[Đang diễn ra] Diễn tập An ninh mạng với chủ đề “Điều tra và xử lý website bị tấn công”

sunny

VIP Members
30/06/2014
870
1.849 bài viết
[Đang diễn ra] Diễn tập An ninh mạng với chủ đề “Điều tra và xử lý website bị tấn công”
15:00 BTC xin thông báo Chương trình Diễn tập An ninh mạng tháng 08/2016 đã chính thức khép lại.

BTC xin lưu ý các đội chưa gửi báo cáo có thể hoàn thành và gửi báo cáo về cho BTC vào địa chỉ email
[email protected].

BTC sẽ kiểm tra đáp án và thông báo Top 5 đội gửi báo cáo sớm và đúng nhất vào ngày mai (20/08/2016)

BTC sẽ gửi gợi ý các pha cho các đội vào địa chỉ email đã đăng ký.

Trân trọng,



----------------------

13:45
BTC xin thông báo:

Tính đến thời điểm hiện tại, BTC đã nhận được báo cáo kết quả diễn tập an ninh mạng của 5 đội: Sở TT&TT Quảng Ngãi, Quảng Nam, Quảng Bình, Hải Phòng và Trà Vinh.

BTC xin lưu ý các đội nhanh chóng gửi báo cáo kết quả diễn tập an ninh mạng về cho BTC trước 16:00 ngày 19/08/2016.

Xin cám ơn!
-----------------------

12:00
Sở TT&TT Quảng Ngãi và Quảng Nam là 2 đội đầu tiên gửi báo cáo submit kết quả diễn tập về cho BTC. Chúc mừng hai đội!




BTC xin lưu ý các đội còn lại nhanh chóng giải và submit kết quả về cho BTC.

----------------

11:50
BTC Diễn tập An ninh mạng xin thông báo:

Thời gian Diễn tập An ninh mạng tháng 8/2016 sẽ được kéo dài đến 12:30 thay vì 12:00. Đội nào có nhu cầu diễn tập tiếp sau thời gian 12:30, vui lòng đăng ký với BTC.

Trân trọng,

------------------

11:40 Gợi ý Pha 5

  • Thông tin cuộc tấn công :
    • Sử dụng công cụ monitor như TCPView để theo dõi các kết nối ra ngoài internet của các tiến trình. Mục đích để kiểm tra xem những tiến trình độc hại kết nối đến địa chỉ nào và tần suất kết nối:
    • Trong đoạn log ghi lại hành vi tải mã độc của shell :
  • Các cơ quan chức năng, chuyên môn khi cần trợ giúp:
    • Cơ quan cảnh sát phòng chống tội phạm sử dụng công nghệ cao.
    • Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) .
    • Công ty an ninh mạng Bkav.
--------------------

11:35
Kịch bản diễn tập pha 5: Điều tra nguồn tấn công


Kịch bản: Sau khi phân tích shell và mã độc, tìm ra chi tiết thông tin server điều khiển, địa chỉ tải mã độc. Sau đấy gửi yêu cầu trợ giúp điều tra tới các cơ quan chức năng. Gửi cảnh báo tới các cơ quan đơn vị khác để đề cao cảnh giác.
Mục tiêu:
  • Xác định được đầy đủ thông tin của cuộc tấn công
    • IP Server điều khiển, địa chỉ tải mã độc.
  • Biết các cơ quan chức năng để liên hệ phối hợp hỗ trợ.
Thời gian thực hiện: 20’

-----------------------

11:30 Gợi ý Pha 4:
Xác định và vá lỗ hổng website
  • Xác định lỗ hổng: Để xác định được hacker đã lợi dụng module nào để tải file độc hại lên server, chúng ta cần phải phân tích file log và điều tra xem file shell đã được tải lên thông qua module nào, có thể điều tra dựa theo tên shell hoặc nội dung của file shell được tải lên. Đọc source để tìm đoạn code gây lỗi và tìm phương pháp khắc phục.
  • Rà soát bằng tay hoặc sử dụng một số công cụ quét lỗ hổng để rà soát lại toàn bộ các module của website để đảm bảo website không còn lỗ hổng nào khác cho phép hacker tấn công trở lại.
----------------------

