เมื่อช่วงสงกรานต์ที่ผ่านมา นักวิจัยด้านความปลอดภัย chaignc จากทีม HexpressoCTF ได้มีเปิดเผยเทคนิคใหม่ในการโจมตี sudo ในระบบปฏิบัติการลินุกซ์เพื่อช่วยยกระดับสิทธิ์ของบัญชีผู้ใช้งานปัจจุบันให้มีสิทธิ์สูงขึ้นภายใต้ชื่อการโจมตีว่า SUDO_INJECT

ในบล็อกนี้ ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จะมาอธิบายถึงรายละเอียดการทำงานของ sudo ซึ่งทำให้เกิดเป็นช่องโหว่แบบ In-depth Vulnerability Analysis เพื่อความเข้าใจในสาเหตุการเกิดขึ้นของช่องโหว่นี้กันครับ

ทำความเข้าใจ Exploit
จากไฟล์ exploit ซึ่งปรากฎในโครงการของผู้ค้นพบช่องโหว่ เราจะมาทำความเข้าใจ exploit ซึ่งทำให้เราได้สิทธิ์ root ที่อยู่ในไฟล์ exploit.

คำว่า Threat Intelligence หรือ ข้อมูลภัยคุกคาม นั้นมักเป็นคำที่ถูกใช้และพูดถึงกันอย่างแพร่หลายในแวดวงความปลอดภัยไซเบอร์ การครอบครองข้อมูลภัยคุกคามนั้นยิ่งข้อมูลมีคุณภาพมากเท่าไหร่และมาถึงเราเร็วมากเท่าไหร่ ความเป็นต่อในการรักษาความมั่นคงปลอดภัยของระบบยิ่งมีมากขึ้นเท่านั้น

อย่างไรก็ตาม Threat Intelligence หรือ ข้อมูลภัยคุกคามมักถูกมองว่าเป็นโซลูชันหรือผลิตภัณฑ์ที่มีราคาแพง โดยเฉพาะข้อมูลภัยคุกคามเฉพาะภาคส่วนหรือข้อมูลภัยคุกคามที่มีที่มาจาก Dark Web ดังนั้นในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จะมานำเสนออีกด้านหนึ่งของการรับและใช้งานข้อมูลภัยคุกคามที่ฟรีและยังการันตีได้ถึงคุณภาพอีกด้วย ผ่านแพลตฟอร์มที่ชื่อว่า Malware Information Sharing Platform หรือ MISP ครับ

MISP คืออะไร?
MISP คือโครงการโอเพนซอร์สที่ทำให้เราสามารถรับ ส่งและเผยแพร่ข้อมูลของภัยคุกคามได้ระหว่างระบบ MISP ด้วยกัน รวมไปถึงมีฟีเจอร์ที่ทำให้เราสามารถส่งข้อมูลภัยคุกคามไปยังระบบหรืออุปกรณ์อื่นๆ ระบบ MISP ยังสามารถถูกใช้เพื่อจัดเก็บ ค้นหาและเชื่อมความสัมพันธ์โดยใช้ตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise - IOC) เพื่อค้นหาความสัมพันธ์ระหว่างเหตุการณ์การโจมตีที่เกิดขึ้นได้ด้วย
ติดตั้ง MISP ได้อย่างไรบ้าง?
MISP สามารถติดตั้งได้จากหลายช่องทาง ได้แก่

ติดตั้ง MISP โดยใช้ Vagrant
ติดตั้ง MISP โดยใช้ Docker 
ติดตั้ง MISP โดยใช้ Puppet
ติดตั้ง MISP โดยใช้ Ansible
ติดตั้ง MISP แบบอัตโนมัติด้วยสคริปต์ AutoMISP
ใช้ Cloud Image (เฉพาะ AWS)
ติดตั้งแบบ manual โดยใช้คู่มือของแต่ละระบบปฏิบัติการ

สำหรับใครที่แค่อยากลองใช้เฉยๆ ไม่อยากติดตั้งอะไรมากมาย ก็สามารถเลือกใช้ MISP ในรูปแบบของ virtual machine ซึ่งซัพพอร์ตทั้ง VMware และ VirtualBox ได้จากที่นี่
เริ่มดึงข้อมูลจากฟีดภัยคุกคามฟรี
ทุกๆ MISP instance ที่ติดตั้งจะมีรายการของฟีดภัยคุกคามฟรีพร้อมใช้งานมาให้ ซึ่งผู้ใช้งานสามารถทำการ Cache ข้อมูลที่มีอยู่แล้วมาอยู่บน instance ของเราและใช้งานต่อได้ทันที โดยดำเนินการตามขั้นตอนดังต่อไปนี้

เลือก Sync Actions ที่ Menu Bar จากนั้นเลือกที่แท็บ List Feeds
ที่หน้าต่าง Feeds - MISP จะมีรายการของฟีดที่เราสามารถดึงข้อมูลมาใช้งานได้อยู่ โดยทั่วไปนั้นจะไม่มีการดึงฟีดใดๆ มาเป็นค่าเริ่มต้น
ผู้ใช้งานสามารถเลือกดึงข้อมูลจากฟีดได้ โดยทำการเลือกแหล่งของฟีดที่ต้องการเปิด หลังจากนั้นจะปรากฎตัวเลือกให้เปิดการดึงฟีดขึ้นมา ทำการเลือก Enable selected และ Enable caching for selected เมื่อเลือกฟีดที่ต้องการใช้งานเสร็จสิ้น
คลิก Fetch and store all feed data ระบบ MISP จะเริ่มทำการดึงข้อมูลจากฟีดที่เราเลือกมาบนระบบ หรือ instance ของเรา

การตั้งค่าเกี่ยวกับ Feeds เพิ่มเติมสามารถดูได้จาก Managing Feeds
สร้างข้อมูลภัยคุกคามเพื่อเผยแพร่
ภายใต้ระบบของ MISP นั้น ตัวบ่งชี้ภัยคุกคามซึ่งโดยส่วนมากเป็นข้อมูลในลักษณะของ machine-readable นั้นจะถูกผูกภายใต้เหตุการณ์ (Event) ซึ่งแตกต่างกับข้อมูลภัยคุกคามแบบไร้รูปแบบที่ตัวบ่งชี้ภัยคุกคามจะถูกเผยแพร่เพียงอย่างเดียว ไม่มีข้อมูลแวดล้อมอื่นๆ ประกอบแต่อย่างใด

ดังนั้นหากเราต้องการเผยแพร่ข้อมูลภัยคุกคามที่เราเจอบ้าง เราสามารถทำได้โดย

ที่ Menu Bar เลือก Add Event
ที่หน้าต่าง Add Event ให้ทำการระบุข้อมูลเกี่ยวกับเหตุการณ์ที่เราพบตามหัวข้อดังต่อไปนี้

วันที่และเวลา (Date)
รูปแบบการเผยแพร่ข้อมูล (Distribution) โดยสามารถเลือกได้ว่าจะเผยแพร่เฉพาะภายในองค์กร เผยแพร่เฉพาะให้กับกลุ่มที่มีการเชื่อมต่อหรือเผยแพร่แบบไม่มีข้อจำกัด
ระดับของภัยคุกคาม (Threat Level)
สถานะการวิเคราะห์ (Analysis)
รายละเอียดของเหตุการณ์ (Event Info)

เพิ่มข้อมูลตัวบ่งชี้ภัยคุกคามหรือ Attribute ให้แก่ Event นั้นๆ โดยเลือกที่เครื่องหมายบวกบริเวณรายการ Attributes
ที่หน้า Add Attribute ให้ทำการระบุข้อมูลที่เกี่ยวข้องกับตัวบ่งชี้ภัยคุกคามตามหัวข้อดังต่อไปนี้

