Tường thuật Diễn tập An ninh mạng WhiteHat Drill 04

Báo cáo phase 1

 

Drill_mipecorp gửi báo cáo pha 1 , pha 2
BÁO CÁO
RANSOMWARE: XỬ LÝ VÀ PHÒNG CHỐNG

Tên đội : Drill_mipecorp
Tổng hợp kết quả:

Phase 1: Mô phỏng tình huống bị lây nhiễm ransomware và rà soát, xác minh tình trạng lây nhiễm.
· Sau khi mở các file đính kèm, dữ liệu tại các thư mục Desktop, Downloads,… đã bị thay đổi:

- Desktop đổi hình nền của virus ransomware

- Các mục trong download, Document bị mã hóa không thực thi được.


· Dự đoán con đường mã độc lây nhiễm vào máy tính:

- Bị lây nhiễm qua file đính kèm.


Phase 2: Cô lập hiện trường và phân tích, lấy mẫu.
Cô lập hiện trường:

- Đã cô lập máy tính bị nhiễm, tắt các kết nối internet, các cổng khác.
Phân tích và lấy mẫu: lấy về file thực thi của ransomware.
- Sử dụng tool: virus total quét file 2 file đều thấy bị nhiễm virus.
· Cách lấy các file ransomware:

o Qua file “Diễn tập ANM – 1.doc”:

- File 1 bị lây nhiễm: 29/57

o Qua file “Diễn tập ANM – 2.doc”: -

- File 2 bị lây nhiễm: 10/57

 

vào IRC cách nào đấy Admin

Để vào IRC, mời bạn vào trang webchat.freenode.net, kênh WhiteHatDrill04 bạn nhé.

 

Phase 2: Cô lập hiện trường và phân tích, lấy mẫu.
Cô lập hiện trường: đóng tất cả các port kết nối trên máy tính (trừ port 3389 để remote tới máy tính)
Phân tích và lấy mẫu: lấy về file thực thi của ransomware.
·Cách lấy các file ransomware:
o Qua file “Diễn tập ANM – 1.doc”: Khi mở file doc 1 kết nối đến địa chỉ http://118.70.80.143/getransomware.hta
Sau khi thực thi file getransomware.hta sẽ tải về file ransomware.exe lưu vào thư mục c:/windows/temp/ransomware.exe và thực thi
o Qua file “Diễn tập ANM – 2.doc”:nếu enable Macro sẽ tải file ransomware_tb.exe tại địa chỉ http://118.70.80.143:4448 vào thư mục c:/windows/temp/ransomware.exe

 

Drill_mipecorp gửi báo cáo pha 1 , pha 2
BÁO CÁO
RANSOMWARE: XỬ LÝ VÀ PHÒNG CHỐNG

Tên đội : Drill_mipecorp
Tổng hợp kết quả:

Phase 1: Mô phỏng tình huống bị lây nhiễm ransomware và rà soát, xác minh tình trạng lây nhiễm.
· Sau khi mở các file đính kèm, dữ liệu tại các thư mục Desktop, Downloads,… đã bị thay đổi:

- Desktop đổi hình nền của virus ransomware

- Các mục trong download, Document bị mã hóa không thực thi được.


· Dự đoán con đường mã độc lây nhiễm vào máy tính:

- Bị lây nhiễm qua file đính kèm.


Phase 2: Cô lập hiện trường và phân tích, lấy mẫu.
Cô lập hiện trường:

- Đã cô lập máy tính bị nhiễm, tắt các kết nối internet, các cổng khác.
Phân tích và lấy mẫu: lấy về file thực thi của ransomware.
- Sử dụng tool: virus total quét file 2 file đều thấy bị nhiễm virus.
· Cách lấy các file ransomware:

o Qua file “Diễn tập ANM – 1.doc”:

- File 1 bị lây nhiễm: 29/57

o Qua file “Diễn tập ANM – 2.doc”: -

- File 2 bị lây nhiễm: 10/57

BTC đã ghi nhận báo cáo của đội. Mời các bạn tiếp tục diễn tập.

