Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

Bắc Ninh báo đã làm xong phase 1, Hiện đã phát hiện máy nhiễm virus, các file đã bị mã hóa không mở được.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
1. Thay đổi của máy tính khi chạy file word lên:
- đối với các file có đuôi .exe thì không thay đổi gì
- các file có đuôi pdf, .doc... thì bị thêm .bam
2. Máy yếu quá không cài được wireshare nên không coi được địa chỉ Ip kết nối tới
-> máy bị nhiệm virus mã hóa
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Pha 1:
khi chạy các file mã độc, thì các file trong các thư mục documents, downloads, Desktop.. đều bị nhiễm và đổi đuôi thanh .bam!
riêng các file thực thi .exe k bị đổi đuôi file,
background máy tính cũng bị đổi

avabg.jpg
avabg.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
QTSC cập nhật kết quả Pha 1 thực thi file word chứa mã độc
12-png.2000

Máy tính sau khi bị lây nhiễm mã độc Ransomeware

11-png.1999
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
QTSC cập nhật pha 2:
Tiến hành cô lập máy bị nhiễm ransomeware bằng cách chỉ mở port 3389 inbound
14-png.2002
Sau khi thực thi các tập tin word thì lập tức kích hoạt macro kết nối đến Server getransomeware.hta và download về tại link http://118.70.80.143/ransomeware.exe\

QTSC đã bắt được thông tin của gói tin đó
13-png.2001
Mẫu Ransomeware đã được công bố tại địa chỉ:
https://www.hybrid-analysis.com/sam...3171dc985eeff2f044f08e1388e?environmentId=100
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Pha 1:

Chạy file Diễn tập ANM - 1.doc xong là máy bị nhiễm Ransomware. Các file trong các thư mục documents, downloads, Desktop.. đều bị nhiễm và đổi đuôi thanh .bam! ngoại trừ các file thực thi .exe không bị đổi đuôi, background bị đổi. Kiểm tra trên Virustotal cho thấy file Diễn tập ANM - 1.doc là mã độc Ransomware tấn công sử dụng điểm yếu CVE-2017-0199.

Phân tích 2 files word.
Khi mở file doc 1 kết nối đến địa chỉ http://118.70.80.143/getransomware.hta

Sau khi thực thi file getransomware.hta sẽ tải về file ransomware.exe lưu vào thư mục c:/windows/temp/ransomware.exe và thực thi

Khi mở file doc 2, nếu enable Macro sẽ tải file ransomware_tb.exe tại địa chỉ http://118.70.80.143:4448 vào thư mục c:/windows/temp/ransomware.exe
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Xin gởi Phase 2

Phase 2: Cô lập hiện trường và phân tích, lấy mẫu.
Cô lập hiện trường: Chặn IP http://118.70.80.143:4448

Phân tích và lấy mẫu: lấy về file thực thi của ransomware.

· Cách lấy các file ransomware:

o Qua file “Diễn tập ANM – 1.doc”:

clip_image002.png


clip_image003.png





o Qua file “Diễn tập ANM – 2.doc”:

clip_image005.jpg


clip_image007.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Trà Vinh báo cáo phase 2
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
ĐH Thái Nguyên
Phase 3: Phân tích và xử lý các thành phần độc hại.

· Phân tích hành vi file ransomware:

o Phương thức mã hóa:

o Mã hóa tất cả các file có định dạng: .mp3 .7zip

o Các thư mục bị mã hóa: "canhac" va "hoctap"

o Các hành vi khác của mã độc:
Request tới địa chỉ: 118.70.80.143 -> Get "http://118.70.80.143/getransomware.hta"
C:\Windows\Temp
Thay đổi "Files". "Registry". "Mutexes" (Mô tả các key trong file text)
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
ọi quảng minh sau khi vào được máy chủ nhưng sau khi download mở 2 file doc lên máy chủ vẫn vô sự không thấy giao diên desktop thay dổi. thử đảy file len total virut thì thấy file nhiễm virut. kiểm tra các file khác trong thư mục thì bị thêm đuôi .bam
mình chuyển qua làm bức 2
đóng các port chỉ mở 3389
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
ĐH Thái Nguyên
Phase 3: Phân tích và xử lý các thành phần độc hại.

· Phân tích hành vi file ransomware:

o Phương thức mã hóa:

o Mã hóa tất cả các file có định dạng: .mp3 .7zip

o Các thư mục bị mã hóa: "canhac" va "hoctap"

o Các hành vi khác của mã độc: Thay đổi "Files". "Registry". "Mutexes" (Mô tả các key trong file text)
BTC đã ghi nhận kết quả, Cảm ơn đội nhé. Mời các bạn tiếp tục diễn tập
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
vào IRC cách nào đấy Admin
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
[email protected]
Bên trên