กลุ่มของ Attribute (Category)
ประเภทของ Attribute (Type) ซึ่งจะขึ้นอยู่กับกลุ่มของ Attribute ที่เลือก
รูปแบบการเผยแพร่ข้อมูล (Distribution) โดยสามารถตั้งค่าให้เหมือนหรือแตกต่างกับการตั้งค่าของเหตุการณ์ได้
ระบข้อมูลตัวบ่งชี้ภัยคุกคามลงในช่อง Value
ระบุรายละเอียดเพิ่มเติมเกี่ยวกับตัวบ่งชี้ภัยคุกคามได้ในช่อง Contextual Comment

หากต้องการให้เหตุการณ์และข้อมูลที่เราเพิ่มเข้าไปนั้นสามารถถูกแชร์และเข้าถึงได้ ให้ทำการเผยแพร่เหตุการณ์และข้อมูลที่เราเพิ่มเข้าไปด้วยตัวเลือก Publish event ด้วย
รับ-ส่งข้อมูลระหว่าง MISP Instance
ความสามารถที่โดดเด่นอย่างหนึ่งของ MISP คือการเป็นตัวกลางในการเชื่อมต่อเพื่อรับ-ส่งข้อมูลภัยคุกคามกับ MISP instance อื่นๆ

ในตัวอย่างด้านล่างนั้นองค์กร B (OrgB) ได้มีการสร้าง MISP instance เป็นของตนเองในชื่อ ServerB และต้องการที่จะ synchronize กับ ServerA ซึ่งเป็นขององค์กร A (OrgA) ดังนั้นจะต้องมีการดำเนินการดังต่อไปนี้

ที่ ServerA ให้ผู้ดูแลระบบทำการเพิ่ม Organization ใหม่สำหรับ OrgB ไว้ภายใต้ ServerA
ทำการสร้างบัญชีผู้ใช้งานใหม่เพื่อเป็น Sync User ซึ่งผูกไว้กับ OrgB บน ServerA
ที่ ServerB ทำการเพิ่ม MISP instance ปลายทางที่เราจะเชื่อมต่อด้วย (ในกรณีนี้คือ ServerA) โดยใช้ AuthKey ของ Sync User บน ServerA ในการยืนยันตัวตน

เมื่อดำเนินการตามขั้นตอนด้านบนเสร็จสิ้น ฝั่ง ServerB จะมีการปรากฎของปุ่มเพื่อทดสอบการเชื่อมต่อ หากการตั้งค่าทุกอย่างถูกต้องและเชื่อมต่อถึงกันได้ สถานะของระบบปลายทางจะปรากฎตามตัวอย่างด้านล่าง

ในกรณีที่ ServerA มีการดึงข้อมูลจาก MISP instance อื่นมา หากการตั้งค่า Distribution ของเหตุการณ์หรือข้อมูลภัยคุกคามนั้นไม่จำกัดเฉพาะภายใน Organization ปัจจุบันของเรา ServerB ซึ่งเชื่อมต่อเข้ามาก็จะดึงข้อมูลไปได้เช่นเดียวกัน

ทั้งนี้รูปแบบของการดึงข้อมูลจะเสมือนกับการสร้างสำเนาของข้อมูลที่มีค่า UUID เดียวกัน การแก้ไขใดๆ กับข้อมูลภัยคุกคามซึ่งอยู่ MISP instance เรานั้นจะไม่กระทบกับข้อมูลที่ผู้สร้างกำหนดไว้ตั้งแต่แรก จนกว่าเราจะทำการ Propose การแก้ไขของเราไปยังต้นน้ำ
สรุป
Malware Intelligence Sharing Platform (MISP) เป็นแพลตฟอร์มอย่างง่ายที่ช่วยให้ผู้ใช้งานหรือองค์กรเข้าถึงข้อมูลที่เกี่ยวข้อบกับภัยคุกคามได้แบบไม่เสียค่าใช้จ่าย รวมไปถึงสามารถใช้เป็นส่วนหนึ่งของระบบ Threat Intelligence ภายในองค์กรได้อย่างประสิทธิภาพ อย่างไรก็ตามนอกจากเทคโนโลยีแล้ว องค์กรควรมีการคำนึงถึงกระบวนการที่เกี่ยวข้องกับข้อมูลภัยคุกคามและการนำไปใช้เพื่อให้เกิดประโยชน์สูงสุดต่อไปด้วย

สรุปย่อ
เมื่อช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา Canonical บริษัทผู้พัฒนา Ubuntu ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ที่ได้รับชื่อเรียกว่า Dirty Sock ค้นพบโดย Chris Moberly นักวิจัยจาก Shenanigans Labs ช่องโหว่ไม่ได้เป็นปัญหาของระบบปฏิบัติการ Linux โดยตรง แต่เป็นปัญหาในส่วนของ service ที่มีชื่อว่า Snapd ซึ่งถูกติดตั้งเป็น service พื้นฐานบนระบบปฎิบัติการ Linux หลายตัว เช่น Ubuntu, Debian, Arch Linux, OpenSUSE. Solus และ Fedora ถูกใช้เพื่อจัดการเกี่ยวกับการดาวโหลดและติดตั้งไฟล์ที่เป็น snaps (.snap) แพ็กเกจ ส่งผลให้ผู้ไม่หวังดีสามารถสร้างบัญชีที่มีสิทธิ์ระดับ root (Privilege Escalation) บนเครื่องได้ ผ่านช่องโหว่ใน API ของ Snapd

(ที่มา: https://www.

Briefly Introduction to the Vulnerability
On December 19, 2018, SandboxEscaper released details about another zero-day vulnerability in Microsoft Windows with PoC. This vulnerability, if successfully attack, can be used to bypass restricted DACL of files and let the attacker to gain arbitrary access to file's content.

สรุปย่อ
เมื่อวันที่ 19 ธันวาคม 2018 ตามเวลาประเทศไทย นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านไฟล์ใดๆ บนเครื่องได้แม้แต่ไฟล์ที่ให้สิทธิ์เฉพาะผู้ใช้งานระดับ Administrator ผลกระทบที่อาจเกิดจากช่องโหว่นี้คือ ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านและสามารถคัดลอกไฟล์ได้แม้ไม่มีสิทธิ์เข้าถึงไฟล์เหล่านั้น
รายละเอียดของช่องโหว่

นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ นับเป็นช่องโหว่ที่สามแล้วที่มีการเผยแพร่ในปีนี้ โดยช่องโหว่ทั้งสามมีลักษณะคล้ายกันที่เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ได้ (Elevation of Privilege) ซึ่งสามารถอ่านรายละเอียดของช่องโหว่ที่ผ่านมาได้จาก ทำความรู้จักช่องโหว่ zero-day ใหม่ ใน Task Scheduler บน Windows และ Microsoft Windows zero-day disclosed on Twitter, again, impacts Windows 10, Server 2016, and Server 2019 only.

