🐔 “Ký sự NCSC” là chuyên mục bài viết về thời gian mình thực tập tại Trung tâm Giám sát An toàn Không gian mạng Quốc gia (National Cyber Security Center), thuộc Cục An toàn Thông tin, Bộ Thông tin và Truyền thông. Nghe tên Trung tâm thì khủng thế thôi, còn mình thì… gà, đến để “cục tác lá chanh”, học từ những bài học đơn giản nhất.

Trong chuyên mục này, mình sẽ chia sẻ những nhiệm vụ và bài tập mình đã trải qua, cũng như một vài kỷ niệm vui vẻ hay ho trong thời gian ở Trung tâm.

APCERT (viết tắt của Asia-Pacific Computer Emergency Response Team/ Hiệp hội các Tổ chức Ứng cứu Khẩn cấp Sự cố Máy tính – Mạng của các quốc gia thuộc khu vực châu Á – Thái Bình Dương) triển khai diễn tập thường niên năm 2024 với chủ đề “APT Group Attack Response: Where is Wally” nhằm nâng cao nhận thức tình huống tấn công mạng, nhất là kiểu tấn công nguy hiểm APT, tăng cường sự phối hợp phát hiện, ngăn chặn và ứng phó trong các thành viên trong khu vực.

Cũng là chương trình thường niên của quốc gia trong việc tham gia hợp tác với quốc tế và khu vực trong lĩnh vực An toàn thông tin mạng, nâng cao năng lực phát hiện, ứng phó và phối hợp của các cơ quan, tổ chức, doanh nghiệp trong nước, Cục An toàn thông tin – chủ trì là Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam vừa là đầu mối tham gia với diễn tập khu vực của APCERT, vừa triển khai diễn tập trong nước cho toàn thể thành viên mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia triển khai kịch bản của khu vực cho diễn tập trong nước theo chủ đề trên, “Ứng phó tấn công APT: Tìm lời giải cho bài toán khó”, trực tiếp tại Hà Nội và trực tuyến cho các đơn vị ở xa.*

(*) Trích Thông cáo báo chí của VNCERT/CC 2024

Trước khi đi vào bài viết này, có 2 điều bạn đọc cần lưu ý:

1. Trình độ tôi còn “gà”, nên tôi mới chỉ giải được vài inject đầu từ 01 đến 03 – và tôi cũng chỉ viết được về chúng mà thôi. Với tổng điểm 903, tôi về thứ 55 trên tổng số 123 đội thi. Kết quả thì hơi… bết bát, nhưng với một con nhóc mới tự học ATTT được 6 tháng, tôi cho là tôi có thể tự ăn mừng chiến thắng nho nhỏ của bản thân.
2. Tôi sẽ kể câu chuyện tôi được vào diễn tập trước tiên: Vì nó rất ly kì, và nó xứng đáng được biết đến. Bạn đọc quan tâm write-up vui lòng kéo thêm xuống dưới để đến chủ đề chính.

Một ngày bình thường như bao ngày khác

Tôi thấy mình giống nhân vật Tengo trong tiểu thuyết 1Q84 của Haruki Murakami, khi anh này thời thanh niên ngày nào cũng đều đều đi học Judo còn tôi thì lên NCSC dùi mài kỹ năng ‘thử bút’. Kiểu có thể bền bỉ “show up” được trong thời gian dài mà không kêu ca gì. Nhưng đời thực thì khác với tiểu thuyết, và phải chăng có lẽ tôi cũng khác Tengo trong một vài ngày tâm trạng nắng mưa.

Suốt mấy tháng “luyện ngón” mãi trên RootMe với PortSwigger, tôi đâm ra chán.

Đương trong cái hơi chán ấy, tôi gửi xe vào bãi, thấy đông hơn so với ngày thường. Chẳng hiểu sao hôm nay toàn các anh các bạn lạ hoắc, người nào người nấy ba lô to đùng đi vào trung tâm.

