS thành công.

 

Sở Huế hiện vẫn chưa remote được server.

Xin hỏi ban tổ chức là có phải 2 file trong file nén của Sunny gửi phía trên chứa mã độc để Huế tiếp tục detect. Xin cảm ơn.