สรุปย่อ
นักวิจัยจาก Radboud University ประเทศเนเธอร์แลนด์ค้นพบช่องโหว่ในฟีเจอร์ Self-Encrypting Drives ที่มีใน Solid State Disk (SSD) หลายยี่ห้อ โดยฟีเจอร์ Self-Encrypting เป็นฟีเจอร์สำคัญในกระบวนการเข้ารหัสอุปกรณ์ฮาร์ดดิสก์ซึ่งจะดำเนินการโดยตัวอุปกรณ์เอง ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถข้ามผ่านกระบวนการเข้ารหัสและเข้าถึงข้อมูลที่ถูกเข้ารหัสในอุปกรณ์ดังกล่าวได้โดยไม่ต้องทราบข้อมูลที่ใช้ในการพิสูจน์ตัวตน เช่น รหัสผ่านซึ่งถูกใช้เป็นกุญแจในการเข้ารหัส ที่ผู้ใช้งานตั้งเพื่อเข้ารหัสข้อมูลดังกล่าว

นอกจากนี้ ช่องโหว่ยังกระทบกับโปรแกรมเข้ารหัส BitLocker ของ Microsoft Window ที่เป็นการเข้ารหัสข้อมูลในอุปกรณ์จัดเก็บข้อมูลโดยซอฟต์แวร์ด้วยเนื่องจาก BitLocker จะเลือกใช้การเข้ารหัสในระดับ hardware หาก SSD นั้นรองรับ

นักวิจัยผู้ค้นพบช่องโหว่ให้คำแนะนำว่าผู้ใช้ SSD ที่ต้องการเข้ารหัสไม่ควรพึ่งพาความสามารถ Self-Encrypting Drives ที่มีใน SSD เพียงอย่างเดียว โดยควรเลือกใช้ซอฟต์แวร์เข้ารหัสเพื่อเพิ่มความปลอดภัยอีกชั้นร่วมด้วย

รายละเอียด
กระบวนการเข้ารหัสแบบ full-disk encryption
ในกรณีที่ผู้ใช้งานต้องการป้องกันการเข้าถึงข้อมูลสำคัญใน harddisk หรือ Solid State Disk (SSD) ในกรณีที่สูญหายหรือถูกขโมย ผู้ใช้สามารถใช้กระบวนการ Full disk encryption ซึ่งเป็นการเข้ารหัสข้อมูลใน harddisk ทั้งลูกได้ โดยสามารถทำได้ทั้งจาก hardware และ software

โดยการทำ full-disk encryption จาก hardware สามารถทำได้หาก hardware ดังกล่าวมีความสามารถในการทำ Self-encrypting drive มาจากผู้ผลิต ในขณะเดียวกันการทำ full-disk encryption จาก software ก็สามารถทำได้จากโปรแกรมต่างๆ เช่น BitLocker, VeraCrypt, SafeGuard และ PrivateDisk เป็นต้น

อย่างไรก็ตามการเข้ารหัสโดยซอฟต์แวร์นั้นมักจะถูกมองว่ามีข้อเสียมากกว่าการใช้ฟีเจอร์การเข้ารหัสจากอุปรกร์ เพราะกุญแจเข้ารหัสมักจะปรากฏอยู่ใน RAM และทำให้ประสิทธิภาพของระบบลดลงระหว่างการเข้ารหัส
ช่องโหว่ใน Self-Encrypting Drives ที่มีใน Solid State Disk (SSD)
Carlo Meijer และ Bernard van Gastel ได้ทำการวิจัยบน SSD จากผู้ผลิตต่างๆ โดยวิเคราะห์ตามประเด็นความปลอดภัยที่อาจพบได้บนกระบวนการเข้ารหัสผ่านโดยใช้ฟีเจอร์ของอุปกรณ์ดังนี้

วิเคราะห์กระบวนการสร้างกุญแจเข้ารหัสว่ามีการสร้างกุญแจสำหรับเข้ารหัสอย่างปลอดภัยหรือไม่
ทดสอบกระบวนการจัดเก็บและใช้งานกุญแจสำหรับเข้ารหัสข้อมูลว่ามีการใช้อย่างถูกต้องและเหมาะสมหรือไม่
ทดสอบประสิทธิภาพและความมั่นคงของกระบวนการเข้ารหัสเมื่อมีปัจจัยที่เกี่ยวข้องกับฟีเจอร์ของอุปกรณ์เพิ่มเติมเข้ามา โดยตรวจสอบว่าฟีเจอร์ของอุปกรณ์มีผลกระทบต่อประสิทธิภาพของกระบวนการเข้ารหัสหรือไม่

โดยจากสมมติฐานของการวิเคราะห์นั้น Carlo และ Bernard ค้นพบข้อเท็จจริงจากสมมติฐานซึ่งนำไปสู่ความเสี่ยงและผลกระทบต่อกระบวนการเข้ารหัสโดยฮาร์ดแวร์ดังต่อไปนี้

ในอุปกรณ์บางยี่ห้อ กระบวนการสร้างกุญแจเข้ารหัสนั้นไม่ได้มีการนำหรัสผ่านที่ผู้ใช้งานระบุมาใช้ในการสร้างกุญแจเข้ารหัสด้วย โดยอาศัยเพียงแค่ค่าเฉพาะซึ่งถูกฝังมาในตัวอุปกรณ์เพียงปัจจัยเดียวเท่านั้นในการเข้ารหัส ซึ่งเป็นกระบวนการสร้างกุญแจสำหรับเข้ารหัสที่ไม่ปลอดภัย
มีการใช้กุญแจเข้ารหัสเดียวกันทั้ง disk
ในการเข้ารหัส disk นั้นอาจจะต้องมีบางส่วนที่ไม่เข้ารหัส เช่น ในการเข้ารหัสด้วยโปรแกรม BitLocker จะเหลือส่วน partition table ไว้เพื่อให้ใช้งานได้ ซึ่งเมื่อใช้กุญแจเข้ารหัสเดียวกันทั้ง disk หากมีผู้เข้าถึงส่วนที่ไม่ถูกเข้ารหัสก็จะสามารถค้นหากุญแจเข้ารหัสได้
SSD จะมีการใช้เทคนิค Wear Leveling ซึ่งเป็นวิธีการกระจายการเขียนข้อมูลออกไปให้ทั่วๆ เพื่อไม่ให้มีการเขียนข้อมูลซ้ำที่ส่วนหนึ่งส่วนใดบ่อยครั้งเกินไป ข้อดีของเทคนิคนี้คือทำให้อุปกรณ์มีอายุการใช้งานที่นานขึ้น แต่ข้อเสียคือเมื่อผู้ใช้เข้ารหัส ซึ่งต้องมีการเขียนทับข้อมูลเดิมด้วยข้อมูลที่เข้ารหัสแล้ว ด้วยเทคนิค Wear Leveling นี้อาจทำให้ข้อมูลไม่ถูกเขียนทับจริง ข้อมูลเก่าจะถือว่าไม่ถูกใช้งานแต่ยังสามารถเข้าถึงได้ ทำให้สามารถค้นหาข้อมูลที่ยังไม่ถูกเข้ารหัสได้ (กระจายแต่ไม่ลงที่เดิมเพราะสุ่มกระจาย)
DevSleep (DEVSLP) เป็นฟังก์ชั่นที่เกี่ยวข้องกับการประหยัดพลังงานที่เพิ่มเข้ามาใหม่สำหรับ SATA drive โดยเป็นระบบจัดการพลังงานที่ช่วยลดการใช้พลังงานและยืดเวลาการใช้งานแบตเตอรี่ ช่วยรักษาความสมบูรณ์ของข้อมูลและทำให้ drive สามารถกู้ระบบในกรณีที่มีการปิดการทำงานแบบไม่ปลอดภัย แต่ในขณะเดียวกันอาจถูกผู้โจมตีใช้เพื่อกู้ข้อมูลกุญแจเข้ารหัสได้

Carlo Meijer และ Bernard van Gastel ได้ผลลัพธ์งานวิจัยเป็นการพบช่องโหว่ที่ทำให้สามารถกู้คืนข้อมูลจาก drive ได้โดยไม่ต้องรู้ password โดยช่องโหว่ดังกล่าวคือช่องโหว่ CVE-2018-12037 และ CVE-2018-12038
CVE-2018-12037
ช่องโหว่ CVE-2018-12037 เป็นช่องโหว่จากข้อผิดพลาดในการทำ encryption วิธีที่ถูกต้องคือต้องมีการเชื่อม password จากผู้ใช้งานเข้ากับกุญแจเข้ารหัสภายใน hardware แต่เกิดข้อผิดพลาดโดยไม่มีการเชื่อมกันดังกล่าว ทำให้การเข้ารหัส drive ขึ้นอยู่กับกุญแจเข้ารหัสภายใน hardware เพียงอย่างเดียว หากมีผู้โจมตีเข้าถึง hardware ก็จะสามารถค้นหากุญแจเข้ารหัสภายใน hardware และใช้ถอดรหัสได้

อุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่นี้คือ

Crucial (Micron) MX100, MX200 และ MX300
Samsung T3 และ T5 portable
Samsung 840 EVO และ 850 EVO

CVE-2018-12038
ช่องโหว่ CVE-2018-12038 เกิดเมื่อทุกครั้งที่ผู้ใช้ใส่ password ใหม่จะมีการเขียนทับ key information ด้วย key information ที่ถูกเข้ารหัสแล้ว แต่เนื่องจากการเขียนทับอาจเขียนในคนละ sector ทำให้มีโอกาสที่ key information ที่ไม่ถูกเข้ารหัสจะยังปรากฏอยู่ได้

อุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่นี้คือ Samsung 840 EVO
ผลกระทบของช่องโหว่ต่อโปรแกรมเข้ารหัสอย่าง BitLocker
โปรแกรม BitLocker จาก Microsoft Window ที่เป็นการเข้ารหัสจาก Software ด้วย เพราะ BitLocker จะเลือกใช้การเข้ารหัสในระดับ hardware หาก SSD นั้นรองรับเป็นค่าตั้งต้น
คำแนะนำ
นักวิจัยได้ให้คำแนะนำเพื่อลดผลกระทบจากช่องโหว่เหล่านี้โดยว่าผู้ใช้ SSD ที่ต้องการเข้ารหัสไม่ควรพึ่งพาความสามารถ Self-Encrypting Drives ที่มีใน SSD เพียงอย่างเดียว ควรเลือกใช้โปรแกรมเข้ารหัสเพื่อเข้ารหัสจาก software ร่วมด้วย เช่น ใช้โปรแกรม VeraCrypt โดยสามารถอ่านคำแนะนำอย่างละเอียดได้จากที่นี่และที่นี่

Microsoft Window ได้ออกคำแนะนำในการในการปิดค่าตั้งต้นของ BitLocker ใช้การเข้ารหัสจาก Software เท่านั้น โดยสามารถศึกษาได้จากที่นี่
แหล่งอ้างอิง

https://www.

สรุปย่อ
บริษัทด้านความปลอดภัยบน IoT(Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ค้นพบช่องโหว่ใหม่ชื่อว่า BLEEDINGBIT ภายใน Bluetooth Low Energy (BLE) chip ที่ผลิตจาก Texas Instruments (TI) ทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถรันคำสั่งเป็นอันตรายได้จากระยะไกล (remote code execution) ส่งผลกระทบกับอุปกรณ์ที่ใช้ chip ดังกล่าวซึ่งรวมไปถึง Access point สำหรับ enterprise ที่ผลิตโดย Cisco, Meraki และ Aruba ผู้ดูแลระบบควรตรวจสอบอุปกรณ์ภายในองค์กรว่าได้รับผลกระทบหรือไม่ และทำการอัปเดตแพตช์จากผู้ผลิตเพื่อความปลอดภัย

รายละเอียด
เมื่อวันที่ 1 พฤศจิกายน 2018 บริษัทด้านความปลอดภัยบน IoT (Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ประกาศการค้นพบช่องโหว่ใหม่ ชื่อว่า BLEEDINGBIT ภายใน Bluetooth Low Energy (BLE) chip โดยบริษัท Armis เป็นผู้ค้นพบช่องโหว่ของ Bluetooth ที่ถูกตั้งชื่อว่า "BlueBorne" เมื่อปี 2017 ที่ผ่านมาอีกด้วย

ในปัจจุบัน Bluetooth Low Energy หรือ Bluetooth 4.0 ถูกใช้งานอย่างแพร่หลายในอุปกรณ์ที่ส่งข้อมูลเพียงเล็กน้อยผ่าน Bluetooth เช่น smart home, smart lock, อุปกรณ์เพื่อสุขภาพ, อุปกรณ์กีฬาอัจฉริยะ และอุปกรณ์อื่นๆ อีกมาก ซึ่ง Bluetooth Low Energy มีระยะส่งสัญญาณกว่า 100 เมตร

Armis กล่าวว่าช่องโหว่ BLEEDINGBIT นี้ส่งผลกระทบกับผู้ผลิตอุปกรณ์ทั้งหมดที่ใช้ Bluetooth Low Energy chip ที่ผลิตจาก Texas Instruments (TI) ซึ่งจะรวมไปถึง Access point สำหรับ enterprise ผลิตโดย Cisco, Meraki และ Aruba ทำให้ผลกระทบจากช่องโหว่นี้กระจายเป็นวงกว้างเพราะทั้งสามเป็นผู้ผลิตครองยอดขายอุปกรณ์ Access point กว่า 70% โดยผู้โจมตีสามารถใช้ช่องโหว่ BLEEDINGBIT เพื่อทำ remote code execution บนอุปกรณ์ที่มีช่องโหว่ได้  หากอุปกรณ์ดังกล่าวเป็น Access point สำหรับ enterprise ผู้โจมตีจะสามารถโจมตีระบบเน็ตเวิร์คขององค์กรที่ใช้อุปกรณ์ที่มีช่องโหว่ได้โดยไม่ถูกตรวจจับได้
รายละเอียดทางเทคนิค
ช่องโหว่ BLEEDINGBIT ประกอบด้วย 2 ช่องโหว่ คือ ช่องโหว่รหัส CVE-2018-16986 และ ช่องโหว่รหัส CVE-2018-7080
BLEEDINGBIT remote code execution (CVE-2018-16986)
ช่องโหว่ BLEEDINGBIT ตัวแรก (CVE-2018-16986) เป็นช่องโหว่ที่พบใน TI chip ที่ใช้ในหลายอุปกรณ์ เกิดเมื่อเปิดอุปกรณ์เปิด BLE ไว้ ผู้โจมตีที่อยู่ในระยะของสัญญาณสามารถดำเนินการโจมตีได้ในขั้นตอนดังนี้

ผู้โจมตีส่ง packet ที่สร้างมาไปยังอุปกรณ์ packet ดังกล่าวจะไม่เป็นอันตรายในตัวมันเอง แต่บรรจุ code อันตรายที่จะถูกใช้ในขั้นตอนต่อมา อุปกรณ์จะเก็บ packet ดังกล่าวไว้ใน memory ของอุปกรณ์ ซึ่ง Armis กล่าวว่าขั้นตอนนี้จะไม่สามารถตรวจจับได้ด้วย traditional security solutions
ผู้โจมตีส่ง overflow packet ไปยังอุปกรณ์ ทำให้เกิด memory overflow จนกระทั่งเกิดการรัน code ในข้อ 1

โดยเมื่อผู้โจมตีสามารถรัน code อันตรายได้แล้ว ผู้โจมตีจะสามารถติดตั้ง backdoor, ส่งคำสั่งต่างๆ ไปยังอุปกรณ์ ไปจนถึงควบคุมอุปกรณ์ดังกล่าวได้อย่างเบ็ดเสร็จ ซึ่ง Armis ได้วิจัยช่องโหว่นี้บน access point เท่านั้น ซึ่งหากผู้โจมตีสามารถควบคุม access point ได้ก็จะสามารถเข้าถึงระบบเน็ตเวิร์คได้ และสามารถโจมตีไปยังเครื่องอื่นๆ บนระบบเน็ตเวิร์คเดียวกันได้ (lateral movement)
BLEEDINGBIT remote code execution (CVE-2018-7080)
ช่องโหว่ BLEEDINGBIT ตัวที่สองนี้กระทบเฉพาะ Aruba Access Point Series 300 เนื่องจากมีการใช้ความสามารถ OAD (Over the Air firmware Download) จาก TI  ซึ่ง TI แนะนำว่าความสามารถ OAD สามารถใช้ในช่วงการพัฒนาอุปกรณ์เท่านั้นและควรปิดเมื่ออุปกรณ์อยู่ในช่วง production

