Kịch bản: Vào ngày 24 tháng 8, Bob Smith (sử dụng máy tính chạy Windows 10

có tên we8105desk) đã quay lại bàn làm việc của mình sau khi tập gym, và thấy loa máy
tính phát ra tiếng kêu lạ, hình ảnh nền trên màn hình của anh ấy đã thay đổi và các tệp
của anh ấy không thể truy cập được. Alice, đồng nghiệp của anh đã từng thấy điều này
trước đây... cô đoán máy anh đã bị dính ransomware. Sau khi nói chuyện với Bob, Alice
biết được rằng Bob đã tìm thấy một chiếc USB ở bãi đậu xe sáng nay, anh đã cắm nó vào
máy tính để kiểm tra và vô tình mở một tài liệu word trên ổ USB có tên
"Miranda_Tate_unveiled.dotm". Nắm bắt được tình hình trên, Alice bắt tay vào điều tra
nguyên nhân...
1. Đâu là địa chỉ IPv4 gần đúng nhất của user we8105desk vào ngày 24AUG2016
Thu hẹp phạm vi điều tra về tháng 8 năm 2016:

Hình 1.

Tìm kiếm địa chỉ IP của we8105desk, sắp xếp dựa theo số lần xuất hiện:

we8105desk
| stats count by src_ip
| sort-count

Hình 2.

Hình 3.

Ta thấy địa chỉ 192.168.250.100 xuất hiện nhiều lần nhất trong khoảng thời gian
đó => Địa chỉ IP của we8105desk là: 192.168.250.100
 2
Bài thực hành số xx: Tên bài thực hành
2. Trong số các signature của suricata mà phát hiện ra mã độc Cerber, đâu là cảnh
báo được gửi ít nhất? (Chỉ submit giá trị của signature ID vào câu trả lời)

cerber sourcetype=suricata
| stats count by alert.signature, alert.signature_id
| sort -count

Hình 4.

Kết quả sau khi thực hiện tìm kiếm:

Hình 5.

Hình 6.

Signature id: 2816763.

3. Tên miền nào mà mã độc Cerber cố gắng chuyển hướng người dùng khi kết
thúc quá trình mã hóa?
Tiến hành tìm kiếm bước đầu với IP nguồn từ câu 1: 192.168.250.100, Sourcetype
là dns, sắp xếp lại chúng ta thu được một bảng tuy nhiên số lượng DNS trả về có nhiều
tên miền hợp lệ bị lặp lại nhiều lần:

src_ip="192.168.250.100" sourcetype=stream:dns record_type=A

| table _time, query{}
| sort by _time

Khoa Mạng máy tính và BÁO CÁO THỰC HÀNH

Truyền thông
 3
Bài thực hành số xx: Tên bài thực hành

Hình 7.

Cải thiện query để loại bỏ các tên miền hợp lệ thường xuất hiện:

src_ip="192.168.250.100" sourcetype=stream:dns record_type=A NOT

(query{}="*microsoft.com" OR query{}="wpad" OR
query{}="*.waynecorpinc.local" OR query{}="isatap" OR query{}="*bing.com"
OR query{}="*windows.com" OR query{}="*msftncsi.com")
| table _time, query{}
| sort by _time

Ta thấy hai tên miền lạ ở đây:

Hình 8.

Vậy có vẻ lúc đầu user đã connect vào tên miền solidaritedeproximite.org sau đó
tới cuối cùng thì được chuyển về: cerberhhyed5frqa.xmfir0.win
Tên miền cuối cùng được truy cập: cerberhhyed5frqa.xmfir0.win
4. Đâu là tên miền bị nghi ngờ đầu tiên mà user we8105desk truy cập ngày
24AUG2016?
Từ câu hỏi số 3, ta có tên miền đầu tiên được truy cập là: ‘solidaritedeproximite.org’
5. Trong quá trình lây nhiễm Cerber lần đầu, một file VBS sẽ được chạy. Toàn bộ
tập lệnh trong quá trình thực thi này được khởi chạy bởi 1 tiến trình .exe, có thể

Khoa Mạng máy tính và BÁO CÁO THỰC HÀNH

Truyền thông
 4
Bài thực hành số xx: Tên bài thực hành
được tìm thấy trong một trường trong Splunk. Độ dài của giá trị của trường này
là gì? Hướng dẫn trả lời: Nhập số ký tự (tức "độ dài") của trường.

host="we8105desk" sourcetype="XmlWinEventLog:Microsoft-Windows-
Sysmon/Operational" (CommandLine="*D:\\*" OR ParentCommandLine="*D:\\*")
| eval length=len(CommandLine)
| table CommandLine, length
| sort by -length
| head 1

Hình 9.

Độ dài của trường: 4490.

6. Tên của USB được Bob Smith cắm vào là gì?
Theo tra cứu chúng ta biết rằng Window kiểm soát thông tin các thiết bị lưu trữ di
động (USB, Flash…) ở

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB

lưu ở key tên là FriendlyName.