11:25
Sở TT&TT Bình Dương là đội đầu tiên submit lời giải cho Pha 3
148993995003_DTANM.jpg









-----------------------

11:25 Pha 4: Xác định và vá lỗ hổng website


Kịch bản: Ở phase thứ 2 các đội đã xác định được hacker đã tấn công thông qua lỗ hổng website. Đội ứng cứu cần xác định chính xác lỗ hổng bị khai thác, vá lỗ hổng này để tránh hacker tấn công trở lại.
Mục tiêu:
  • Xác định được lỗ hổng mà hacker đã sử dụng để tấn công, vá các lỗ hổng này.
  • Rà soát và vá các lỗ hổng ở module khác của website (bước này giúp các đội rèn luyện khả năng tìm kiếm và xử lý lỗ hổng trên website. BTC sẽ không đánh giá phần này).
Thời gian thực hiện: 30’

Công cụ tham khảo: (có thể tải các tools đã được kiểm tra virus tại tools.whitehat.vn):
  • Công cụ chỉnh sửa code: Notepad++, Sublime Text…
  • Công cụ pentest website: Acunetix (có phí), Nmap, Burp Suite…
----------------------

11:20
Gợi ý phase 3 phân tích và xử lý các thành phần độc hại đã được cài lên server.

  • Xử lý các thành phần bằng cách xóa các thành phần độc hại đã được tìm thấy:
    • Xóa file shell: Xóa tiến trình mã độc
    • Xóa file mã độc:
    • Thành phần khởi động trong registry: :
  • Phân tích các hành vi của file độc hại
    • Có thể đọc mã nguồn của shell để phân tích hành vi, đối với nhưng webshell đa năng có thể truy cập vào giao diện của webshell để xem những chức năng của shell.
    • Dịch ngược mã nguồn mã độc để phân tích hành vi, ngoài ra có thể sử dụng giám sát các hành vi ghi file hoặc truy cập ra ngoài.
--------------------------

11:00 Pha 3: Phân tích và xử lý các thành phần độc hại đã được cài lên server


Kịch bản:Sau khi phân tích hiện trường và lấy được các mẫu file độc hại. Các đội phân tích hành vi của mã độc để khoanh vùng, theo dõi các kết nối đến server. Sau đó xử lý mã độc ra khỏi server bị nhiễm bằng cách loại bỏ tiến trình, xóa file shell, xóa key khởi động
Mục tiêu:
  • Xác định và xử lý được đầy đủ các thành phần của mã độc
    • File shell hacker đã tải lên server
    • Tiến trình của mã độc
    • File của mã độc
    • Thành phần đăng ký khởi động cùng server của mã độc
  • Thu thập tất cả các thành phần file độc hại và gửi về ban tổ chức (Gửi dưới dạng file nén với tên vào địa chỉ [email protected]).
  • Phân tích được các hành vi của shell và mã độc (Đây là phần nâng cao để các đội rèn luyện kỹ năng dịch ngược mã độc. BTC sẽ không đánh giá phần này).
Thời gian thực hiện: 40’

Công cụ tham khảo: (có thể tải các tools đã được kiểm tra virus tại tools.whitehat.vn):
  • Đọc mã nguồn web shell: Notepad++, Sublime Text...
  • Tools phân tích mã độc: Autostart program viewer, debugger (ollydbg, IDA)…
-----------------------