ถ้า access points มีการเปิดทิ้งความสามารถ OAD ไว้ ผู้โจมตีที่อยู่ในระยะจะสามารถเข้าถึง access points, ใช้ความสามารถ OAD เป็น backdoor และ install firmware ตัวอื่นๆ เพื่อเขียนทับ operating system ให้กับ access points ได้ ทำให้ผู้โจมตีสามารถควบคุม access point ดังกล่าวได้อย่างเบ็ดเสร็จ และสามารถโจมตีต่อเนื่องได้แบบเดียวช่องโหว่แรก

ใน access points ของ Aruba มีการเปิดใช้ความสามารถ OAD ไว้ในอุปกรณ์ที่วางขายแล้ว แม้ว่าจะมีการป้องกันความสามารถ OAD โดยการใส่ hardcode รหัสผ่าน แต่ผู้โจมตีสามารถหารหัสผ่านได้จากการดักจับอัปเดตจากผู้ผลิตหรือการ reverse engineering firmware
อุปกรณ์ที่ได้รับผลกระทบ
BLEEDINGBIT remote code execution (CVE-2018-16986)
ช่องโหว่นี้ส่งผลกระทบกับ TI chip รุ่นดังนี้

CC2640 (non-R2) ที่มี BLE-STACK รุ่น 2.2.1 หรือรุ่นก่อนหน้า
CC2650 ที่มี BLE-STACK รุ่น 2.2.1หรือรุ่นก่อนหน้า
CC2640R2F ที่มี SimpleLink CC2640R2 SDK รุ่น 1.00.00.22 (BLE-STACK 3.0.0)
CC1350 ที่มี SimpleLink CC13x0 SDK รุ่น 2.20.00.38 (BLE-STACK 2.3.3) หรือรุ่นก่อนหน้า

Armis รายงานว่าช่องโหว่ใน TI chip รุ่นที่กล่าวมาจะกระทบกับอุปกรณ์ Access points ดังนี้

Cisco Access points

Cisco 1800i Aironet Access Points
Cisco 1810 Aironet Access Points
Cisco 1815i Aironet Access Points
Cisco 1815m Aironet Access Points
Cisco 1815w Aironet Access Points
Cisco 4800 Aironet Access Points
Cisco 1540 Aironet Series Outdoor Access Point

Meraki Access points

Meraki MR30H AP
Meraki MR33 AP
Meraki MR42E AP
Meraki MR53E AP
Meraki MR74

ทั้งนี้ Armis ยังไม่ทราบแน่ชัดว่ามีอุปกรณ์จากผู้ผลิตอื่นๆ ได้รับผลกระทบจากช่องโหว่นี้หรือไม่
BLEEDINGBIT remote code execution (CVE-2018-7080)
ช่องโหว่นี้ส่งผลกระทบกับ TI chip รุ่นที่มีความสามารถ OAD

cc2642r
cc2640r2
cc2640
cc2650
cc2540
cc2541

และกระทบกับอุปกรณ์ Access points ของ Aruba ดังนี้

AP-3xx and IAP-3xx series access points
AP-203R
AP-203RP
ArubaOS 6.4.4.x prior to 6.4.4.20
ArubaOS 6.5.3.x prior to 6.5.3.9
ArubaOS 6.5.4.x prior to 6.5.4.9
ArubaOS 8.x prior to 8.2.2.2
ArubaOS 8.3.x prior to 8.3.0.4

คำแนะนำ

ผู้ดูแลระบบควรตรวจสอบอุปกรณ์ว่าได้รับผลกระทบหรือไม่ และสามารถอ่านวิธีแก้ไขและค้นหาแพตช์สำหรับอัปเดตได้จาก Cisco security advisory , Aruba security advisory และ Vulnerability Note VU#317277
ควรปิดการใช้งาน BLE หากไม่จำเป็น โดยสามารถอ่านวิธีปิดการใช้งาน BLE ของ Meraki ได้จากที่นี่
ผู้ผลิตที่ใช้ TI chip อ่านรายละเอียดเพิ่มเติมและค้นหาแพตช์ของ BLE-STACK สำหรับอัปเดตได้จาก http://www.

บทนำ

อีเมลหลอกลวง (email scam) มีประวัติศาสตร์อยู่คู่กับอินเตอร์เน็ตมาอย่างช้านาน หลายๆ คนคงจะเคยได้ยินเรื่องเกี่ยวกับอีเมลหลอกลวงที่ส่งมาจากคนต่างชาติว่าคุณได้รับมรดกจำนวนหลายล้านดอลลาร์สหรัฐฯ จากญาติห่างๆ คุณเพียงต้องจ่ายเงินค่าดำเนินการเพียงไม่กี่ดอลลาร์สหรัฐฯ เพื่อรับมรดกเหล่านั้น (Advance-fee scam) หรือจะเป็นอีเมลหลอกลวงที่บอกว่าฉันรู้ความลับว่าคุณแอบเข้าเว็บไซต์หนังโป๊ ถ้าไม่อยากให้ใครรู้ต้องจ่ายเงินมาแลกกับการไม่เปิดเผยความลับเหล่านั้น (Sextortion)

วันนี้ทีมตอบสนองการโจมตีและภัยคุกคามจะมาเตือนภัยอีเมลหลอกลวงในรูปแบบ Sextortion ที่พัฒนาให้น่าเชื่อถือมากขึ้น และแพร่ระบาดมาถึงประเทศไทยแล้ว
Sextortion คืออะไร
Sextortion หรือการแบล็คเมลล์ทางเพศออนไลน์ ได้แก่ การหลอกให้เหยื่อส่งภาพลับส่วนตัวไปให้แล้วขู่ว่าจะเปิดเผย อ้างว่าแอบส่งมัลแวร์เข้ามายังเครื่องของเหยื่อเพื่อขโมยข้อมูลภาพลับหรือประวัติการเข้าถึงเว็บไซต์ต่างๆ หรือ อ้างว่าสามารถแฮกเครื่องเหยื่อมาอัดคลิประหว่างที่เหยื่อเข้าเว็บโป๊แล้วอ้างว่าจะเปิดเผย และการแบล็คเมล์อื่นๆ ที่เกี่ยวกับเรื่องส่วนตัว ซึ่งเหยื่อที่หลงเชื่อและกลัวเสียหน้าที่การงานจะยินยอมจ่ายค่าไถ่ดังกล่าวให้กับคนร้าย ซึ่งในปี 2018 นี้มี Sextortion ที่มีการพัฒนาให้น่าเชื่อถือขึ้นแพร่ระบาด 2 รูปแบบ คือ อ้างว่าสามารถแฮกรหัสผ่านของเหยื่อได้โดยมีข้อพิสูจน์เป็นการระบุรหัสผ่านที่เหยื่อใช้งานจริง และ อ้างว่าสามารถแฮกอีเมลของเหยื่อได้โดยมีข้อพิสูจน์เป็นการส่งอีเมลจากอีเมลของเหยื่อหาตัวเหยื่อเอง
รายละเอียดเกี่ยวกับภัยคุกคาม
ภัยรูปแบบที่ 1 อ้างว่าสามารถแฮกรหัสผ่านของเหยื่อได้โดยมีข้อพิสูจน์เป็นการระบุรหัสผ่านที่เหยื่อใช้งานจริง
เมื่อวันที่ 12 กรกฏาคม ปี 2018 ที่ผ่านมา บล็อก Krebs on Security ได้ออกบทความ Sextortion Scam Uses Recipient’s Hacked Passwords เพื่อเตือนเกี่ยวกับอีเมลหลอกลวงในรูปแบบนี้ โดยเหยื่อจะได้รับอีเมลจากบุคคลที่ไม่รู้จัก เนื้อหาภายในอีเมลจะขึ้นต้นว่า