 

Sở Thông tin và Truyền thông Phú Thọ báo cáo Phase 2
Phase 2: Cô lập hiện trường và phân tích, lấy mẫu.
- Cô lập hiện trường và phân tích lấy mẫu
Bước 1: Cô lập ngắt kết nối máy tính khỏi Internet sử dụng tường lửa Windows chỉ mở cổng 3389
Bước 2: Sử dụng web http://virustotal.com quét file diễn tập 1 phát hiện các file virus hiển thị trên trang quét:
Sau khi sử dụng Virustotal.com để quét file Diễn tập ANM – 1.doc phát hiện mã độc khai thác lỗ hổng "CVE-2017-0199" trên hệ điều hành Windows
Sử dụng phần mềm Writeshark 2.4.0.32 để bắt gói tin
• Cách lấy các file ransomware:
Tiến hành cô lập hiện trường sử dụng pm virus total
o Qua file “Diễn tập ANM – 1.doc”:
Sử dụng phần mềm Writeshark 2.4.0.32 tiến hành phân tích phát hiện địa chỉ IP máy diễn tập kết nối tới địa chỉ: 118.70.80.143 và tải tập tin Ransomware.exe

 

Phase 2: Cô lập hiện trường và phân tích, lấy mẫu.
Cô lập hiện trường: đóng tất cả các port kết nối trên máy tính (trừ port 3389 để remote tới máy tính)
Phân tích và lấy mẫu: lấy về file thực thi của ransomware.
·Cách lấy các file ransomware:
o Qua file “Diễn tập ANM – 1.doc”: Khi mở file doc 1 kết nối đến địa chỉ http://118.70.80.143/getransomware.hta
Sau khi thực thi file getransomware.hta sẽ tải về file ransomware.exe lưu vào thư mục c:/windows/temp/ransomware.exe và thực thi
o Qua file “Diễn tập ANM – 2.doc”:nếu enable Macro sẽ tải file ransomware_tb.exe tại địa chỉ http://118.70.80.143:4448 vào thư mục c:/windows/temp/ransomware.exe

BTC đã ghi nhận. Mời đội tiếp tục diễn tập.

 

Sở Thông tin và Truyền thông Phú Thọ báo cáo Phase 2
Phase 2: Cô lập hiện trường và phân tích, lấy mẫu.
- Cô lập hiện trường và phân tích lấy mẫu
Bước 1: Cô lập ngắt kết nối máy tính khỏi Internet sử dụng tường lửa Windows chỉ mở cổng 3399
Bước 2: Sử dụng web http://virustotal.com quét file diễn tập 1 phát hiện các file virus hiển thị trên trang quét:
Sau khi sử dụng Virustotal.com để quét file Diễn tập ANM – 1.doc phát hiện mã độc khai thác lỗ hổng "CVE-2017-0199" trên hệ điều hành Windows
Sử dụng phần mềm Writeshark 2.4.0.32 để bắt gói tin
• Cách lấy các file ransomware:
Tiến hành cô lập hiện trường sử dụng pm virus total
o Qua file “Diễn tập ANM – 1.doc”:
Sử dụng phần mềm Writeshark 2.4.0.32 tiến hành phân tích phát hiện địa chỉ IP máy diễn tập kết nối tới địa chỉ: 118.70.80.143 và tải tập tin Ransomware.exe

BTC đã ghi nhận. Mời đội tiếp tục diễn tập.

 

Drill_DTTTTongThap gửi báo cáo pha 1 , pha 2
BÁO CÁO
RANSOMWARE: XỬ LÝ VÀ PHÒNG CHỐNG

Tên đội : Drill_DTTTTongThap
Tổng hợp kết quả:

Phase 1: Mô phỏng tình huống bị lây nhiễm ransomware và rà soát, xác minh tình trạng lây nhiễm.
· Sau khi mở các file đính kèm, dữ liệu tại các thư mục Desktop, Downloads,… đã bị thay đổi:

- Desktop đổi hình nền của virus ransomware:

- Các mục trong download, Document bị mã hóa không thực thi được. các file bị mã hoá thành đuôi .bam!

· Dự đoán con đường mã độc lây nhiễm vào máy tính: thông qua macro Word

- Bị lây nhiễm qua file đính kèm.