Dùng query:

Khoa Mạng máy tính và BÁO CÁO THỰC HÀNH

Truyền thông
 5
Bài thực hành số xx: Tên bài thực hành

sourcetype=WinRegistry friendlyname
| stats count by registry_value_data

Hình 10.

Tên USB: MIRANDA_PRI

7. Bob Smith's workstation (we8105desk) đã được kết nối đến 1 máy chủ
fileserver trong lúc bùng phát ransomware. Địa chỉ IPv4 của máy chủ fileserver
trên là gì?

host="we8105desk" sourcetype=WinRegistry fileshare

| head 1

Hình 11.

Hình 12.

Địa chỉ của File server: 192.168.250.20

8. Có bao nhiêu tệp PDF riêng biệt mà ransomware đã mã hóa trên máy chủ
fileserver?
Tìm trường chứa nhiều event liên quan tới file PDF nhất:

Khoa Mạng máy tính và BÁO CÁO THỰC HÀNH

Truyền thông
 6
Bài thực hành số xx: Tên bài thực hành

*.pdf
| stats count by sourcetype
| sort -count

Hình 13.

Ta thấy rằng WinEvenLog:Security là event có chứa nhiều sự kiện liên quan tới PDF
nhất.
Thu hẹp phạm vi:

*.pdf sourcetype="wineventlog:security"
| stats count by dest
| sort -count

Hình 14.

Vậy dest có nhiều sự kiện nhất là we9041srv.waynecorpinc.local, tiến hành tìm

kiếm trên này:

sourcetype="wineventlog:security" dest="we9041srv.waynecorpinc.local"
Source_Address="192.168.250.100" Relative_Target_Name="*.pdf"
| stats dc(Relative_Target_Name)

Hình 15.

Cerber đã mã hòa 257 file trên fileserver.

Khoa Mạng máy tính và BÁO CÁO THỰC HÀNH

Truyền thông
 7
Bài thực hành số xx: Tên bài thực hành
9. Tệp VBscript được tìm thấy trong câu hỏi sô 5 thực hiện chạy file
"121214.tmp", hãy cho biết ParentProcessID của lần đầu tiên khởi chạy file trên?

121214.tmp sourcetype="XmlWinEventLog:Microsoft-Windows-
Sysmon/Operational" CommandLine=*
| table _time, CommandLine, ProcessId, ParentCommandLine, ParentProcessId
| reverse

Hình 16.

Process ID của process cha của process trên là: 3968

10. Các file mà mã độc Cerber mã hóa nằm trong máy của Bob Smith's. Có bao nhiêu
tệp file .txt bị mã hóa?
Thực hiện tìm kiếm các sự kiện liên quan đến file .txt:

host=we8105desk sourcetype="XmlWinEventLog:Microsoft-Windows-
Sysmon/Operational" *.txt
| stats count by TargetFilename

Tuy nhiên kết quả trả về cho thấy nó encrypt ở quá nhiều nơi, cần phải thu hẹp
phạm vi lại thành máy của Bob:

Hình 17.

Khoa Mạng máy tính và BÁO CÁO THỰC HÀNH

Truyền thông
 8
Bài thực hành số xx: Tên bài thực hành

host=we8105desk sourcetype="XmlWinEventLog:Microsoft-Windows-
Sysmon/Operational"
TargetFilename="C:\\Users\\bob.smith.WAYNECORPINC\\*.txt"
| stats dc(TargetFilename)

Hình 18.

Cerber đã mã hóa 406 file .txt trên máy của Bob.

11. Mã độc đã tải xuống tệp file có chứa cryptorcode của mã độc Cerber. File được
tải xuống có tên là gì?
Qua những câu hỏi trước ta đã biết rằng user đã truy cập vào một DNS lạ đó là
solidaritedeproximite.org vậy chỉ cần kiểm tra log traffic của máy user có IP là
192.168.250.100 truy cập tới hostname solidaritedeproximite.org là có thể tìm ra được
log có chứa thông tin về file đã tải:

src_ip="192.168.250.100" sourcetype=suricata
http.hostname=solidaritedeproximite.org
| table _time, http.http_method, http.hostname, http.url

Hình 19.

Hình 20.

Vậy file được tải về là: mhtr.jpg

12. Sau khi đã phân tích về hành vi mã hóa của mã độc Cerber, hãy cho biết kĩ thuật
giấu tin ("obfuscation") được sử dụng ở đây là gì?
Từ câu hỏi số 11 ta đã thấy rằng file chứa cryptor code của Cerber được tải về dưới
định dạng .jpg là một bức ảnh. Vậy ở đây kỹ thuật giấu tin được sử dụng là
“Steganography”.

Khoa Mạng máy tính và BÁO CÁO THỰC HÀNH

Truyền thông