Vào sảnh thì tôi thấy cái standee sự kiện. Tôi đang không đeo kính, chỉ loáng thoáng thấy chữ “APT”. Bèn tiến lại gần nheo mắt nhìn thì bác bảo vệ dưới sảnh nói với theo đằng sau lưng, “Tầng 10, tầng 10 nhé”.

Vậy là tôi có gợi ý đầu tiên.

Tôi chưa hiểu gì lắm, nhưng cảm nhận là ngày hôm nay sẽ có điều gì đó hay ho.

Công cuộc trinh sát đầu tiên

Tôi vẫn bấm thang máy lên tầng 16, vào NCSC như thường lệ. Anh chị hôm nay chẳng thấy ai. Tóm được thằng bạn hôm nay lên thực tập, tôi hỏi nó có biết hôm nay Cục có sự kiện gì không. Nó ngơ ngơ chả hiểu gì. Tôi Google vội. Diễn tập? Đọc thông cáo báo chí của VNCERT. Đưa cho nó xem. “Tao không có hứng thú lắm.” Nó trả lời, khi tôi ngồi lẩm bẩm không biết liệu mình có được vào hóng hớt điều gì không.

Lúc đó là 9 giờ 10. Theo như thông báo, 9 giờ 30 sẽ bắt đầu khai mạc. Tôi có 20 phút để đi thám thính và xác định xem liệu bản thân có thể vào được hay không.

“Mày ngồi yên đấy, để tao đi ‘trinh sát’ xem mình có vào được bên trong không.” Tôi dặn dò thằng bạn, vứt lại đồ trong phòng rồi chạy đi.

Hoá ra tầng 10 là hội trường. Đập vào mắt tôi ngay dưới biển “Hội trường” lại là tấm biến “CCTV in operation” (khu vực camera an ninh đang hoạt động), thành ra tôi cũng rén.

Tôi lởn vởn ngoài sảnh đâu đó 30 giây, chỉ kịp nghe tiếng đội hậu cần Ban tổ chức í ới gọi nhau. Có một cái bàn check-in cạnh cửa. Thôi xong. Thế là phải đăng ký mới được vào à… Người ra vào càng lúc càng đông. Tôi sợ mình ở lại lâu lại càng trông khả nghi, vội chui tọt vào nhà vệ sinh.

Đi cánh cửa thứ ba

Nhìn mình trước gương, tôi bắt đầu một đoạn tự đối thoại lê thê với chính mình. Sự kiện do Cục triển khai, không biết anh chị phòng mình có ai tham gia không. Nhưng có lẽ cũng không quá khó để xin vào xem. Chỉ có một cách duy nhất. Xin sếp… Tệ nhất là mình có thể bị anh nói “Không”, còn tốt nhất là mình có thể tranh thủ học được cái gì đó.

Tôi tự tát vào mặt mình. Hít vào thở ra thật sâu. Cân đong đo đếm. Chán chê. Liệu mình có bị mắng hay phạt gì không, nếu đi như thế này…

Cuối cùng tôi rút điện thoại ra và nhắn tin cho sếp.

Nhắn xong, tôi tắt máy cái rụp, chưa sẵn sàng để nhận được câu trả lời.

5 phút trôi qua. Tôi check tin nhắn. Vẫn chưa có gì. Có thể anh ấy đang bận?

Tôi quyết định thử vận may lần cuối và quay trở lại sảnh.

---

Tóm ngay một bạn nam đang đứng bên ngoài, tôi hỏi:

“Bạn ơi, mình tham gia sự kiện đang chờ check-in phải không ạ?”

Hoá ra bạn là người của Ban tổ chức chứ không phải người tham dự như tôi tưởng. “À dạ không, chị cứ vào ký tên bình thường ạ. Tụi em đang chờ chuẩn bị hậu cần thôi ạ.”

“À thế ạ. Em cảm ơn anh. Em đang chờ bạn em một tí.”

Đúng là phải đăng ký hay được mời thế nào đó thật. Tôi lởn vởn cạnh bạn thêm vài giây lưỡng lự, đoạn lúc bạn quay lưng đi, ra vẻ như có đồng đội đang gọi điện cho tôi, đoạn bấm thang máy quay lại tầng 16.