Phase 2: Cô lập hiện trường và phân tích, lấy mẫu.
Cô lập hiện trường:

- Đã cô lập máy tính bị nhiễm, tắt các kết nối internet, các cổng khác.
Phân tích và lấy mẫu: lấy về file thực thi của ransomware.
- Sử dụng tool: virus total quét file 2 file đều thấy bị nhiễm virus.
· Cách lấy các file ransomware:

o Qua file “Diễn tập ANM – 1.doc”:

- File 1 bị lây nhiễm: 27/57

o Qua file “Diễn tập ANM – 2.doc”: -

- File 2 bị lây nhiễm: 10/57

 

BTC đã ghi nhận kết quả. Mời đội tiếp tục diễn tập

Pha 2:
virustotal quét file:
ransomware tận dụng lỗ hổng CVE 2017/0199 để tấn công
dùng wiresharkbawts gói tin ta thấy file ransome dc tải tại http://118.70.80.143/ransomeware.exe và lưu tại Temp của windows

 

Phase 3: Phân tích và xử lý các thành phần độc hại.
· Phân tích hành vi file ransomware:
o Phương thức mã hóa: tìm tất cả các file trong máy tính có đuôi .txt, .pdf, .word tạo thành file mới có tên như file gốc nhưng thêm đuôi .bam! vào sau cùng. các file .txt, .doc,.pdf... gốc bị xóa đi (riêng file .exe thì không bị ảnh hướng gì); màn hình desktop bị thay đổi.
o Mã hóa tất cả các file có định dạng: .txt, .doc, .pdf...
o Các thư mục bị mã hóa: không có
o Các hành vi khác của mã độc: lấy thông tin trên máy bị nhiễm gửi về server đã định sẵn.
· Xử lý các thành phần độc hại: Tiến hành cô lập máy bị nhiễm ransomeware bằng cách vào firewall chặn tât cả các port inbound trừ port 3389

 

BÁO CÁO RANSOMWARE: XỬ LÝ VÀ PHÒNG CHỐNG Tên đội : Drill_DHKTHCCAND
Tổng hợp kết quả:
Phase 1: Mô phỏng tình huống bị lây nhiễm ransomware và rà soát, xác minh tình trạng lây nhiễm. ·
Sau khi mở các file đính kèm, dữ liệu tại các thư mục Desktop, Downloads,… đã bị thay đổi: bị mã hóa thành các file đuôi .bam!
· Dự đoán con đường mã độc lây nhiễm vào máy tính: qua file .doc vừa tải và mở lên
Phase 2: Cô lập hiện trường và phân tích, lấy mẫu. Cô lập hiện trường: Cô lập ngắt kết nối máy tính khỏi Internet sử dụng tường lửa Windows chỉ mở cổng 3399
Phân tích và lấy mẫu: lấy về file thực thi của ransomware.
Sau khi sử dụng Virustotal.com để quét file Diễn tập ANM – 1.doc, tỷ lệ 26/57 ,file Diễn tập ANM – 1.doc tỷ lệ 11/57 và phát hiện mã độc khai thác lỗ hổng "CVE-2017-0199" trên hệ điều hành Windows
tiến hành phân tích các file word phát hiện link chứa mã độc
file 1: http://118.70.80.143/ransamware.exe
file 2: http://118.70.80.143:4443/ransamware_tb.exe

 

Phase 3: Sử dụng System Explorer để kiểm tra sự thay đổi trước và sau khi kích hoạt virus. Tạo 1 snapshot trước khi kích hoạt, 1 snapshot sau khi kích hoạt. Sau đó compare 2 snapshot đó để thấy thay đổi.

Virus đã tự động tải về file exe. (Hình 10)

+ Các file bị mã hóa có định dạng: .mp3. .doc, .7z, .txt, .jpg, .xls, ... (đang cập nhật)
+ .docx, .exe lại không bị.

Thư mục ảnh hưởng:

C:\Users\Bkav\Documents\tailieu\english
C:\Users\Bkav\Documents\tailieu\images
...


Các file và registry bị thay đổi:

File exe tự động tải về chứa ảnh nền và đặt lên desktop.

 

Đội mình trả lời các câu hỏi của BTC.

 

Pha 2:
virustotal quét file:
ransomware tận dụng lỗ hổng CVE 2017/0199 để tấn công
dùng wiresharkbawts gói tin ta thấy file ransome dc tải tại http://118.70.80.143/ransomeware.exe và lưu tại Temp của windows

BTC đã ghi nhận. Mời đội tiếp tục diễn tập.