10:45
Gợi ý phase 2: Phân tích và cô lập hiện trường.
  • Các bước cô lập hiện trường:
    • Cấu hình firewall: Trước khi cấu hình firewall để chặn mã độc kết nối ra ngoài hay hacker tiếp tục tấn công vào server, cần giữ một số cổng của các dịch vụ quan trọng như web (80), remote (3389). Có thể chặn hết các cổng còn lại.
  • Cấu hình trỏ Virtual Host: Khi mở cổng web thể hiển thị thông báo bảo trì, hacker cũng có thể tấn công qua cổng web. Để cách ly hoàn hoàn, cần phải cấu hình chỉ trỏ domain về trang bảo trì.
  • Phân tích hiện trường: Sau khi đã rà soát thấy file shell, tiến hành điều tra theo tên shell trong file logs web để xác định chính xác shell được tải lên qua lỗ hổng web, và hành vi của nó. Để tìm kiếm được các thành phần khác của mã độc, sử dụng công cụ “Autorun” để tìm kiếm các key khởi động cùng hệ thống.
------------------------

10:15
Yêu cầu Pha 2:

Pha 2: Phân tích và cô lập hiện trường

Kịch bản: Đội ứng cứu phân tích logs web và lấy mẫu mã độc, file shell để phục vụ cho quá trình điều tra cũng như ngăn chặn không cho hacker tiếp tục xâm nhập vào máy tính trong thời điểm phân tích.
Mục tiêu:
  • Cô lập được máy tính khỏi Internet để tránh bị thay đổi hiện trường. Trong môi trường diễn tập sử dụng máy ảo các đội cần cấu hình firewall để chỉ mở duy nhất cổng remote (3389) và cổng dịch vụ web (80) đồng thời cấu hình dịch vụ web chỉ trỏ Virtual Host về trang bảo trì.
  • Điều tra, phân tích hiện trường để tìm kiếm các file shell, phân tích hành vi của nó và xác định con đường lây nhiễm mã độc.
Thời gian thực hiện: 30’

------------------------

09:55
9/30 đội đã đăng nhập thành công hệ thống Diễn tập submit lời giải yêu cầu Pha 1

-------------------------

09:50
Gợi ý giải Pha 1:

Gợi ý phase 1: Rà soát sơ bộ tình trạng, khắc phục tạm thời.
  • Cách khắc phục tạm thời: Tạo một file HTML tĩnh (index.html) với nội dung thông báo website đang bảo trì tại thư mục “C:xampphtdocs”. (Để ứng phó nhanh nên xây dựng sẵn mẫu bảo trì cho website để sử dụng khi gặp sự cố).
  • Các dấu hiệu bất thường trên máy tính:
    • Khi đã xác định được trang web bị tấn công, tiến hành rà soát các file độc hại ở trong thư mục web (C:xampphtdocs). Sử dụng các trình editor để tìm kiếm theo các hàm nguy hiểm thường được sử dụng trong web shell (Một số hàm phổ biến: preg_replace, passthru, shell_exec, exec, base64_decode, eval, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source).
Ngoài ra có thể sử dụng thêm một số công cụ hỗ trợ như Web Shell Detector để quét các định dạng shell phức tạp hơn (sử dụng mã hóa tên, mã hóa mã nguồn…).


--------------------------

09:30 30/37 đội đã kết nối thành công hệ thống máy ảo
--------------------------

09:25
Sở TT & TT Phú Yên và Thái Bình là những đội đầu tiên submit lời giải yêu cầu Pha 1

--------------------------

09:15 BTC Diễn tập ANM xin được up yêu cầu Pha 1:
Phase 1: Rà soát sơ bộ tình trạng, khắc phục tạm thời

Kịch bản: Vừa có nhân viên phát hiện ra trên website của Sở có xuất hiện nội dung lạ. Đề nghị đội ứng cứu nhanh chóng rà soát sơ bộ server để xác định hiện tượng, khoanh vùng nguyên nhân. Dự đoán sự cố mất nhiều thời gian để khắc phục đội ứng cứu phải đưa ra phương án khắc phục tạm thời để giảm thiểu làm ảnh hưởng đến uy tín của đơn vị.
Mục tiêu:
  • Thay thế nội dung trang chủ bằng thông báo bảo trì/nâng cấp.
  • Rà soát để tìm kiếm các shell hacker đã upload lên server, mã độc trên server
  • Từ những dấu hiệu, thông tin được cung cấp khoanh vùng được nguyên nhân nguồn gốc tấn công.
Thời gian thực hiện: 20’