“I’m aware that <substitute password formerly used by recipient here> is your password,” (ฉันทราบว่า “รหัสผ่านนี้” เป็นรหัสผ่านของคุณ) โดยลักษณะของอีเมลทั้งหมดดังรูป

อีเมลดังกล่าวมีใจความว่าผู้โจมตีนี้ทราบรหัสผ่านของเหยื่อ และได้แอบติดตามเหยื่อมานานแล้วด้วยการติดตั้ง keylogger และอัดวิดีโอผ่านเว็บแคมของเหยื่อ ผู้โจมตีขู่ว่าหากเหยื่อไม่ยอมจ่ายค่าไถ่ไปยัง BTC address ที่กำหนด ผู้โจมตีจะเผยแพร่ข้อมูลดังกล่าวให้กับรายชื่อผู้ติดต่อทั้งหมดของเหยื่อ

โดยผู้โจมตีจะทำการส่งอีเมลเหล่านี้อย่างอัตโนมัติและใช้รหัสผ่านของเหยื่อที่เคยรั่วไหลออกมาจากบริการต่างๆ เช่น กรณีข้อมูลอีเมลและรหัสผ่านของ LinkedIn รั่วไหลกว่า 160 ล้านคนในปี 2016 เป็นต้น เมื่อเหยื่อยังคงใช้รหัสผ่านดังกล่าวซ้ำในบริการอื่นๆ ก็จะเกิดความเชื่อถือและหลงโอนเงินให้กับผู้โจมตี
ภัยรูปแบบที่ 2 อ้างว่าสามารถแฮกอีเมลของเหยื่อได้โดยมีข้อพิสูจน์เป็นการส่งอีเมลจากอีเมลของเหยื่อหาตัวเหยื่อเอง
เมื่อวันที่ 12 ตุลาคม 2018 ที่ผ่านมา เว็บไซต์ Bleeping Computer ได้เผยแพร่บทความ New Sextortion Scam Pretends to Come from Your Hacked Email Account โดยผู้โจมตีจะสร้างอีเมลที่มีใจความว่าสามารถแฮกอีเมลของเหยื่อได้แล้ว ทำการปลอมแปลงผู้ส่งอีเมลเป็นตัวเหยื่อเอง และส่งอีเมลปลอมหาตัวเหยื่อ ทำให้เหยื่อหลงเชื่อว่าอีเมลดังกล่าวมาจากอีเมลของตัวเองจริงๆ และถูกแฮกแล้วจริง โดยภัยในรูปแบบที่ 2 นี้มีรายงานการค้นพบครั้งแรกในประเทศเนเธอร์แลนด์ ในวันที่ 11 ตุลาคม 2018

หลังจากนั้นได้การพบอีเมลในรูปแบบที่ 2 ถูกแปลเป็นภาษาอื่นๆ เช่น ภาษาอังกฤษ ภาษาญี่ปุ่น ภาษาสเปน และภาษาอื่นๆ อีกมาก

อีเมลปลอมดังกล่าวมีใจความว่าผู้โจมตีได้แฮกอีเมลของเหยื่อสำเร็จเป็นเวลานานแล้ว มีข้อพิสูจน์เป็นอีเมลฉบับนี้ถูกส่งมาจากอีเมลของเหยื่อเอง และได้แอบติดตามเก็บข้อมูลต่างๆ ของเหยื่อ ผู้โจมตีขู่ว่าหากเหยื่อไม่ยอมจ่ายค่าไถ่ไปยัง BTC address ที่กำหนด ผู้โจมตีจะเผยแพร่ข้อมูลดังกล่าวให้กับรายชื่อผู้ติดต่อทั้งหมดของเหยื่อ

โดยผู้โจมตีสามารถปลอมแปลงอีเมลได้จากบริการส่งอีเมลปลอม ส่งอีเมลจาก mail server องค์กรของเหยื่อที่มีการตั้งค่าอย่างไม่ปลอดภัย เป็นต้น

ทั้งนี้ ณ วันที่เขียนบทความ (18 ตุลาคม 2018) ได้มีการพบภัยทั้งสองรูปแบบแพร่ระบาดในประเทศไทยแล้ว
Recommendation
ในกรณีที่เจอภัยคุกคามแบบที่ 1

ไม่หลงเชื่อและจ่ายค่าไถ่ตามที่มีการกล่าวอ้าง
ทำการเปลี่ยนรหัสผ่านซ้ำกับรหัสผ่านที่ถูกอ้างในอีเมลบนบริการทั้งหมดที่มี
สามารถตรวจสอบว่าตัวเองเคยได้รับผลกระทบจากเหตุการณ์ข้อมูลรั่วไหลต่อสาธารณะหรือไม่เพื่อตรวจสอบความเสี่ยงได้จาก https://haveibeenpwned.

บทนำ
ถ้าพูดถึงกลุ่มก่อการร้ายทางไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ชื่อแรกที่ทุกคนนึกถึงคงจะเป็นกลุ่ม Lazarus Group หรือที่เป็นที่รู้จักในชื่อ HIDDEN COBRA และ Guardians of Peace ที่เพิ่งมีประกาศแจ้งเตือนจาก US-CERT ให้ระวังแคมเปญการโจมตีไปเมื่อไม่นานมานี้ รวมทั้งเชื่อว่าเป็นต้นเหตุของการปล่อย WannaCry ransomware ในปี 2017 การโจมตีธนาคารต่างๆ และการโจมตีบริษัท Sony Pictures ในปี 2014 แต่เมื่อวันที่ 3 ตุลาคม 2018 ที่ผ่านมา FireEye ได้ออกรายงานชิ้นใหม่เปิดเผยข้อมูลว่าแท้จริงแล้วผลงานของกลุ่มก่อการร้ายที่ถูกสื่อเรียกรวมกันว่าเป็นผลงานของ Lazarus Group เพียงกลุ่มเดียวนั้น แท้จริงแล้วเป็นผลงานของกลุ่มก่อการร้ายถึงสามกลุ่ม แบ่งออกเป็นกลุ่มที่มีเป้าหมายก่อการร้ายทางไซเบอร์สองกลุ่ม คือ TEMP.Hermit และ Lazarus Group กับกลุ่มที่มีเป้าหมายโจมตีสถาบันการเงิน คือ APT38 โดยรายงานฉบับดังกล่าวมีชื่อว่า APT38: Un-usual Suspects เน้นให้รายละเอียดของกลุ่ม APT 38 ที่แตกต่างจากกลุ่ม TEMP.Hermit และ Lazarus Group

รายละเอียด
ตั้งแต่มีการโจมตีบริษัท Sony Pictures ในปี 2014 ทั่วโลกต่างรับรู้ว่ามีกลุ่มก่อการร้ายทางไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากเกาหลีเหนือ โดยเหตุการณ์โจมตีต่างๆ ที่น่าจะเกี่ยวข้องกับเกาหลีเหนือต่างถูกเรียกรวมกันว่าเป็นฝีมือของ Lazarus Group แต่ FireEye ซึ่งเป็นบริษัทให้บริการด้านความปลอดภัยทางไซเบอร์ไม่เชื่อเช่นนั้น จากการวิเคราะห์เหตุการณ์การโจมตีต่างๆ ที่เกิดขึ้นโดยวิเคราะห์จากทั้งเป้าหมายในการโจมตี เครื่องมือที่ใช้ในการโจมตี ไปจนถึงมัลแวร์ที่ถูกใช้ในการโจมตี FireEye เชื่อว่าเหตุการณ์ทั้งหมดเกิดจากกลุ่มก่อการร้ายสามกลุ่ม ประกอบไปด้วยกลุ่มที่มีเป้าหมายก่อการร้ายทางไซเบอร์สองกลุ่ม คือ TEMP.Hermit และ Lazarus Group กับกลุ่มที่มีเป้าหมายโจมตีสถาบันการเงิน คือ APT38

