Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

TEKCOM đã bị lây nhiễm và đóng hết các port khác

 

Trung tâm CNTT tỉnh Lạng sơn chưa có IP mới mod ơi...

BTC đã gửi thông tin qua kênh IRC

 

Qua phân tích file 2 nhận thấy như sau:

 

Sở Thông tin và Truyền thông Phú Thọ báo cáo diễn tập ANM phase1

BTC đã ghi nhận kết quả của đội, mời đội diễn tập tiếp

 

Mod kiểm tra lại file 2. qua check virus thì không bị lây nhiễm. kq: 0/57

Mod kiểm tra lại file 2. qua check virus thì không bị lây nhiễm. kq: 0/57

Đây có thể là file đã bị mã hóa. Bạn hãy sử dụng file trong link google drive để phân tích nhé.

 

Kết quả phân tích 2 files word.
Khi mở file doc 1 kết nối đến địa chỉ http://118.70.80.143/getransomware.hta
Sau khi thực thi file getransomware.hta sẽ tải về file ransomware.exe lưu vào thư mục c:/windows/temp/ransomware.exe và thực thi
Khi mở file doc 2, nếu enable Macro sẽ tải file ransomware_tb.exe tại địa chỉ http://118.70.80.143:4448 vào thư mục c:/windows/temp/ransomware.exe
Tiếp theo Phase 2 Phân tích các thành phần độc hại=> Kết thúc Phase 2

 

ĐH Thái Nguyên - Pha 1

 

BTC đã gửi thông tin qua kênh IRC

vẫn chưa thấy nhận được

 

Bị nhiễm.

 

Pha 1: kết quả cụ thể

 

đọi quảng minh sau khi vào được máy chủ nhưng sau khi download mở 2 file doc lên máy chủ vẫn vô sự không thấy giao diên desktop thay dổi. thử đảy file len total virut thì thấy file nhiễm virut

 

Phase 2: Tiến hành cho phép port 3389, chặn các port còn lai.

Check trên Virustotal cho thấy file Diễn tập ANM - 1.doc là mã độc Ransomware tấn công sử dụng điểm yếu CVE-2017-0199. Mã độc được download tại link:

http://118.70.80.143:4448/ransomware_tb.exe,
http://118.70.80.143/getransomware.hta

 

ĐH Thái Nguyên - Pha 2
Cô lập máy tinh bị nhiễm:
- Vô hiệu hóa và mã hóa giao thức SMBV1
- Đóng các cổng để tấn công máy tính như 445, 137, 138, 139. Đóng các cổng qua firewall của Windows

 

FujikuraVn hoàn thành Phase 1

 

file doc 2