Đứng trong thang, tôi xìu đi như cái bánh mì nhúng nước. Tôi đã sẵn sàng để đặt xuống mọi hy vọng về chuyện được tham gia. Chỉ còn một điều duy nhất. Câu trả lời từ anh sếp của tôi.

“Có gì không?” Nhìn thấy tôi thất thểu quay về, thằng bạn hỏi.

“Chưa có gì, vẫn đang chuẩn bị thôi.” Tôi tặc lưỡi. Thở dài. Thằng bạn quay ra nhìn, kiểu làm gì mà suy thế. Ngồi cạnh nó, tôi cứ làu bàu. “Ôi trời đất ơi, tao muốn đi. Chỉ quan sát thôi cũng được mà, hic!” Giận cả thế giới. Cớ sao tôi lại cùi bắp thế này, để khi có những cơ hội như vậy lại không tham gia được.

Đã 9 giờ 35 phút. Kể cả chương trình có delay, tôi cũng sẽ lỡ mất nhiều thứ nếu không sớm được vào.

Cùng lúc đó tôi nhận được tin nhắn trả lời.

“Được nhé.”

Tôi đấm hai nắm tay lên trời. Đa tạ anh, đa tạ trời đất. Cười toe.

“Tùng, rút máy tính ra đi. Giờ mày đi với tao.”

Tấn công phi kỹ thuật ứng dụng

Lúc nhận được cái gật đầu của sếp, tôi biết là mình đã nắm 80% cơ hội. Phần còn lại phụ thuộc vào kỹ năng xã hội của tôi. Nói vui vui theo nghiệp hacker, ấy là kỹ năng social engineering. Không có khả năng nói năng ra hồn thì đến cửa vẫn có thể bị đuổi về, vì anh sếp của chúng tôi không ở đó để “bảo kê”.

“Hai bạn ở đơn vị nào đây, có đăng ký tham gia diễn tập chưa ạ?” Đội check-in ngoài cửa hỏi khi chúng tôi tiến lại gần.

“Dạ, tụi em là thực tập sinh bên NCSC. Tụi em chỉ xin được vào nghe, xem các đội thi thôi ạ.”

Các anh hỏi thêm. Phòng nào, xin phép ai chưa. Ai là người quản lý các em. Tôi tìm hiểu cơ cấu Trung tâm cộng với chủ động hỏi han trước đây rồi nên biết. Không quên dùng những từ lóng nội bộ khi tôi để ý anh chị hay nói với nhau.

“À, vậy cũng được thôi. Nhưng bây giờ đang hết chỗ, các bạn chịu khó đợi ngoài này nhé.”

Chúng tôi đã vượt qua cửa ải thứ hai.

Đứng ngoài sảnh, tôi lắng tai nghe. Phát biểu khai mạc cũng chưa có gì lắm. Tôi tranh thủ bắt chuyện với các anh chị hậu cần bên ngoài.

Chúng tôi gặp các anh chị bạn bên KCSC (CLB An toàn thông tin Học viện Kỹ thuật mật mã), cả các anh từ Bách khoa. Có anh bảo anh @chungnv của chúng tôi là “đệ” của anh ấy. Hoá ra anh nào anh nấy, ai cũng thích nhận người kia là đệ 😗

Phát biểu cuối cùng cũng kết thúc. Tôi xun xoe đi theo đội hậu cần lúc bấy giờ đang kéo thêm bàn ghế cho các đội thi.

“Tụi em vào được rồi đấy. Kiếm lấy chỗ mà ngồi.” Chị gái ở bàn check-in ra hiệu. Nhìn chúng tôi cứ đứng tò te cạnh cửa, trông vào trong một cách thèm thuồng, chắc chị cũng thương.

Thằng bạn tôi tăm tia được chỗ trống. Vậy là chúng tôi đi vào.

Kế hoạch cuối cùng

“But I thought you said there were five rules?”
“Uh, oh yeah. Here’s a last one: Adventures only happen to the adventurous.”