เนื่องจากมีการจับตาและการให้ข้อมูลเกี่ยวกับกลุ่ม TEMP.Hermit และ Lazarus Group แล้ว FireEye จึงออกรายงาน APT38: Un-usual Suspects เพื่อให้รายละเอียดโดยเฉพาะเกี่ยวกับกลุ่ม APT38

FireEye ระบุว่ากลุ่ม APT38 เริ่มดำเนินการมาตั้งแต่ปี 2014 โดยมีเป้าหมายเพียงอย่างเดียวคือการโจรกรรมโดยโจมตีสถาบันทางการเงินต่างๆ ทั่วโลก ซึ่งกลุ่ม APT38 ได้มีความพยายามในการโจรกรรมรวมมูลค่าแล้วกว่า 1.1 พันล้านดอลลาร์สหรัฐฯ และได้เงินไปแล้วกว่า 100 ล้านดอลลาร์สหรัฐฯ

FireEye ระบุ timeline ของ APT38 ไว้ดังนี้

เดือนธันวาคม ปี 2015 โจมตี TPBank ในเวียดนาม
เดือนมกราคม ปี 2016 โจมตี Bangladesh Bank โดยเป็นการโจมตีระบบ SWIFT ภายใน
เดือนตุลาคม ปี 2017 โจมตี Far Eastern International Bank ในไต้หวัน โดยเป็นการโจมตีเพื่อถอนเงินจำนวนมากออกจาก ATM (ATM cash-out scheme)
เดือนมกราคม ปี 2018 โจมตี Bancomext ในเม็กซิโก
เดือนพฤษภาคม ปี 2018 โจมตี Banco de Chile ในชิลี

ซึ่ง FireEye เชื่อว่ากลุ่ม APT38 เริ่มต้นโจมตีเป้าหมายในเอเชียตะวันออกเฉียงใต้ในช่วงแรกของการก่อตั้ง (2014) และค่อยๆ ขยายการดำเนินการไปทั่วโลกในปัจจุบัน
เทคนิคการโจมตีของ APT38
FireEye ระบุว่าการโจมตีของ APT38 ประกอบด้วยแบบแผนที่มีลักษณะดังนี้

Information Gathering รวบรวมข้อมูล: โดยทำการค้นคว้าข้อมูลของเป้าหมาย เช่น บุคลากรภายใน และค้นคว้าข้อมูลของผู้รับเหมาที่เกี่ยวข้องกับเป้าหมายเพื่อหาทางแทรกซึมเข้าไปในระบบ SWIFT
Initial Compromise เริ่มต้นการโจมตี: โจมตีแบบซุ่มดักเหยื่อตามแหล่งน้ำ (Watering Hole Attack) และโจมตีช่องโหว่ที่ไม่ได้รับการอัปเดตของ Apache Struts2 เพื่อส่งคำสั่งไปยังระบบ
Internal Reconnaissance สำรวจระบบ: ปล่อยมัลแวร์เพื่อรวบรวม credentials, สำรวจระบบเน็ตเวิร์ค และใช้เครื่องมือที่มีอยู่ในระบบของเป้าหมายในการแสกนระบบ เช่น ใช้ Sysmon เพื่อดูข้อมูล
Pivot to Victim Servers Used for SWIFT Transactions  ค้นหาเซิร์ฟเวอร์สำหรับระบบ SWIFT: ปล่อยมัลแวร์เพิ่ม โดยเป็นมัลแวร์สำหรับค้นหาและติดตั้ง backdoor บนเซิร์ฟเวอร์สำหรับระบบ SWIFT เพื่อให้สามารถส่งคำสั่งได้โดยไม่โดนตรวจจับ
Transfer funds ขโมยเงินออกไป: ปล่อยมัลแวร์สำหรับส่งคำสั่ง SWIFT ปลอมเพื่อโอนเงินออกและแก้ไขประวัติการทำธุรกรรม โดยมักจะเป็นการโอนเงินไปยังหลายๆ บัญชีเพื่อฟอกเงิน
Destroy Evidence ทำลายหลักฐาน: ลบ log, ปล่อยมัลแวร์เพื่อลบข้อมูลในฮาร์ดดิส และอาจปล่อย ransomware ที่เป็นที่รู้จักเพื่อขัดขวางกระบวนการสอบสวนและทำลายหลักฐาน

 

โดยผู้ที่สนใจสามารถอ่านรายละเอียดเพิ่มเติมของกลุ่ม APT38 ซึ่งรวมไปถึงมัลแวร์ต่างๆ ที่ใช้ได้จาก APT38: Un-usual Suspects
ที่มา

https://content.

สรุปย่อ
วันที่ 2 ตุลาคม 2018 US-CERT ได้ออกประกาศแจ้งเตือนแคมเปญการโจมตีใหม่จากกลุ่ม HIDDEN COBRA หรือกลุ่ม Lazarus Group จากเกาหลีเหนือ แคมเปญดังกล่าวถูกตั้งชื่อว่า FASTCash เป็นการมุ่งโจมตีเพื่อทำการนำเงินออกจากเครื่อง ATM โดยหน่วยงานต่างๆ ของรัฐบาลสหรัฐฯ ได้แก่ กระทรวงความมั่นคงแห่งมาตุภูมิ กระทรวงการคลังสหรัฐฯ และสำนักงานสอบสวนกลาง (FBI) ได้ร่วมกันระบุมัลแวร์และ indicators of compromise (IOCs) ที่ถูกใช้ในแคมเปญ FASTCash ดังกล่าว และได้ระบุ IOCs ไว้ในประกาศแจ้งเตือน ซึ่ง FBI มีความมั่นใจอย่างมากว่ากลุ่ม HIDDEN COBRA กำลังใช้ IOCs เหล่านั้นเพื่อฝังตัวเข้าไปในระบบเน็ตเวิร์คของเหยื่อและโจมตีระบบเน็ตเวิร์คอยู่ในขณะนี้

รายละเอียด
กลุ่ม HIDDEN COBRA ที่เป็นที่รู้จักในชื่อ Lazarus Group และ Guardians of Peace เป็นกลุ่มที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ กลุ่ม HIDDEN COBRA เป็นต้นเหตุของการปล่อย WannaCry ransomware ในปี 2017 และการโจมตีบริษัท Sony Pictures ในปี 2014

US-CERT กล่าวว่ากลุ่ม HIDDEN COBRA ได้ใช้แคมเปญ FASTCash ในการโจมตีธนาคารในทวีปแอฟริกาและเอเชียมาตั้งแต่ปี 2016 โดยในปี 2017 HIDDEN COBRA ได้โจมตีเพื่อถอนเงินจาก ATM กว่า 30 ประเทศ และในปี 2018 HIDDEN COBRA ได้โจมตีเพื่อถอนเงินจาก ATM แบบเดียวกันไปกว่า 23 ประเทศ จากการคาดการกลุ่ม HIDDEN COBRA ได้เงินไปแล้วกว่าสิบล้านดอลลาร์สหรัฐฯ และในเวลาที่ออกประกาศฉบับนี้ (2 ตุลาคม 2018) ทางการสหรัฐฯยังไม่พบการโจมตี FASTCash ในประเทศสหรัฐอเมริกา

