Truy cập nội dung luôn

123456

25-11-2017 10:11

KỊCH BẢN DIỄN TẬP ỨNG CỨU SỰ CỐ MÃ ĐỘC NĂM 2017

TỔNG CÔNG TY ĐIỆN LỰC MIỀN BẮC

 

KỊCH BẢN 05

 

I – TÌNH HUỐNG

Để xem được nội dung video trên, đa số người dùng đã nhấn vào liên kết và cập nhật Adobe Flash để xem.

Ngày sau đó, Trung tâm VNCERT phát hiện địa chỉ IP Thuộc dãy do Tổng công ty Điện Lực Miền Bắc quản lý đang thực hiện hành vi tấn công các website đặt tại Việt Nam và gửi cảnh báo đến Tổng công ty Điện Lực Miền Bắc. Hãy xử lý tình huống bằng cách trả lời các câu hỏi bên dưới.

Chú ý: Bạn có thể quản lý hệ thống mạng, Switch có cổng Monitor, Bạn có thiết bị NET TAP để trích xuất gói tin. Hãy lên cắm dây và bắt gói tin để xử lý.

II – XỬ LÝ

1.      Địa chỉ IP Public bạn đang dùng là gì? Danh sách các địa chỉ IP trong mạng nội bộ của bạn đang thực hiện tấn công? (IP nội bộ dạng 192.168.x.xx hoặc 10.10.x.x)

-113.190.40.135

-IP nội bộ bị nhiễm là 192.168.106.128;

-Và các máy khác trong mạng đã kích hoạt file media.exe

 

2.      Danh sách các file mã độc cần chú ý là gì? Các thư viện DLL liên quan đến mã độc là gì? Tiến trình nào đang kết nối máy chủ điều khiển, kết nối tại cổng nào? Thực hiện thu thập network trafic liên quan đến máy bị nhiễm mã độc, Thực hiện quy trình bóc gỡ các mẫu mã độc ra ngoài.

  • Các thư viện: mediahk.dll
  • Các file chạy nguy hiểm đang kết nối với máy chủ điều khiển: sysstem.exe  ; media.exe
  • Tiến trình sysstem.exe  đang kết nối với máy chủ điều khiển qua port 49443 kết nối đến máy chủ điều khiển có IP 192.168.1.240 qua port 1604.

 

  • Quy trình thực hiện bóc gỡ mã độc ra ngoài:

 

+ Dùng phần mềm FTK để thu thập bộ nhớ ram;

+ Dùng phần mềm process

+ Dùng công cụ regshot để phát hiện những thay đổi mà mã độc đã chèn vào

- regetry:

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\media: "C:\Windows\SysWOW64\media.exe"

  • Và 3 file vào thư mục  C:\Windows\SysWOW64\: media.exe; system.exe; mediahk.dll;
  • Và lưu các file mẫu mã độc để phục vụ công tác điều tra

 

3.      Xác định website/IP đang bị tấn công và hình thức tấn công là gì?

 

  • 42.112.16.124
  • Hình thức tấn công ddos gửi lênh syn đến máy chủ bị tấn công;

 

 

4.      Giải pháp tạm thời cần thực hiện đối với các máy tính bị nhiễm mã độc? Đối với các IP chứa mã độc và video bên ngoài, ta cần làm gì? Trong quá trình xử lý bạn cần báo cáo với ai? Nếu không xử lý được bạn liên hệ với ai để giúp đỡ? Thông tin đầu mối?

-         Cô lập máy tính bị nhiễm độc và bóc tách các file mẫu virus để phục vụ điều tra.

-         Giải pháp tạp thời:

  • Tìm đến các file thực thi của mã độc
  • kill các file thực thi trên process
  • xóa các thong tin các file mã độc trong regedit; C:\Windows\SysWOW64\
  • xóa các file trên C:\Windows\SysWOW64\media.exe; system.exe, mediahk.dll

-         Trong quá trình xử lý báo cáo giám đốc, người phụ trách antt của NPC và NPCIT.

-         Nếu không xử lý sẽ liên hệ NPC và NPCIT để giúp đỡ