Alex Banayan, “The Third Door”

Hai đứa nhóc chúng tôi ngồi trong góc phòng, nhớn nhác nhìn quanh. 10h sáng, diễn tập bắt đầu.

Chúng tôi không được mời hay đăng ký, dĩ nhiên là chẳng có thông tin gì cả. Email không, tin nhắn thông báo cũng không. Thậm chí diễn tập ở đâu, kiểu gì, tôi cũng chưa hình dung ra. Tôi mở căng mắt săm soi những người ngồi cạnh, tiếp tục bắt chuyện với các anh mới. “Anh cho em xem chung với có được không ạ?”

Diễn tập được triển khai bằng cuộc thi CTF theo hình thức Jeopardy. Tổng cộng 5 tiếng không nghỉ trưa, diễn ra song song với diễn tập quốc tế. Mô phỏng sau khi tấn công APT đã diễn ra, người chơi trong vai đội ứng cứu sự cố máy tính CERT tiếp nhận trao đổi thông tin từ bên bị tấn công và hỗ trợ họ trong công tác điều tra.

Việc trao đổi thông tin được thực hiện qua email, tuy nhiên BTC Việt Nam đã đơn giản hoá điều này bằng dialog thông báo thay cho việc xây dựng một hệ thống mail. Người thi cần phải tiến hành phân tích các dấu vết số và tìm kiếm câu trả lời cho các câu hỏi được đặt ra và đó cũng chính là flag cần gửi.

Lúc đầu đề bài đưa ra khá chậm. Mạng lag quay mòng mòng, đợi mãi chưa thấy có gì mới. Ban tổ chức khá bận rộn hỗ trợ người tham gia. Hai đứa chúng tôi vẫn ngồi nhìn. May mắn thay diễn tập có bác điều phối viên, bác vừa đọc đề bài vừa phân tích, tôi cũng cảm thấy bớt buồn chán. Tôi lấy giấy bút ra ghi chép vài thứ học được từ bác, có việc gì đó để làm cho đỡ vô tích sự.

Tôi ngồi cạnh một đơn vị mà các anh – tôi sớm nhận ra – có vẻ cũng không hiểu rõ lắm mình phải làm cái gì. Trên máy không có lấy một thứ công cụ cơ bản nào, IDE không, Wireshark cũng không. Hai đứa phải giải thích, bày cho các anh làm hết cái này đến cái khác. Chúng tôi hiểu, đây là diễn tập của các anh, nên dù gì thì các anh cũng phải tự làm thôi. Các anh làm bài sai bung bét cả, nhưng tôi cũng không nói gì thêm – vì có vẻ như các anh giống như bị kéo đi diễn tập hơn là muốn học được cái gì đó từ sự kiện lần này.

Tầm 11 giờ 20, chúng tôi quyết định mình phải chuyển sang quan sát những con người giỏi hơn, xem họ đang làm gì. Và tôi vẫn còn một kế hoạch muốn thử.

Chúng tôi chạy ra cạnh các bạn KCSC, lúc bấy giờ đã thay sang màu áo đỏ choét, ngồi thành đội ngay giữa phòng. Đội “đỏ” này cũng đông, các bạn đang chia đôi một nửa phân tích gói tin mạng, một nửa tiến hành dịch ngược mã độc. Tôi nhìn IDA Pro trên máy bạn với mã assembly ngay ngắn mà thấy ngỡ ngàng, cứ như mới nhìn thấy ảo thuật lần đầu trong đời.

“Tớ chỉ xem các cậu làm thôi, chứ tớ không biết gì đâu.” Tôi phân bua khi được hỏi. Dĩ nhiên là tôi đọc được hợp ngữ vì tôi học nhúng, nhưng tôi chưa làm reverse bao giờ nên chẳng biết bắt đầu từ đâu. Các bạn lại cũng khiêm tốn, cứ nhận là “tụi tớ cũng không biết gì đâu”, trong khi các bạn rõ là giỏi hơn tôi.

Trong đầu tôi vẫn tính toán phương án tác chiến cuối cùng.

“Mày lên lấy hộ tao cái máy tính với. Tao sẽ thử hỏi xem có được không.” Tôi xì xào với thằng bạn. Dù sao nó cũng sắp phải về. “Ok. Lát tao quay lại.” Nó chạy đi. Còn lại tôi và các bạn KCSC.

Anh trai ban nãy tôi nói chuyện cùng ngoài sảnh, hoá ra lại là hỗ trợ cho người điều phối chủ trì diễn tập. Thỉnh thoảng anh lại qua phía các bạn áo đỏ hỏi han tình hình, mọi người có vẻ như cùng một đội quen biết nhau.

Tôi phải tranh thủ thời cơ của mình. Có vẻ anh ấy sẽ giúp được tôi. Anh ơi, anh quay qua đây đi.

Tôi giơ tay. “Anh ơi, em hỏi xíu. Anh có thể tạo tài khoản cho tụi em tham gia thi được không ạ?”

“Cái đấy thì anh không làm được. Anh chỉ là hỗ trợ tổ chức thôi. Chỉ có sếp anh mới tạo được.” Anh ngập ngừng. “À, nhưng để anh hỏi thử sếp xem có được không nhé.”

Tôi nhìn bước anh đi mà trong đầu cầu trời khấn Phật liên hồi.

Vài phút sau anh quay lại. “Em ra chỗ anh áo trắng nhé.”

Tôi qua bàn theo hướng được chỉ. “Em đọc tên với email cho anh đi.”

Tôi lại nở nụ cười toe toét. Đoạn nhìn màn hình. Đội “NCSC” đang được tạo mới. Giây phút ấy tôi thấy mình ngầu lạ lùng, cuộc đời tôi thật là thú vị. Đúng là chuyến phiêu lưu chỉ đến với những kẻ dám phiêu lưu.

Đồng hồ của tôi thông báo email gửi về. Xong việc rồi. Tôi cảm ơn người anh nọ và quay về chỗ. Lúc bấy giờ thằng bạn cũng đã quay trở lại với chiếc ba lô, trong có laptop của tôi vừa lấy xuống từ NCSC.

Có tài khoản, có máy tính rồi thì chúng tôi vào việc thôi.

Thằng bạn đi cùng với tôi hỏi nhờ làm cái gì cũng kêu “Tao ngại lắm”, thành ra đến phút cuối tôi vẫn phải tự làm hết. Được cái nhờ lấy gì cũng làm – cụ thể là lấy máy tính, hộ chai nước, xin đĩa bánh của các anh đằng kia đi… Lúc đầu nó chỉ ngồi xem tôi làm bài, xong thấy tôi làm chí thú quá nên cũng tham gia.

Write-up

Diễn tập năm nay tôi đánh giá là tập trung vào hai mảng chính: (1) Network/ Forensic: Điều tra, phân tích các dấu vết số (phân tích gói tin, phân tích log, lịch sử….); và (2) Reverse engineering (Dịch ngược mã nguồn phần mềm, unpack các packer bảo vệ mã nguồn…).

Tôi mới chỉ học về Web Security nên tắc ngơ chả biết gì, cứ vừa đi vừa ChatGPT mà hỏi thôi. May mắn thay, kiến thức nền của tôi về mạng máy tính và hợp ngữ đã giúp tôi khá nhiều. Thế mới biết, hoá ra học Đại học mà học hành chăm chỉ tử tế thì cũng có ích phết.

Dưới đây là lời giải cho các Inject từ số 01 tới 03 mà tôi đã làm được.

Inject 01

Inject đầu tiên chưa yêu cầu chúng ta phải làm gì. Đây là dịp tốt để ôn lại kịch bản ứng phó sự cố một lượt. Tôi thì chưa biết gì, chả có gì để ôn nên lấy giấy bút ra ghi chép.

Initial Call for Assistance

Dear PANDORA-CERT,
I am Oliver, an assistant manager at the WOOF-IT Team, responsible for internal information security.

Our institute suspects a cyber incident, though the reasons are unclear, following internal reports from an employee after the issuance of a security advisory. Due to the nature of our industry, we are required to report to you. Currently, we have collected some artifacts and ask for assistance in analyzing them, as we may not have the capacity of personnel to cross-check findings, should this turn out to be something significant.

We would like to request assistance from the PANDORA-CERT team with this matter. Thank you in advance for your collaboration regarding this matter.

Best regards,
Oliver Reece Assistant Manager, IT Team WOOF Defense Research Institute

Trên đây là email thông báo từ một anh tên là Oliver của đội WOOF-IT, yêu cầu sự trợ giúp của PANDORA-CERT trong việc phân tích sâu hơn một vài chứng cứ mà họ cho là có liên quan đến một sự cố an ninh mạng. Từ chiếc email nhỏ xinh này ta rút ra vài điều:

1. Trên thực tế, không phải đội nào cũng… giỏi. Có những đội IT chỉ có thể vận hành ở mức cơ bản. Sự cố xảy ra, nếu nghiêm trọng hay phức tạp đến một mức độ nhất định, họ sẽ cần đến sự giúp đỡ. Đó là lý do có những đội ứng cứu sự cố CERT. Đã là CERT thì phải giỏi, và phải giúp được cho người khác.
2. Các đội CERT phải thiết lập sẵn một kênh liên lạc đáng tin cậy. Mọi trao đổi chỉ đi qua duy nhất kênh này, và nó phải được tổ chức hoàn chỉnh trước khi sự cố diễn ra. Tới lúc báo tin cho nhau, tất cả đều phải được an tâm về việc những thông tin được trao đổi qua đó là xác thực.
3. Nếu một người gặp sự cố thì người đó phải:
   • Báo cho bộ phận POC (point of contact) – điểm liên lạc tin cậy đã chỉ định sẵn.
   • Gửi email từ POC, chứ không phải từ email cá nhân. Không ai có thể chứng thực được email gửi từ hòm thư của bạn là do bạn gửi, đặc biệt trong lúc “nước sôi lửa bỏng”, không ai biết kẻ tấn công đã có quyền kiểm soát với những thứ gì.
   • Đội CERT tiếp nhận thông tin từ POC qua đầu mối của họ.
   • Nếu sự cố nằm ở mức độ nghiêm trọng, các liên lạc sẽ do Cơ quan điều phối quốc gia phụ trách.
4. Sau khi nhận được thông tin (email), với tư cách CERT, ta cần phải hướng dẫn phía bên kia cách thu thập bằng chứng sao cho đúng để hỗ trợ ta tốt nhất trong công tác điều tra. Ưu tiên việc “giết nhầm còn hơn bỏ sót”, vì chỉ 1% hay thậm chí 0.001% không chắc chắn, ta cũng có thể để lọt cho kẻ tấn công tiến bước xa hơn.

Inject 02

Tiếp theo ta nhận được một email nữa:

Check the Provided Network Packets for any Anomalies

Dear PANDORA-CERT,
This is Oliver from the WOOF-IT Team. Thank you for your prompt response and support.

To provide some context, I recently attended an International Cybersecurity Conference where I learned about a group of APT attackers targeting defense and other research institutes. We subsequently provided normal security advisory to our employees. After receiving this advisory, an employee reported that intermittent slowdowns were occurring. Although there could be many potential reasons for a PC to slow down, given the specificity of our institute, the legal requirement of reporting, and the recent activities of APT groups, we believe further analysis is necessary.

To investigate further, we collected artifacts from one affected PC, but we are still investigating the scope of PC affected. As we are still identifying the affected computers, we request PANDORA-CERT to perform some initial investigation on the artifacts attached to this email. The only logs the IT team was able to obtain from the PC at this moment were Chrome artifacts and email logs.

If the infection is indeed caused by a malware download, please answer this email immediately with the download link so that we may block further downloads, and provide any findings of the how or why the download was initiated.

Thank you.

Best regards,
Oliver Reece Assistant Manager, IT Team WOOF Defense Research Institute

Attachments files: Chrome artifact, Mail log files

Đính kèm với email là là một file lịch sử trình duyệt Chrome và một file Excel chứa log mail. Mở những file này lên và nghiên cứu thôi.

Riêng với file lịch sử trình duyệt Chrome, khi tải về sẽ không có extension. Nó là một file SQLite – bạn sẽ cần phải tạo database thì mới đọc được em nó. Hai đứa tụi tôi ngại cài cắm, bèn “đọc chay” bằng Notepad, thế mà lại vẫn làm được bài mới sợ.

Hình thức tấn công xâm nhập

Kẻ tấn công đã dùng hình thức nào để tấn công, xâm nhập vào tổ chức? Lưu ý: Trả lời bằng số và chỉ được trả lời 1 lần.

1. Khai thác lỗ hổng phần mềm qua CVE
2. Khai thác lỗ hổng web
3. Bruteforce mật khẩu quản trị và khai thác lỗ hổng dịch vụ nội bộ
4. Phishing qua email
5. Tấn công tài khoản MSSQL và thực hiện xp_cmdshell

4

Email của nạn nhân – người bị tấn công

Email của nạn nhân trong đợt tấn công lần này là?

eve@woof.net

Email của kẻ tấn công

Email của kẻ tấn công là gì?

anderson.daniel.A@proton.me

Tên tệp nghi ngờ là mã độc

Tên tệp tin được nghi ngờ là mã độc.

manual.zip

Nạn nhân đã tìm kiếm các thông tin gì?

Lựa chọn các mục sau:

1. ChatGPT
2. Proton
3. Gmail
4. Facebook
5. Github

Lưu ý: Chỉ được trả lời 1 lần và sắp xếp theo thứ tự từ nhỏ đến lớn, ví dụ câu trả lời là: 1,4,5

1,3

Inject 03

Sau inject thứ hai, chúng ta có được hình dung về kẻ tấn công đã có initial access (xâm nhập bước đầu) vào hệ thống như thế nào. Bước tiếp theo là đi tìm kiếm và phân tích thứ đã xâm nhập vào hệ thống, ở đây là file mã độc. Tuy nhiên, như báo cáo của anh chàng Oliver phía dưới đây, link tải về mã độc hiện đã không sử dụng được, nên chúng ta chỉ còn cách là cố gắng khôi phục lại bản nhị phân của nó nhờ phân tích gói tin mạng.

Analyze the Packet Further

Dear PANDORA-CERT,
This is Oliver from the WOOF-IT Team.

Based on the information you provided, we have confirmed that the malware infiltrated our systems via email. However, the download link is currently invalid, and the attachment is not archived, so we were unable to obtain the malware.

Since the malware was downloaded through the link, we believe it may still be possible to retrieve the binary through network packet analysis. We would like to request your assistance with this.

Malware Acquisition Request
We kindly ask your team to perform a deeper analysis of the provided network packet file and extract any malicious code present. Please send the malware in a zip file with password “infected”, its md5 hash. We just need this basic information now for confirmation of the initial affected PC so we may contain them.

We appreciate your prompt attention to this matter and thank you for your cooperation.

Thank you.

Best regards,
Oliver Reece Assistant Manager, IT Team WOOF Defense Research Institute

Attachments files: PCAP.ng

Những câu để trống là những câu tôi trả lời sai. Vì chỉ được submit đúng 1 lần, tôi không tài nào thử được thêm để tìm ra đáp án đúng.

Địa chỉ của C2 Server được sử dụng để nhận thông tin

Trả lời địa chỉ của C2 server theo dạng: IP:PORT

43.201.253.28:5000

Kẻ tấn công đã duy trì sự hiện diện (persistence)

Hãy gửi đường dẫn của tệp chương trình mà kẻ tấn công sử dụng làm backdoor duy trì sự hiện diện.

Câu lệnh C2

Mã độc đã nhận được lệnh gì từ C2 Server?

Chọn 1 trong các đáp án

1. dir
2. whoami
3. ipconfig
4. ifconfig
5. ls

Lưu ý: Trả lời bằng số, chỉ chọn 1 đáp án và chỉ trả lời 1 lần.

1

Downloader

Sau khi được thực thi, mã độc đã tải về một tệp mã độc khác, hãy trả lời url được sử dụng để tải về.

Mã hash của mã độc menual

Vui lòng trả lời mã hash md5 của mã độc menual đã được tải về.

Mã hash của tệp mã độc

Vui lòng thu thập tệp mã độc (không phải tệp nén).

Tính mã hash md5 và trả lời.

---

Các inject phía sau yêu cầu mô tả hành vi của mã độc, xác định nhóm APT dựa trên hành vi, viết Yara rule mô tả mã độc. Tôi bị kẹt ở chỗ làm reverse (chả biết làm thế nào với file mã độc trên máy và Ghidra và IDA mới cài), nên cũng dừng chân tại đó.

Dựa vào thông tin ít ỏi này và việc đọc tài liệu về các nhóm APT chương trình cung cấp, tôi trả lời thêm được 1 inject cuối cùng. Tuy nhiên vì cuộc thi đã kết thúc nên tôi không được tính điểm nữa.

Inject 06

Identify the Actors Behind a Cyberattack

Dear PANDORA-CERT,
This is Oliver from the WOOF-IT Team.

Thanks to your support, we’ve gained valuable insights into malware and attack patterns. We plan to adjust our security policies depending on whether the malware is linked to an APT attack or targets a broader audience.

We are wondering if we have become the victim of the same group as reported in the conference a week ago. Please find the presentation archive attached for reference and make a comparison of the TTP’s outlined in the archive is similar to what has been observed by PANDORA-CERT the International Cybersecurity Conference.

https://conference.apdrill.asia

We would like to ask for your assistance in determining if the malware is associated with an APT attack based on the information you have gathered so far. If you conclude that it is indeed linked to an APT group, we would appreciate knowing the identity of the group and the rationale behind your assessment.

Requested Information

1. Identification of the malware responsible for the attack
2. Rationale for concluding that it is linked to the same attack group

We greatly value your team’s expertise and experience, and we appreciate your support in obtaining this critical information.

Thank you for your assistance.

Best regards,
Oliver Reece Assistant Manager, IT Team WOOF Defense Research Institute

Identification of actors

Trả lời tên nhóm tấn công (Actor).

Wally Group

Không gì tạo động lực học hành hơn chuyện bạn tự nhận ra mình yếu kém trong một cuộc thi, nhưng tôi nghĩ điều đó tốt cho tôi.

Kết

Vì phải quay trở lại NCSC vào buổi chiều, tôi không ở lại được đến cuối để nghe chia sẻ. Song, trong quá trình “hóng hớt” khai mạc, lắng nghe điều phối, tham gia thi, tôi đúc rút được kha khá những bài học cho mình.

Mới đầu chỉ dám xin đi xem, cuối cùng tôi lại được tham gia diễn tập. Có nằm mơ tôi cũng không nghĩ mình tiến được xa đến thế.

Lời cuối, cháu xin cảm ơn các bác, em xin cảm ơn các anh chị đã tạo điều kiện để cháu/em được tham gia thi và học hỏi được nhiều điều ạ.

---

P.S. Quay lại câu chuyện tập huấn. Hơi tiếc một điều là CTF mở đề bài theo kiểu phải giải được bài trước mới được mở bài sau, lại chỉ được submit flag có 1 lần, nên em cứ tò mò muốn biết đáp án. Tìm mãi không thấy đội thi nào viết write-up về APCERT! Xin các cao nhân đã giải được viết write-up hoặc khai sáng cho em nó với ạ…

Ngoài chuyện tích cực tham gia thi thố, quan sát và hỏi han từ những người thi khác, em cũng rất tích cực ủng hộ chương trình, cụ thể là em đã đánh bay hai đĩa bánh su kem và nhón lấy hoa quả của đội này đội kia. Công tác hậu cần nói chung là ổn ạ! Nhất định em sẽ tìm cách để quay lại năm sau nếu có dịp, và mong là với một tư cách đàng hoàng và legit hơn 🙂