FASTCash เป็นการโจมตีจากระยะไกลโดยมุ่งโจมตีเพื่อยึดครอง payment switch application server ภายในธนาคารเพื่อทำธุรกรรมปลอม ทางการสหรัฐประเมินว่า HIDDEN COBRA จะใช้ FASTCash โจมตีระบบการชำระเงินรายย่อย (Retail Payment Systems) ถัดไปจากการโจมตีธนาคาร

วิธีการโจมตีของ HIDDEN COBRA จะเริ่มจากการยึด switch application server และส่งคำสั่งที่เหมือนคำสั่งปกติทั่วไปเพื่อตอบกลับคำสั่งร้องขอต่างๆ ด้วยข้อความตอบรับปลอม ขณะนี้ยังไม่ทราบวิธีที่กลุ่ม HIDDEN COBRA ใช้แพร่มัลแวร์เพื่อยึดเครื่อง payment switch application server แต่เครื่องที่เคยถูกยึดทั้งหมดใช้ระบบปฏิบัติการ IBM Advanced Interactive eXecutive (AIX) รุ่นที่ยกเลิกการ support แล้ว แต่ทั้งนี้ยังไม่มีหลักฐานว่า HIDDEN COBRA ใช้การโจมตีผ่านช่องโหว่ในระบบปฏิบัติการ AIX กลุ่ม HIDDEN COBRA มีความรู้ด้าน ISO 8583 ซึ่งเป็นมาตราฐานการรับส่งธุรกรรมการเงิน โดยมีการใช้ความรู้รวมถึง library ที่เกี่ยวกับ ISO 8583 ในการโจมตี
รายละเอียดทางเทคนิค
จากการวิเคราะห์ log และระบบที่ถูกโจมตีพบว่ากลุ่ม HIDDEN COBRA มักจะใช้มัลแวร์ที่ทำงานบน Windows ในการโจมตี ขณะนี้ยังไม่ทราบชัดเจนว่ากลุ่ม HIDDEN COBRA แพร่มัลแวร์ดังกล่าวอย่างไร แต่นักวิเคราะห์คาดว่าน่าจะเป็นการใช้ spear-phishing อีเมลไปยังพนักงานของธนาคาร เมื่อพนักงานหลงเชื่อและติดมัลแวร์ กลุ่ม HIDDEN COBRA จะทำการค้นหา switch application server และยึดเครื่องดังกล่าว

นอกจากการใช้มัลแวร์แล้ว กลุ่ม HIDDEN COBRA ยังใช้ไฟล์ AIX executable ที่เป็นไฟล์ปกติทั่วไปในระบบในการส่งคำสั่งไปยัง switch application server ที่ถูกโจมตีอีกด้วย

หลังจากยึดเครื่อง switch application server สำเร็จแล้ว กลุ่่ม HIDDEN COBRA จะส่งคำสั่งที่เหมือนคำสั่งปกติทั่วไปผ่าน command-line เพื่อปลอมแปลงพฤติกรรม เมื่อ server พบคำสั่งร้องขอต่างๆ ที่มี primary account numbers (PANs) ของกลุ่ม HIDDEN COBRA แล้วจะเกิดคำสั่งตอบสนองพิเศษเฉพาะคำสั่งร้องขอที่มีเลข PAN นั้นๆ ซึ่งแสดงในรูปที่ 1 ทำให้สร้างคำสั่งธุรกรรมปลอมเพื่อเบิกเงินออกจากเครื่อง ATM ได้

ทั้งนี้ผู้ที่สนใจสามารถอ่านรายงานการวิเคราะห์ไฟล์มัลแวร์ที่กลุ่ม HIDDEN COBRA ใช้อย่างละเอียดได้จาก MAR-10201537 – HIDDEN COBRA FASTCash-Related Malware
ผลกระทบที่อาจเกิดขึ้น
การโจมตีระบบเน็ตเวิร์คสำเร็จจะทำให้เกิดผลกระทบร้ายแรงโดยเฉพาะเมื่อระบบที่ถูกโจมตีเผยแพร่ต่อสาธารณะ องค์กรอาจจะได้รับผลกระทบดังนี้

ถูกขโมยข้อมูลที่เป็นความลับ
การดำเนินการหยุดชะงัก
เสียงบประมาณในการฟื้นฟูความเสียหาย
สูญเสียชื่อเสียงขององค์กร

วิธีตรวจจับรับมือและคำแนะนำเพิ่มเติม

แนะนำให้ผู้ดูแลระบบตรวจสอบ bash history log ของผู้ใช้งานระบบที่มีสิทธิ root ทั้งหมด ซึ่งสามารถใช้บอกได้หากมีการใช้คำสั่งใดๆ บน switch application server ผู้ดูแลระบบควรเก็บ log และตรวจสอบคำสั่งทั้งหมด
ผู้ดูแลระบบเน็ตเวิร์คควรศึกษารายงาน MAR-10201537 และตรวจสอบ IOCs ที่เกี่ยวข้องกับแคมเปญ FASTCash ของกลุ่ม HIDDEN COBRA ในระบบเน็ตเวิร์ค
มีการตรวจสอบความถูกต้องของรหัสชิปและ PIN บนบัตรเดบิต
มีการตรวจสอบว่าบัตรเดบิตนั้นออกอย่างถูกต้องหรือไม่ก่อนทำธุรกรรม
มีการใช้ระบบการยืนยันตัวสองชั้นในการเข้าถึง switch application server
ป้องกันไม่ให้เครื่องที่มีการต่ออินเตอร์เน็ตภายนอกเข้าถึงระบบเน็ตเวิร์คภายในที่มี switch application server
ป้องกันไม่ให้เครื่องที่ไม่ได้รับอนุญาตเข้าถึงระบบ
ใช้ไฟร์วอล
ใช้ Access Control Lists (ACLs) เพื่อควบคุม traffic
เข้ารหัสข้อมูลเมื่อส่งข้อมูล
คอยตรวจสอบพฤติกรรมที่ไม่ปกติ มีการ audit ธุรกรรมและ log ของระบบ สร้าง baseline ของจำนวนธุรกรรม ความถี่ของธุรกรรม เวลาในการทำธุรกรรมและคอยตรวจสอบในกรณีที่มีความผิดจาก baseline

Indicator of Compromise

IP

75.99.63.27

SHA256

10ac312c8dd02e417dd24d53c99525c29d74dcbc84730351ad7a4e0a4b1a0eba
3a5ba44f140821849de2d82d5a137c3bb5a736130dddb86b296d94e6b421594c
4a740227eeb82c20286d9c112ef95f0c1380d0e90ffb39fc75c8456db4f60756
820ca1903a30516263d630c7c08f2b95f7b65dffceb21129c51c9e21cf9551c6
a9bc09a17d55fc790568ac864e3885434a43c33834551e027adb1896a463aafc
ab88f12f0a30b4601dc26dbae57646efb77d5c6382fb25522c529437e5428629
ca9ab48d293cc84092e8db8f0ca99cb155b30c61d32a1da7cd3687de454fe86c
d465637518024262c063f4a82d799a4e40ff3381014972f24ea18bc23c3b27ee
e03dc5f1447f243cf1f305c58d95000ef4e7dbcc5c4e91154daa5acd83fea9a8
f3e521996c85c0cdb2bfb3a0fd91eb03e25ba6feef2ba3a1da844f1b17278dd
1f2cd2bc23556fb84a51467fedb89cbde7a5883f49e3cfd75a241a6f08a42d6
9ddacbcd0700dc4b9babcd09ac1cebe23a0035099cb612e6c85ff4dffd087a26

References

https://www.