-------------------------

09:00
Chương trình DTANM chính thức bắt đầu. Các đội có thể vào link hướng dẫn

-------------------------

08:55 KỊCH BẢN DIỄN TẬP


Buổi diễn tập sẽ mô phỏng một cuộc tấn công vào cổng thông tin điện tử của một tỉnh. Kẻ xấu đã khai thác được một lỗ hổng trên hệ thống để đăng tải thông tin sai lệch lên trang chủ website.

Mục tiêu của Đội ứng cứu
  • Tìm ra được nguyên nhân của đợt tấn công
  • Rà soát và xử lý những file độc hại được kẻ xấu tải lên server.
  • Khắc phục lỗ hổng và điều tra nguồn gốc tấn công.
  • Đưa ra các phương án đề phòng chống tấn công tương tự.
-------------------------

08:50
BCT Diễn tập An ninh mạng tháng 8/2016 chính thức mở hệ thống máy ảo. Các đội có thể đăng nhập để tham gia chương trình.

-------------------------​
1489939950DTANM_500px.jpg





















BQT Diễn đàn An ninh mạng Việt Nam - WhiteHat.vn xin thông báo chi tiết về buổi diễn tập An ninh mạng tháng 8/2016 với chủ đề “Điều tra và xử lý website bị tấn công”:
  • Thời gian: Từ 09:00 - 12:00 ngày 19/8/2016
  • Hình thức: Diễn tập trực tuyến
  • Lịch trình diễn tập:
09:00 - 09:20: BTC mở chính thức bài diễn tập, các đội chuẩn bị kết nối vào hệ thống
09:20 - 11:30: Các đội thực hành theo kịch bản của BTC, kết quả các đội cập nhật tại Whitehat.vn/dientap
11:30 - 12:00: Các đội tổng hợp báo cáo và gửi cho BTC, trao đổi thảo luận giữa các đội và BTC

Trân trọng,

BTC Diễn tập An ninh mạng tháng 8/2016
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
C:\Users\Administrator\Desktop\Tools>cd shell-Detector-master

C:\Users\Administrator\Desktop\Tools\Shell-Detector-master>shelldetect.py -d C:\
xampp\htdocs\files
********************************************************************************
*****************
*
*
* Welcome to Shell Detector Tool 1.1
*
* More information can be found here
*
* http://www.shelldetector.com
*
*
*
********************************************************************************
*****************

Starting file scanner, please be patient file scanning can take some time.
Number of known shells in database is: 604
File scan done, we have: 9 files to analyze

=======================================================

Suspicious behavior found in: C:\xampp\htdocs\files\beauty.PHP
Full path: C:\xampp\htdocs\files\beauty.PHP
Owner: 0:0
Permission: 666
Last accessed: Tue Jun 07 12:35:20 2016
Last modified: Tue Jun 07 12:35:20 2016
Filesize: 74.0 KB

Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)

=======================================================

Suspicious behavior found in: C:\xampp\htdocs\files\firefox.PHP
Full path: C:\xampp\htdocs\files\firefox.PHP
Owner: 0:0
Permission: 666
Last accessed: Tue Jun 07 13:12:01 2016
Last modified: Tue Jun 07 13:12:01 2016
Filesize: 158.8 KB

