Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

Sở Huế hiện vẫn chưa remote được server.

Xin hỏi ban tổ chức là có phải 2 file trong file nén của Sunny gửi phía trên chứa mã độc để Huế tiếp tục detect. Xin cảm ơn.
CHUẨN LÀ 2 FILE ĐÓ CÓ MÃ ĐỘC ĐẤY Ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
DHBK hoàn tất xong Phase 1.

Mã độc lây nhiễm qua việc mở File DOC.
Các file (DOC, 7zip...) bị mã hóa.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nếu không vào được máy chủ thì đơn vị chúng tôi không thể kiểm thử được mã độc mà BTC gửi, đề nghị BTC cho phương án giải quyết.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Tiếp tục phân tích chúng tôi nhận thấy tệp logo.doc ping đến máy chủ 10.2.78.69, vì đây là PrivateIP nên dù đã kích hoạt vẫn không thể bị lây nhiễm máy ảo tự tạo. Do vậy, các phase sau chúng tôi sẽ tham khảo cách làm của các đội đã connect VPS thành công.

Ransomware này có thể lấy tại địa chỉ
http://118.70.80.143/ransomware.exe (đường link trong file Dien tap 1)
http://118.70.80.143:4448/ransomware_tb.exe (đường link trong file Dien tap 2)

Sử dụng WGET trong Linux để download file Ransomware.
wget http://118.70.80.143:4448/ransomware_tb.exe
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
CHUẨN LÀ 2 FILE ĐÓ CÓ MÃ ĐỘC ĐẤY Ạ

Mình cũng đã check qua Virustotal, có thấy file đã nhiễm, đã thử chạy nhưng có lẽ máy không kết nối được Internet nên file mã độc không thực thi được
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nếu dùng máy ảo để chạy thì có thể dùng trên tất cả các hệ điều hành hay chỉ cho phép chay trên Windows thôi vậy Mod?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
upload_2017-7-26_11-20-0.png

kết nối cứ bị như vậy nên dùng thử máy khác
khi mở file doc, trên file đó có thêm 1 link với source là http://118.70.80.143/getransomware.hta
và file đó sẽ tải 1 file http://118.70.80.143/ransomware.exe cho vào thư mục temp và tự mở sau đó máy đã dính ramsomware.
các file trong các thư mục như Document,Download,.. sẽ bị mở hóa và hiên lên desktop thông báo ...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
2017-07-265.png

cuối cùng em nó cũng dính
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nếu diễn tập ko thành công, hy vọng whitehat.vn hướng dẫn chi tiết các pha để các đội học tập nhé
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Pha 1: Đội Mipecorp truy cập thành công máy chủ. Đã download file zip về phát hiện có 2 file Doc. click vào file doc thì bị nhiễm virus tống tiền. Qua kiểm tra thì thấy Desktop đã chuyển hình nền của virus tống tiền, các file trong Document không thể thực thi được và xác định máy tính đã bị nhiễm mã độc.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phase 1: đã tải được file .doc, mở ra và đã thấy bị nhiễm virut
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phase 1: Team Lazada Việt Nam xem trước các tài liệu hiện có trên máy tính.

Tiến hành cài đặt 7-zip. Sau đó kích hoạt mẫu virus vừa mới tải về.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
2017283ddc2c-0832-4b86-807d-719e88b646e3.png



201710928581-76ff-4e73-ad06-d44444e8ed24.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
[email protected]
Bên trên