Suspicious function used: ['system'](line: 148)
Suspicious function used: ['eval'](line: 180)
Suspicious function used: ['exec', 'exec', 'exec'](line: 419)
Suspicious function used: ['`$cmd`'](line: 420)
Suspicious function used: ['system', 'system', 'system'](line: 421)
Suspicious function used: ['passthru', 'passthru', 'passthru'](line: 422)
Suspicious function used: ['popen'](line: 423)
Suspicious function used: ['eval'](line: 553)
Suspicious function used: ['`".$tab."`'](line: 604)
Suspicious function used: ['`".$tab."`'](line: 606)
Suspicious function used: ['`$tab`'](line: 613)
Suspicious function used: ['`$tab`', '`".$keys."`'](line: 622)
Suspicious function used: ['`".$k."`'](line: 656)
Suspicious function used: ['`".$name."`'](line: 697)
Suspicious function used: ['`".addslashes($db)."`'](line: 708)
Suspicious function used: ['`".$v."`'](line: 1032)
Suspicious function used: ['`".$v."`'](line: 1033)
Suspicious function used: ['`".$v."`'](line: 1035)
Suspicious function used: ['`".$v."`'](line: 1036)
Suspicious function used: ['`".$v."`'](line: 1037)
Suspicious function used: ['`".$v."`'](line: 1038)
Suspicious function used: ['`".$sql_tbl."`', '`".$sql_tbl."`'](line: 1039)
Suspicious function used: ['`".addslashes($v)."`'](line: 1046)
Suspicious function used: ['`".$sql_tbl."`'](line: 1052)
Suspicious function used: ['`".$sql_tbl."`'](line: 1059)
Suspicious function used: ['`".$sql_tbl."`'](line: 1144)
Suspicious function used: ['`".$sql_tbl."`'](line: 1147)
Suspicious function used: ['`".$e[1]."`'](line: 1162)
Suspicious function used: ['`".$sql_tbl."`'](line: 1165)
Suspicious function used: ['`".$sql_tbl."`'](line: 1185)
Suspicious function used: ['`".$name."`'](line: 1245)
Suspicious function used: ['`".$sql_tbl."`'](line: 1257)
Suspicious function used: ['`".$row["Name"]."`', '`".$row["Name"]."`'](line:
1291)
Suspicious function used: ['base64_decode'](line: 1577)
Suspicious function used: ['base64_decode'](line: 1578)
Suspicious function used: ['base64_decode'](line: 1581)
Suspicious function used: ['System'](line: 1606)
Suspicious function used: ['base64_decode'](line: 1625)
Suspicious function used: ['system'](line: 1647)
Suspicious function used: ['eval'](line: 2375)
Suspicious function used: ['eval'](line: 2377)
Suspicious function used: ['eval', 'eval'](line: 2386)
Suspicious function used: ['eval', 'eval'](line: 2404)
Suspicious function used: ['eval', 'eval', 'eval'](line: 2412)
Suspicious function used: ['base64_decode'](line: 2518)
Suspicious function used: ['parse_ini_file'](line: 2541)
Suspicious function used: ['base64_decode'](line: 2564)
Suspicious function used: ['base64_decode'](line: 2994)

=======================================================

Suspicious behavior found in: C:\xampp\htdocs\files\kidding.PHP
Full path: C:\xampp\htdocs\files\kidding.PHP
Owner: 0:0
Permission: 666
Last accessed: Tue Jun 07 13:24:58 2016
Last modified: Tue Jun 07 13:24:58 2016
Filesize: 74.0 KB

Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)

=======================================================

Suspicious behavior found in: C:\xampp\htdocs\files\OK.PHP
Full path: C:\xampp\htdocs\files\OK.PHP
Owner: 0:0
Permission: 666
Last accessed: Tue Jun 07 13:20:26 2016
Last modified: Tue Jun 07 13:20:26 2016
Filesize: 74.0 KB

Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)

=======================================================

Suspicious behavior found in: C:\xampp\htdocs\files\wtf.PHP
Full path: C:\xampp\htdocs\files\wtf.PHP
Owner: 0:0
Permission: 666
Last accessed: Tue Jun 07 13:13:24 2016
Last modified: Tue Jun 07 13:13:24 2016
Filesize: 74.0 KB

Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)
=======================================================
Status: 5 suspicious files and 0 shells

********************************************************************************
*****************
*
*
* In case you need help email us at [email protected]
*
*
*
********************************************************************************
*****************
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên