Briefly Introduction to the Vulnerability
On December 19, 2018, SandboxEscaper released details about another zero-day vulnerability in Microsoft Windows with PoC. This vulnerability, if successfully attack, can be used to bypass restricted DACL of files and let the attacker to gain arbitrary access to file's content.

สรุปย่อ
เมื่อวันที่ 19 ธันวาคม 2018 ตามเวลาประเทศไทย นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านไฟล์ใดๆ บนเครื่องได้แม้แต่ไฟล์ที่ให้สิทธิ์เฉพาะผู้ใช้งานระดับ Administrator ผลกระทบที่อาจเกิดจากช่องโหว่นี้คือ ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านและสามารถคัดลอกไฟล์ได้แม้ไม่มีสิทธิ์เข้าถึงไฟล์เหล่านั้น
รายละเอียดของช่องโหว่

นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ นับเป็นช่องโหว่ที่สามแล้วที่มีการเผยแพร่ในปีนี้ โดยช่องโหว่ทั้งสามมีลักษณะคล้ายกันที่เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ได้ (Elevation of Privilege) ซึ่งสามารถอ่านรายละเอียดของช่องโหว่ที่ผ่านมาได้จาก ทำความรู้จักช่องโหว่ zero-day ใหม่ ใน Task Scheduler บน Windows และ Microsoft Windows zero-day disclosed on Twitter, again, impacts Windows 10, Server 2016, and Server 2019 only.

สรุปย่อ
นักวิจัยจาก Radboud University ประเทศเนเธอร์แลนด์ค้นพบช่องโหว่ในฟีเจอร์ Self-Encrypting Drives ที่มีใน Solid State Disk (SSD) หลายยี่ห้อ โดยฟีเจอร์ Self-Encrypting เป็นฟีเจอร์สำคัญในกระบวนการเข้ารหัสอุปกรณ์ฮาร์ดดิสก์ซึ่งจะดำเนินการโดยตัวอุปกรณ์เอง ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถข้ามผ่านกระบวนการเข้ารหัสและเข้าถึงข้อมูลที่ถูกเข้ารหัสในอุปกรณ์ดังกล่าวได้โดยไม่ต้องทราบข้อมูลที่ใช้ในการพิสูจน์ตัวตน เช่น รหัสผ่านซึ่งถูกใช้เป็นกุญแจในการเข้ารหัส ที่ผู้ใช้งานตั้งเพื่อเข้ารหัสข้อมูลดังกล่าว

นอกจากนี้ ช่องโหว่ยังกระทบกับโปรแกรมเข้ารหัส BitLocker ของ Microsoft Window ที่เป็นการเข้ารหัสข้อมูลในอุปกรณ์จัดเก็บข้อมูลโดยซอฟต์แวร์ด้วยเนื่องจาก BitLocker จะเลือกใช้การเข้ารหัสในระดับ hardware หาก SSD นั้นรองรับ

นักวิจัยผู้ค้นพบช่องโหว่ให้คำแนะนำว่าผู้ใช้ SSD ที่ต้องการเข้ารหัสไม่ควรพึ่งพาความสามารถ Self-Encrypting Drives ที่มีใน SSD เพียงอย่างเดียว โดยควรเลือกใช้ซอฟต์แวร์เข้ารหัสเพื่อเพิ่มความปลอดภัยอีกชั้นร่วมด้วย

รายละเอียด
กระบวนการเข้ารหัสแบบ full-disk encryption
ในกรณีที่ผู้ใช้งานต้องการป้องกันการเข้าถึงข้อมูลสำคัญใน harddisk หรือ Solid State Disk (SSD) ในกรณีที่สูญหายหรือถูกขโมย ผู้ใช้สามารถใช้กระบวนการ Full disk encryption ซึ่งเป็นการเข้ารหัสข้อมูลใน harddisk ทั้งลูกได้ โดยสามารถทำได้ทั้งจาก hardware และ software

โดยการทำ full-disk encryption จาก hardware สามารถทำได้หาก hardware ดังกล่าวมีความสามารถในการทำ Self-encrypting drive มาจากผู้ผลิต ในขณะเดียวกันการทำ full-disk encryption จาก software ก็สามารถทำได้จากโปรแกรมต่างๆ เช่น BitLocker, VeraCrypt, SafeGuard และ PrivateDisk เป็นต้น

อย่างไรก็ตามการเข้ารหัสโดยซอฟต์แวร์นั้นมักจะถูกมองว่ามีข้อเสียมากกว่าการใช้ฟีเจอร์การเข้ารหัสจากอุปรกร์ เพราะกุญแจเข้ารหัสมักจะปรากฏอยู่ใน RAM และทำให้ประสิทธิภาพของระบบลดลงระหว่างการเข้ารหัส
ช่องโหว่ใน Self-Encrypting Drives ที่มีใน Solid State Disk (SSD)
Carlo Meijer และ Bernard van Gastel ได้ทำการวิจัยบน SSD จากผู้ผลิตต่างๆ โดยวิเคราะห์ตามประเด็นความปลอดภัยที่อาจพบได้บนกระบวนการเข้ารหัสผ่านโดยใช้ฟีเจอร์ของอุปกรณ์ดังนี้

วิเคราะห์กระบวนการสร้างกุญแจเข้ารหัสว่ามีการสร้างกุญแจสำหรับเข้ารหัสอย่างปลอดภัยหรือไม่
ทดสอบกระบวนการจัดเก็บและใช้งานกุญแจสำหรับเข้ารหัสข้อมูลว่ามีการใช้อย่างถูกต้องและเหมาะสมหรือไม่
ทดสอบประสิทธิภาพและความมั่นคงของกระบวนการเข้ารหัสเมื่อมีปัจจัยที่เกี่ยวข้องกับฟีเจอร์ของอุปกรณ์เพิ่มเติมเข้ามา โดยตรวจสอบว่าฟีเจอร์ของอุปกรณ์มีผลกระทบต่อประสิทธิภาพของกระบวนการเข้ารหัสหรือไม่

โดยจากสมมติฐานของการวิเคราะห์นั้น Carlo และ Bernard ค้นพบข้อเท็จจริงจากสมมติฐานซึ่งนำไปสู่ความเสี่ยงและผลกระทบต่อกระบวนการเข้ารหัสโดยฮาร์ดแวร์ดังต่อไปนี้

ในอุปกรณ์บางยี่ห้อ กระบวนการสร้างกุญแจเข้ารหัสนั้นไม่ได้มีการนำหรัสผ่านที่ผู้ใช้งานระบุมาใช้ในการสร้างกุญแจเข้ารหัสด้วย โดยอาศัยเพียงแค่ค่าเฉพาะซึ่งถูกฝังมาในตัวอุปกรณ์เพียงปัจจัยเดียวเท่านั้นในการเข้ารหัส ซึ่งเป็นกระบวนการสร้างกุญแจสำหรับเข้ารหัสที่ไม่ปลอดภัย
มีการใช้กุญแจเข้ารหัสเดียวกันทั้ง disk
ในการเข้ารหัส disk นั้นอาจจะต้องมีบางส่วนที่ไม่เข้ารหัส เช่น ในการเข้ารหัสด้วยโปรแกรม BitLocker จะเหลือส่วน partition table ไว้เพื่อให้ใช้งานได้ ซึ่งเมื่อใช้กุญแจเข้ารหัสเดียวกันทั้ง disk หากมีผู้เข้าถึงส่วนที่ไม่ถูกเข้ารหัสก็จะสามารถค้นหากุญแจเข้ารหัสได้
SSD จะมีการใช้เทคนิค Wear Leveling ซึ่งเป็นวิธีการกระจายการเขียนข้อมูลออกไปให้ทั่วๆ เพื่อไม่ให้มีการเขียนข้อมูลซ้ำที่ส่วนหนึ่งส่วนใดบ่อยครั้งเกินไป ข้อดีของเทคนิคนี้คือทำให้อุปกรณ์มีอายุการใช้งานที่นานขึ้น แต่ข้อเสียคือเมื่อผู้ใช้เข้ารหัส ซึ่งต้องมีการเขียนทับข้อมูลเดิมด้วยข้อมูลที่เข้ารหัสแล้ว ด้วยเทคนิค Wear Leveling นี้อาจทำให้ข้อมูลไม่ถูกเขียนทับจริง ข้อมูลเก่าจะถือว่าไม่ถูกใช้งานแต่ยังสามารถเข้าถึงได้ ทำให้สามารถค้นหาข้อมูลที่ยังไม่ถูกเข้ารหัสได้ (กระจายแต่ไม่ลงที่เดิมเพราะสุ่มกระจาย)
DevSleep (DEVSLP) เป็นฟังก์ชั่นที่เกี่ยวข้องกับการประหยัดพลังงานที่เพิ่มเข้ามาใหม่สำหรับ SATA drive โดยเป็นระบบจัดการพลังงานที่ช่วยลดการใช้พลังงานและยืดเวลาการใช้งานแบตเตอรี่ ช่วยรักษาความสมบูรณ์ของข้อมูลและทำให้ drive สามารถกู้ระบบในกรณีที่มีการปิดการทำงานแบบไม่ปลอดภัย แต่ในขณะเดียวกันอาจถูกผู้โจมตีใช้เพื่อกู้ข้อมูลกุญแจเข้ารหัสได้

Carlo Meijer และ Bernard van Gastel ได้ผลลัพธ์งานวิจัยเป็นการพบช่องโหว่ที่ทำให้สามารถกู้คืนข้อมูลจาก drive ได้โดยไม่ต้องรู้ password โดยช่องโหว่ดังกล่าวคือช่องโหว่ CVE-2018-12037 และ CVE-2018-12038
CVE-2018-12037
ช่องโหว่ CVE-2018-12037 เป็นช่องโหว่จากข้อผิดพลาดในการทำ encryption วิธีที่ถูกต้องคือต้องมีการเชื่อม password จากผู้ใช้งานเข้ากับกุญแจเข้ารหัสภายใน hardware แต่เกิดข้อผิดพลาดโดยไม่มีการเชื่อมกันดังกล่าว ทำให้การเข้ารหัส drive ขึ้นอยู่กับกุญแจเข้ารหัสภายใน hardware เพียงอย่างเดียว หากมีผู้โจมตีเข้าถึง hardware ก็จะสามารถค้นหากุญแจเข้ารหัสภายใน hardware และใช้ถอดรหัสได้

อุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่นี้คือ

Crucial (Micron) MX100, MX200 และ MX300
Samsung T3 และ T5 portable
Samsung 840 EVO และ 850 EVO

CVE-2018-12038
ช่องโหว่ CVE-2018-12038 เกิดเมื่อทุกครั้งที่ผู้ใช้ใส่ password ใหม่จะมีการเขียนทับ key information ด้วย key information ที่ถูกเข้ารหัสแล้ว แต่เนื่องจากการเขียนทับอาจเขียนในคนละ sector ทำให้มีโอกาสที่ key information ที่ไม่ถูกเข้ารหัสจะยังปรากฏอยู่ได้

อุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่นี้คือ Samsung 840 EVO
ผลกระทบของช่องโหว่ต่อโปรแกรมเข้ารหัสอย่าง BitLocker
โปรแกรม BitLocker จาก Microsoft Window ที่เป็นการเข้ารหัสจาก Software ด้วย เพราะ BitLocker จะเลือกใช้การเข้ารหัสในระดับ hardware หาก SSD นั้นรองรับเป็นค่าตั้งต้น
คำแนะนำ
นักวิจัยได้ให้คำแนะนำเพื่อลดผลกระทบจากช่องโหว่เหล่านี้โดยว่าผู้ใช้ SSD ที่ต้องการเข้ารหัสไม่ควรพึ่งพาความสามารถ Self-Encrypting Drives ที่มีใน SSD เพียงอย่างเดียว ควรเลือกใช้โปรแกรมเข้ารหัสเพื่อเข้ารหัสจาก software ร่วมด้วย เช่น ใช้โปรแกรม VeraCrypt โดยสามารถอ่านคำแนะนำอย่างละเอียดได้จากที่นี่และที่นี่

Microsoft Window ได้ออกคำแนะนำในการในการปิดค่าตั้งต้นของ BitLocker ใช้การเข้ารหัสจาก Software เท่านั้น โดยสามารถศึกษาได้จากที่นี่
แหล่งอ้างอิง

https://www.

สรุปย่อ
บริษัทด้านความปลอดภัยบน IoT(Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ค้นพบช่องโหว่ใหม่ชื่อว่า BLEEDINGBIT ภายใน Bluetooth Low Energy (BLE) chip ที่ผลิตจาก Texas Instruments (TI) ทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถรันคำสั่งเป็นอันตรายได้จากระยะไกล (remote code execution) ส่งผลกระทบกับอุปกรณ์ที่ใช้ chip ดังกล่าวซึ่งรวมไปถึง Access point สำหรับ enterprise ที่ผลิตโดย Cisco, Meraki และ Aruba ผู้ดูแลระบบควรตรวจสอบอุปกรณ์ภายในองค์กรว่าได้รับผลกระทบหรือไม่ และทำการอัปเดตแพตช์จากผู้ผลิตเพื่อความปลอดภัย

รายละเอียด
เมื่อวันที่ 1 พฤศจิกายน 2018 บริษัทด้านความปลอดภัยบน IoT (Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ประกาศการค้นพบช่องโหว่ใหม่ ชื่อว่า BLEEDINGBIT ภายใน Bluetooth Low Energy (BLE) chip โดยบริษัท Armis เป็นผู้ค้นพบช่องโหว่ของ Bluetooth ที่ถูกตั้งชื่อว่า "BlueBorne" เมื่อปี 2017 ที่ผ่านมาอีกด้วย

ในปัจจุบัน Bluetooth Low Energy หรือ Bluetooth 4.0 ถูกใช้งานอย่างแพร่หลายในอุปกรณ์ที่ส่งข้อมูลเพียงเล็กน้อยผ่าน Bluetooth เช่น smart home, smart lock, อุปกรณ์เพื่อสุขภาพ, อุปกรณ์กีฬาอัจฉริยะ และอุปกรณ์อื่นๆ อีกมาก ซึ่ง Bluetooth Low Energy มีระยะส่งสัญญาณกว่า 100 เมตร

Armis กล่าวว่าช่องโหว่ BLEEDINGBIT นี้ส่งผลกระทบกับผู้ผลิตอุปกรณ์ทั้งหมดที่ใช้ Bluetooth Low Energy chip ที่ผลิตจาก Texas Instruments (TI) ซึ่งจะรวมไปถึง Access point สำหรับ enterprise ผลิตโดย Cisco, Meraki และ Aruba ทำให้ผลกระทบจากช่องโหว่นี้กระจายเป็นวงกว้างเพราะทั้งสามเป็นผู้ผลิตครองยอดขายอุปกรณ์ Access point กว่า 70% โดยผู้โจมตีสามารถใช้ช่องโหว่ BLEEDINGBIT เพื่อทำ remote code execution บนอุปกรณ์ที่มีช่องโหว่ได้  หากอุปกรณ์ดังกล่าวเป็น Access point สำหรับ enterprise ผู้โจมตีจะสามารถโจมตีระบบเน็ตเวิร์คขององค์กรที่ใช้อุปกรณ์ที่มีช่องโหว่ได้โดยไม่ถูกตรวจจับได้
รายละเอียดทางเทคนิค
ช่องโหว่ BLEEDINGBIT ประกอบด้วย 2 ช่องโหว่ คือ ช่องโหว่รหัส CVE-2018-16986 และ ช่องโหว่รหัส CVE-2018-7080
BLEEDINGBIT remote code execution (CVE-2018-16986)
ช่องโหว่ BLEEDINGBIT ตัวแรก (CVE-2018-16986) เป็นช่องโหว่ที่พบใน TI chip ที่ใช้ในหลายอุปกรณ์ เกิดเมื่อเปิดอุปกรณ์เปิด BLE ไว้ ผู้โจมตีที่อยู่ในระยะของสัญญาณสามารถดำเนินการโจมตีได้ในขั้นตอนดังนี้

ผู้โจมตีส่ง packet ที่สร้างมาไปยังอุปกรณ์ packet ดังกล่าวจะไม่เป็นอันตรายในตัวมันเอง แต่บรรจุ code อันตรายที่จะถูกใช้ในขั้นตอนต่อมา อุปกรณ์จะเก็บ packet ดังกล่าวไว้ใน memory ของอุปกรณ์ ซึ่ง Armis กล่าวว่าขั้นตอนนี้จะไม่สามารถตรวจจับได้ด้วย traditional security solutions
ผู้โจมตีส่ง overflow packet ไปยังอุปกรณ์ ทำให้เกิด memory overflow จนกระทั่งเกิดการรัน code ในข้อ 1

โดยเมื่อผู้โจมตีสามารถรัน code อันตรายได้แล้ว ผู้โจมตีจะสามารถติดตั้ง backdoor, ส่งคำสั่งต่างๆ ไปยังอุปกรณ์ ไปจนถึงควบคุมอุปกรณ์ดังกล่าวได้อย่างเบ็ดเสร็จ ซึ่ง Armis ได้วิจัยช่องโหว่นี้บน access point เท่านั้น ซึ่งหากผู้โจมตีสามารถควบคุม access point ได้ก็จะสามารถเข้าถึงระบบเน็ตเวิร์คได้ และสามารถโจมตีไปยังเครื่องอื่นๆ บนระบบเน็ตเวิร์คเดียวกันได้ (lateral movement)
BLEEDINGBIT remote code execution (CVE-2018-7080)
ช่องโหว่ BLEEDINGBIT ตัวที่สองนี้กระทบเฉพาะ Aruba Access Point Series 300 เนื่องจากมีการใช้ความสามารถ OAD (Over the Air firmware Download) จาก TI  ซึ่ง TI แนะนำว่าความสามารถ OAD สามารถใช้ในช่วงการพัฒนาอุปกรณ์เท่านั้นและควรปิดเมื่ออุปกรณ์อยู่ในช่วง production

ถ้า access points มีการเปิดทิ้งความสามารถ OAD ไว้ ผู้โจมตีที่อยู่ในระยะจะสามารถเข้าถึง access points, ใช้ความสามารถ OAD เป็น backdoor และ install firmware ตัวอื่นๆ เพื่อเขียนทับ operating system ให้กับ access points ได้ ทำให้ผู้โจมตีสามารถควบคุม access point ดังกล่าวได้อย่างเบ็ดเสร็จ และสามารถโจมตีต่อเนื่องได้แบบเดียวช่องโหว่แรก

ใน access points ของ Aruba มีการเปิดใช้ความสามารถ OAD ไว้ในอุปกรณ์ที่วางขายแล้ว แม้ว่าจะมีการป้องกันความสามารถ OAD โดยการใส่ hardcode รหัสผ่าน แต่ผู้โจมตีสามารถหารหัสผ่านได้จากการดักจับอัปเดตจากผู้ผลิตหรือการ reverse engineering firmware
อุปกรณ์ที่ได้รับผลกระทบ
BLEEDINGBIT remote code execution (CVE-2018-16986)
ช่องโหว่นี้ส่งผลกระทบกับ TI chip รุ่นดังนี้

CC2640 (non-R2) ที่มี BLE-STACK รุ่น 2.2.1 หรือรุ่นก่อนหน้า
CC2650 ที่มี BLE-STACK รุ่น 2.2.1หรือรุ่นก่อนหน้า
CC2640R2F ที่มี SimpleLink CC2640R2 SDK รุ่น 1.00.00.22 (BLE-STACK 3.0.0)
CC1350 ที่มี SimpleLink CC13x0 SDK รุ่น 2.20.00.38 (BLE-STACK 2.3.3) หรือรุ่นก่อนหน้า

Armis รายงานว่าช่องโหว่ใน TI chip รุ่นที่กล่าวมาจะกระทบกับอุปกรณ์ Access points ดังนี้

Cisco Access points

Cisco 1800i Aironet Access Points
Cisco 1810 Aironet Access Points
Cisco 1815i Aironet Access Points
Cisco 1815m Aironet Access Points
Cisco 1815w Aironet Access Points
Cisco 4800 Aironet Access Points
Cisco 1540 Aironet Series Outdoor Access Point

Meraki Access points

Meraki MR30H AP
Meraki MR33 AP
Meraki MR42E AP
Meraki MR53E AP
Meraki MR74

ทั้งนี้ Armis ยังไม่ทราบแน่ชัดว่ามีอุปกรณ์จากผู้ผลิตอื่นๆ ได้รับผลกระทบจากช่องโหว่นี้หรือไม่
BLEEDINGBIT remote code execution (CVE-2018-7080)
ช่องโหว่นี้ส่งผลกระทบกับ TI chip รุ่นที่มีความสามารถ OAD

cc2642r
cc2640r2
cc2640
cc2650
cc2540
cc2541

และกระทบกับอุปกรณ์ Access points ของ Aruba ดังนี้

AP-3xx and IAP-3xx series access points
AP-203R
AP-203RP
ArubaOS 6.4.4.x prior to 6.4.4.20
ArubaOS 6.5.3.x prior to 6.5.3.9
ArubaOS 6.5.4.x prior to 6.5.4.9
ArubaOS 8.x prior to 8.2.2.2
ArubaOS 8.3.x prior to 8.3.0.4

คำแนะนำ

ผู้ดูแลระบบควรตรวจสอบอุปกรณ์ว่าได้รับผลกระทบหรือไม่ และสามารถอ่านวิธีแก้ไขและค้นหาแพตช์สำหรับอัปเดตได้จาก Cisco security advisory , Aruba security advisory และ Vulnerability Note VU#317277
ควรปิดการใช้งาน BLE หากไม่จำเป็น โดยสามารถอ่านวิธีปิดการใช้งาน BLE ของ Meraki ได้จากที่นี่
ผู้ผลิตที่ใช้ TI chip อ่านรายละเอียดเพิ่มเติมและค้นหาแพตช์ของ BLE-STACK สำหรับอัปเดตได้จาก http://www.

บทนำ

อีเมลหลอกลวง (email scam) มีประวัติศาสตร์อยู่คู่กับอินเตอร์เน็ตมาอย่างช้านาน หลายๆ คนคงจะเคยได้ยินเรื่องเกี่ยวกับอีเมลหลอกลวงที่ส่งมาจากคนต่างชาติว่าคุณได้รับมรดกจำนวนหลายล้านดอลลาร์สหรัฐฯ จากญาติห่างๆ คุณเพียงต้องจ่ายเงินค่าดำเนินการเพียงไม่กี่ดอลลาร์สหรัฐฯ เพื่อรับมรดกเหล่านั้น (Advance-fee scam) หรือจะเป็นอีเมลหลอกลวงที่บอกว่าฉันรู้ความลับว่าคุณแอบเข้าเว็บไซต์หนังโป๊ ถ้าไม่อยากให้ใครรู้ต้องจ่ายเงินมาแลกกับการไม่เปิดเผยความลับเหล่านั้น (Sextortion)

วันนี้ทีมตอบสนองการโจมตีและภัยคุกคามจะมาเตือนภัยอีเมลหลอกลวงในรูปแบบ Sextortion ที่พัฒนาให้น่าเชื่อถือมากขึ้น และแพร่ระบาดมาถึงประเทศไทยแล้ว
Sextortion คืออะไร
Sextortion หรือการแบล็คเมลล์ทางเพศออนไลน์ ได้แก่ การหลอกให้เหยื่อส่งภาพลับส่วนตัวไปให้แล้วขู่ว่าจะเปิดเผย อ้างว่าแอบส่งมัลแวร์เข้ามายังเครื่องของเหยื่อเพื่อขโมยข้อมูลภาพลับหรือประวัติการเข้าถึงเว็บไซต์ต่างๆ หรือ อ้างว่าสามารถแฮกเครื่องเหยื่อมาอัดคลิประหว่างที่เหยื่อเข้าเว็บโป๊แล้วอ้างว่าจะเปิดเผย และการแบล็คเมล์อื่นๆ ที่เกี่ยวกับเรื่องส่วนตัว ซึ่งเหยื่อที่หลงเชื่อและกลัวเสียหน้าที่การงานจะยินยอมจ่ายค่าไถ่ดังกล่าวให้กับคนร้าย ซึ่งในปี 2018 นี้มี Sextortion ที่มีการพัฒนาให้น่าเชื่อถือขึ้นแพร่ระบาด 2 รูปแบบ คือ อ้างว่าสามารถแฮกรหัสผ่านของเหยื่อได้โดยมีข้อพิสูจน์เป็นการระบุรหัสผ่านที่เหยื่อใช้งานจริง และ อ้างว่าสามารถแฮกอีเมลของเหยื่อได้โดยมีข้อพิสูจน์เป็นการส่งอีเมลจากอีเมลของเหยื่อหาตัวเหยื่อเอง
รายละเอียดเกี่ยวกับภัยคุกคาม
ภัยรูปแบบที่ 1 อ้างว่าสามารถแฮกรหัสผ่านของเหยื่อได้โดยมีข้อพิสูจน์เป็นการระบุรหัสผ่านที่เหยื่อใช้งานจริง
เมื่อวันที่ 12 กรกฏาคม ปี 2018 ที่ผ่านมา บล็อก Krebs on Security ได้ออกบทความ Sextortion Scam Uses Recipient’s Hacked Passwords เพื่อเตือนเกี่ยวกับอีเมลหลอกลวงในรูปแบบนี้ โดยเหยื่อจะได้รับอีเมลจากบุคคลที่ไม่รู้จัก เนื้อหาภายในอีเมลจะขึ้นต้นว่า

“I’m aware that <substitute password formerly used by recipient here> is your password,” (ฉันทราบว่า “รหัสผ่านนี้” เป็นรหัสผ่านของคุณ) โดยลักษณะของอีเมลทั้งหมดดังรูป

อีเมลดังกล่าวมีใจความว่าผู้โจมตีนี้ทราบรหัสผ่านของเหยื่อ และได้แอบติดตามเหยื่อมานานแล้วด้วยการติดตั้ง keylogger และอัดวิดีโอผ่านเว็บแคมของเหยื่อ ผู้โจมตีขู่ว่าหากเหยื่อไม่ยอมจ่ายค่าไถ่ไปยัง BTC address ที่กำหนด ผู้โจมตีจะเผยแพร่ข้อมูลดังกล่าวให้กับรายชื่อผู้ติดต่อทั้งหมดของเหยื่อ

โดยผู้โจมตีจะทำการส่งอีเมลเหล่านี้อย่างอัตโนมัติและใช้รหัสผ่านของเหยื่อที่เคยรั่วไหลออกมาจากบริการต่างๆ เช่น กรณีข้อมูลอีเมลและรหัสผ่านของ LinkedIn รั่วไหลกว่า 160 ล้านคนในปี 2016 เป็นต้น เมื่อเหยื่อยังคงใช้รหัสผ่านดังกล่าวซ้ำในบริการอื่นๆ ก็จะเกิดความเชื่อถือและหลงโอนเงินให้กับผู้โจมตี
ภัยรูปแบบที่ 2 อ้างว่าสามารถแฮกอีเมลของเหยื่อได้โดยมีข้อพิสูจน์เป็นการส่งอีเมลจากอีเมลของเหยื่อหาตัวเหยื่อเอง
เมื่อวันที่ 12 ตุลาคม 2018 ที่ผ่านมา เว็บไซต์ Bleeping Computer ได้เผยแพร่บทความ New Sextortion Scam Pretends to Come from Your Hacked Email Account โดยผู้โจมตีจะสร้างอีเมลที่มีใจความว่าสามารถแฮกอีเมลของเหยื่อได้แล้ว ทำการปลอมแปลงผู้ส่งอีเมลเป็นตัวเหยื่อเอง และส่งอีเมลปลอมหาตัวเหยื่อ ทำให้เหยื่อหลงเชื่อว่าอีเมลดังกล่าวมาจากอีเมลของตัวเองจริงๆ และถูกแฮกแล้วจริง โดยภัยในรูปแบบที่ 2 นี้มีรายงานการค้นพบครั้งแรกในประเทศเนเธอร์แลนด์ ในวันที่ 11 ตุลาคม 2018

หลังจากนั้นได้การพบอีเมลในรูปแบบที่ 2 ถูกแปลเป็นภาษาอื่นๆ เช่น ภาษาอังกฤษ ภาษาญี่ปุ่น ภาษาสเปน และภาษาอื่นๆ อีกมาก

อีเมลปลอมดังกล่าวมีใจความว่าผู้โจมตีได้แฮกอีเมลของเหยื่อสำเร็จเป็นเวลานานแล้ว มีข้อพิสูจน์เป็นอีเมลฉบับนี้ถูกส่งมาจากอีเมลของเหยื่อเอง และได้แอบติดตามเก็บข้อมูลต่างๆ ของเหยื่อ ผู้โจมตีขู่ว่าหากเหยื่อไม่ยอมจ่ายค่าไถ่ไปยัง BTC address ที่กำหนด ผู้โจมตีจะเผยแพร่ข้อมูลดังกล่าวให้กับรายชื่อผู้ติดต่อทั้งหมดของเหยื่อ

โดยผู้โจมตีสามารถปลอมแปลงอีเมลได้จากบริการส่งอีเมลปลอม ส่งอีเมลจาก mail server องค์กรของเหยื่อที่มีการตั้งค่าอย่างไม่ปลอดภัย เป็นต้น

ทั้งนี้ ณ วันที่เขียนบทความ (18 ตุลาคม 2018) ได้มีการพบภัยทั้งสองรูปแบบแพร่ระบาดในประเทศไทยแล้ว
Recommendation
ในกรณีที่เจอภัยคุกคามแบบที่ 1

ไม่หลงเชื่อและจ่ายค่าไถ่ตามที่มีการกล่าวอ้าง
ทำการเปลี่ยนรหัสผ่านซ้ำกับรหัสผ่านที่ถูกอ้างในอีเมลบนบริการทั้งหมดที่มี
สามารถตรวจสอบว่าตัวเองเคยได้รับผลกระทบจากเหตุการณ์ข้อมูลรั่วไหลต่อสาธารณะหรือไม่เพื่อตรวจสอบความเสี่ยงได้จาก https://haveibeenpwned.

บทนำ
ถ้าพูดถึงกลุ่มก่อการร้ายทางไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ชื่อแรกที่ทุกคนนึกถึงคงจะเป็นกลุ่ม Lazarus Group หรือที่เป็นที่รู้จักในชื่อ HIDDEN COBRA และ Guardians of Peace ที่เพิ่งมีประกาศแจ้งเตือนจาก US-CERT ให้ระวังแคมเปญการโจมตีไปเมื่อไม่นานมานี้ รวมทั้งเชื่อว่าเป็นต้นเหตุของการปล่อย WannaCry ransomware ในปี 2017 การโจมตีธนาคารต่างๆ และการโจมตีบริษัท Sony Pictures ในปี 2014 แต่เมื่อวันที่ 3 ตุลาคม 2018 ที่ผ่านมา FireEye ได้ออกรายงานชิ้นใหม่เปิดเผยข้อมูลว่าแท้จริงแล้วผลงานของกลุ่มก่อการร้ายที่ถูกสื่อเรียกรวมกันว่าเป็นผลงานของ Lazarus Group เพียงกลุ่มเดียวนั้น แท้จริงแล้วเป็นผลงานของกลุ่มก่อการร้ายถึงสามกลุ่ม แบ่งออกเป็นกลุ่มที่มีเป้าหมายก่อการร้ายทางไซเบอร์สองกลุ่ม คือ TEMP.Hermit และ Lazarus Group กับกลุ่มที่มีเป้าหมายโจมตีสถาบันการเงิน คือ APT38 โดยรายงานฉบับดังกล่าวมีชื่อว่า APT38: Un-usual Suspects เน้นให้รายละเอียดของกลุ่ม APT 38 ที่แตกต่างจากกลุ่ม TEMP.Hermit และ Lazarus Group

รายละเอียด
ตั้งแต่มีการโจมตีบริษัท Sony Pictures ในปี 2014 ทั่วโลกต่างรับรู้ว่ามีกลุ่มก่อการร้ายทางไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากเกาหลีเหนือ โดยเหตุการณ์โจมตีต่างๆ ที่น่าจะเกี่ยวข้องกับเกาหลีเหนือต่างถูกเรียกรวมกันว่าเป็นฝีมือของ Lazarus Group แต่ FireEye ซึ่งเป็นบริษัทให้บริการด้านความปลอดภัยทางไซเบอร์ไม่เชื่อเช่นนั้น จากการวิเคราะห์เหตุการณ์การโจมตีต่างๆ ที่เกิดขึ้นโดยวิเคราะห์จากทั้งเป้าหมายในการโจมตี เครื่องมือที่ใช้ในการโจมตี ไปจนถึงมัลแวร์ที่ถูกใช้ในการโจมตี FireEye เชื่อว่าเหตุการณ์ทั้งหมดเกิดจากกลุ่มก่อการร้ายสามกลุ่ม ประกอบไปด้วยกลุ่มที่มีเป้าหมายก่อการร้ายทางไซเบอร์สองกลุ่ม คือ TEMP.Hermit และ Lazarus Group กับกลุ่มที่มีเป้าหมายโจมตีสถาบันการเงิน คือ APT38

เนื่องจากมีการจับตาและการให้ข้อมูลเกี่ยวกับกลุ่ม TEMP.Hermit และ Lazarus Group แล้ว FireEye จึงออกรายงาน APT38: Un-usual Suspects เพื่อให้รายละเอียดโดยเฉพาะเกี่ยวกับกลุ่ม APT38

FireEye ระบุว่ากลุ่ม APT38 เริ่มดำเนินการมาตั้งแต่ปี 2014 โดยมีเป้าหมายเพียงอย่างเดียวคือการโจรกรรมโดยโจมตีสถาบันทางการเงินต่างๆ ทั่วโลก ซึ่งกลุ่ม APT38 ได้มีความพยายามในการโจรกรรมรวมมูลค่าแล้วกว่า 1.1 พันล้านดอลลาร์สหรัฐฯ และได้เงินไปแล้วกว่า 100 ล้านดอลลาร์สหรัฐฯ

FireEye ระบุ timeline ของ APT38 ไว้ดังนี้

เดือนธันวาคม ปี 2015 โจมตี TPBank ในเวียดนาม
เดือนมกราคม ปี 2016 โจมตี Bangladesh Bank โดยเป็นการโจมตีระบบ SWIFT ภายใน
เดือนตุลาคม ปี 2017 โจมตี Far Eastern International Bank ในไต้หวัน โดยเป็นการโจมตีเพื่อถอนเงินจำนวนมากออกจาก ATM (ATM cash-out scheme)
เดือนมกราคม ปี 2018 โจมตี Bancomext ในเม็กซิโก
เดือนพฤษภาคม ปี 2018 โจมตี Banco de Chile ในชิลี

ซึ่ง FireEye เชื่อว่ากลุ่ม APT38 เริ่มต้นโจมตีเป้าหมายในเอเชียตะวันออกเฉียงใต้ในช่วงแรกของการก่อตั้ง (2014) และค่อยๆ ขยายการดำเนินการไปทั่วโลกในปัจจุบัน
เทคนิคการโจมตีของ APT38
FireEye ระบุว่าการโจมตีของ APT38 ประกอบด้วยแบบแผนที่มีลักษณะดังนี้

Information Gathering รวบรวมข้อมูล: โดยทำการค้นคว้าข้อมูลของเป้าหมาย เช่น บุคลากรภายใน และค้นคว้าข้อมูลของผู้รับเหมาที่เกี่ยวข้องกับเป้าหมายเพื่อหาทางแทรกซึมเข้าไปในระบบ SWIFT
Initial Compromise เริ่มต้นการโจมตี: โจมตีแบบซุ่มดักเหยื่อตามแหล่งน้ำ (Watering Hole Attack) และโจมตีช่องโหว่ที่ไม่ได้รับการอัปเดตของ Apache Struts2 เพื่อส่งคำสั่งไปยังระบบ
Internal Reconnaissance สำรวจระบบ: ปล่อยมัลแวร์เพื่อรวบรวม credentials, สำรวจระบบเน็ตเวิร์ค และใช้เครื่องมือที่มีอยู่ในระบบของเป้าหมายในการแสกนระบบ เช่น ใช้ Sysmon เพื่อดูข้อมูล
Pivot to Victim Servers Used for SWIFT Transactions  ค้นหาเซิร์ฟเวอร์สำหรับระบบ SWIFT: ปล่อยมัลแวร์เพิ่ม โดยเป็นมัลแวร์สำหรับค้นหาและติดตั้ง backdoor บนเซิร์ฟเวอร์สำหรับระบบ SWIFT เพื่อให้สามารถส่งคำสั่งได้โดยไม่โดนตรวจจับ
Transfer funds ขโมยเงินออกไป: ปล่อยมัลแวร์สำหรับส่งคำสั่ง SWIFT ปลอมเพื่อโอนเงินออกและแก้ไขประวัติการทำธุรกรรม โดยมักจะเป็นการโอนเงินไปยังหลายๆ บัญชีเพื่อฟอกเงิน
Destroy Evidence ทำลายหลักฐาน: ลบ log, ปล่อยมัลแวร์เพื่อลบข้อมูลในฮาร์ดดิส และอาจปล่อย ransomware ที่เป็นที่รู้จักเพื่อขัดขวางกระบวนการสอบสวนและทำลายหลักฐาน

 

โดยผู้ที่สนใจสามารถอ่านรายละเอียดเพิ่มเติมของกลุ่ม APT38 ซึ่งรวมไปถึงมัลแวร์ต่างๆ ที่ใช้ได้จาก APT38: Un-usual Suspects
ที่มา

https://content.

สรุปย่อ
วันที่ 2 ตุลาคม 2018 US-CERT ได้ออกประกาศแจ้งเตือนแคมเปญการโจมตีใหม่จากกลุ่ม HIDDEN COBRA หรือกลุ่ม Lazarus Group จากเกาหลีเหนือ แคมเปญดังกล่าวถูกตั้งชื่อว่า FASTCash เป็นการมุ่งโจมตีเพื่อทำการนำเงินออกจากเครื่อง ATM โดยหน่วยงานต่างๆ ของรัฐบาลสหรัฐฯ ได้แก่ กระทรวงความมั่นคงแห่งมาตุภูมิ กระทรวงการคลังสหรัฐฯ และสำนักงานสอบสวนกลาง (FBI) ได้ร่วมกันระบุมัลแวร์และ indicators of compromise (IOCs) ที่ถูกใช้ในแคมเปญ FASTCash ดังกล่าว และได้ระบุ IOCs ไว้ในประกาศแจ้งเตือน ซึ่ง FBI มีความมั่นใจอย่างมากว่ากลุ่ม HIDDEN COBRA กำลังใช้ IOCs เหล่านั้นเพื่อฝังตัวเข้าไปในระบบเน็ตเวิร์คของเหยื่อและโจมตีระบบเน็ตเวิร์คอยู่ในขณะนี้

รายละเอียด
กลุ่ม HIDDEN COBRA ที่เป็นที่รู้จักในชื่อ Lazarus Group และ Guardians of Peace เป็นกลุ่มที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ กลุ่ม HIDDEN COBRA เป็นต้นเหตุของการปล่อย WannaCry ransomware ในปี 2017 และการโจมตีบริษัท Sony Pictures ในปี 2014

US-CERT กล่าวว่ากลุ่ม HIDDEN COBRA ได้ใช้แคมเปญ FASTCash ในการโจมตีธนาคารในทวีปแอฟริกาและเอเชียมาตั้งแต่ปี 2016 โดยในปี 2017 HIDDEN COBRA ได้โจมตีเพื่อถอนเงินจาก ATM กว่า 30 ประเทศ และในปี 2018 HIDDEN COBRA ได้โจมตีเพื่อถอนเงินจาก ATM แบบเดียวกันไปกว่า 23 ประเทศ จากการคาดการกลุ่ม HIDDEN COBRA ได้เงินไปแล้วกว่าสิบล้านดอลลาร์สหรัฐฯ และในเวลาที่ออกประกาศฉบับนี้ (2 ตุลาคม 2018) ทางการสหรัฐฯยังไม่พบการโจมตี FASTCash ในประเทศสหรัฐอเมริกา

FASTCash เป็นการโจมตีจากระยะไกลโดยมุ่งโจมตีเพื่อยึดครอง payment switch application server ภายในธนาคารเพื่อทำธุรกรรมปลอม ทางการสหรัฐประเมินว่า HIDDEN COBRA จะใช้ FASTCash โจมตีระบบการชำระเงินรายย่อย (Retail Payment Systems) ถัดไปจากการโจมตีธนาคาร

วิธีการโจมตีของ HIDDEN COBRA จะเริ่มจากการยึด switch application server และส่งคำสั่งที่เหมือนคำสั่งปกติทั่วไปเพื่อตอบกลับคำสั่งร้องขอต่างๆ ด้วยข้อความตอบรับปลอม ขณะนี้ยังไม่ทราบวิธีที่กลุ่ม HIDDEN COBRA ใช้แพร่มัลแวร์เพื่อยึดเครื่อง payment switch application server แต่เครื่องที่เคยถูกยึดทั้งหมดใช้ระบบปฏิบัติการ IBM Advanced Interactive eXecutive (AIX) รุ่นที่ยกเลิกการ support แล้ว แต่ทั้งนี้ยังไม่มีหลักฐานว่า HIDDEN COBRA ใช้การโจมตีผ่านช่องโหว่ในระบบปฏิบัติการ AIX กลุ่ม HIDDEN COBRA มีความรู้ด้าน ISO 8583 ซึ่งเป็นมาตราฐานการรับส่งธุรกรรมการเงิน โดยมีการใช้ความรู้รวมถึง library ที่เกี่ยวกับ ISO 8583 ในการโจมตี
รายละเอียดทางเทคนิค
จากการวิเคราะห์ log และระบบที่ถูกโจมตีพบว่ากลุ่ม HIDDEN COBRA มักจะใช้มัลแวร์ที่ทำงานบน Windows ในการโจมตี ขณะนี้ยังไม่ทราบชัดเจนว่ากลุ่ม HIDDEN COBRA แพร่มัลแวร์ดังกล่าวอย่างไร แต่นักวิเคราะห์คาดว่าน่าจะเป็นการใช้ spear-phishing อีเมลไปยังพนักงานของธนาคาร เมื่อพนักงานหลงเชื่อและติดมัลแวร์ กลุ่ม HIDDEN COBRA จะทำการค้นหา switch application server และยึดเครื่องดังกล่าว

นอกจากการใช้มัลแวร์แล้ว กลุ่ม HIDDEN COBRA ยังใช้ไฟล์ AIX executable ที่เป็นไฟล์ปกติทั่วไปในระบบในการส่งคำสั่งไปยัง switch application server ที่ถูกโจมตีอีกด้วย

หลังจากยึดเครื่อง switch application server สำเร็จแล้ว กลุ่่ม HIDDEN COBRA จะส่งคำสั่งที่เหมือนคำสั่งปกติทั่วไปผ่าน command-line เพื่อปลอมแปลงพฤติกรรม เมื่อ server พบคำสั่งร้องขอต่างๆ ที่มี primary account numbers (PANs) ของกลุ่ม HIDDEN COBRA แล้วจะเกิดคำสั่งตอบสนองพิเศษเฉพาะคำสั่งร้องขอที่มีเลข PAN นั้นๆ ซึ่งแสดงในรูปที่ 1 ทำให้สร้างคำสั่งธุรกรรมปลอมเพื่อเบิกเงินออกจากเครื่อง ATM ได้

ทั้งนี้ผู้ที่สนใจสามารถอ่านรายงานการวิเคราะห์ไฟล์มัลแวร์ที่กลุ่ม HIDDEN COBRA ใช้อย่างละเอียดได้จาก MAR-10201537 – HIDDEN COBRA FASTCash-Related Malware
ผลกระทบที่อาจเกิดขึ้น
การโจมตีระบบเน็ตเวิร์คสำเร็จจะทำให้เกิดผลกระทบร้ายแรงโดยเฉพาะเมื่อระบบที่ถูกโจมตีเผยแพร่ต่อสาธารณะ องค์กรอาจจะได้รับผลกระทบดังนี้

ถูกขโมยข้อมูลที่เป็นความลับ
การดำเนินการหยุดชะงัก
เสียงบประมาณในการฟื้นฟูความเสียหาย
สูญเสียชื่อเสียงขององค์กร

วิธีตรวจจับรับมือและคำแนะนำเพิ่มเติม

แนะนำให้ผู้ดูแลระบบตรวจสอบ bash history log ของผู้ใช้งานระบบที่มีสิทธิ root ทั้งหมด ซึ่งสามารถใช้บอกได้หากมีการใช้คำสั่งใดๆ บน switch application server ผู้ดูแลระบบควรเก็บ log และตรวจสอบคำสั่งทั้งหมด
ผู้ดูแลระบบเน็ตเวิร์คควรศึกษารายงาน MAR-10201537 และตรวจสอบ IOCs ที่เกี่ยวข้องกับแคมเปญ FASTCash ของกลุ่ม HIDDEN COBRA ในระบบเน็ตเวิร์ค
มีการตรวจสอบความถูกต้องของรหัสชิปและ PIN บนบัตรเดบิต
มีการตรวจสอบว่าบัตรเดบิตนั้นออกอย่างถูกต้องหรือไม่ก่อนทำธุรกรรม
มีการใช้ระบบการยืนยันตัวสองชั้นในการเข้าถึง switch application server
ป้องกันไม่ให้เครื่องที่มีการต่ออินเตอร์เน็ตภายนอกเข้าถึงระบบเน็ตเวิร์คภายในที่มี switch application server
ป้องกันไม่ให้เครื่องที่ไม่ได้รับอนุญาตเข้าถึงระบบ
ใช้ไฟร์วอล
ใช้ Access Control Lists (ACLs) เพื่อควบคุม traffic
เข้ารหัสข้อมูลเมื่อส่งข้อมูล
คอยตรวจสอบพฤติกรรมที่ไม่ปกติ มีการ audit ธุรกรรมและ log ของระบบ สร้าง baseline ของจำนวนธุรกรรม ความถี่ของธุรกรรม เวลาในการทำธุรกรรมและคอยตรวจสอบในกรณีที่มีความผิดจาก baseline

Indicator of Compromise

IP

75.99.63.27

SHA256
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References

https://www.

สรุปย่อ
เมื่อเช้าวันอังคารที่ 28 สิงหาคม ตามเวลาในประเทศไทย ผู้ใช้งาน Twitter ที่มีชื่อว่า “SandboxEscaper” ได้เปิดเผยช่องโหว่ใหม่บนระบบปฏิบัติการ Windows ที่ยังไม่ได้มีการออกแพตซ์ใดๆ จาก Microsoft (zero-day) พร้อมทั้งได้มีการเผยแพร่ PoC code และไฟล์ที่สามารถใช้ในการทดสอบโจมตีช่องโหว่ดังกล่าวบน GitHub ซึ่งไฟล์ดังกล่าวถูกเขียนเพื่อโจมตี Windows 10 64-bit หลังจากนั้นไม่กี่ชั่วโมง Will Dormann นักวิจัยช่องโหว่จาก CERT Coordination Center ก็ได้ยืนยันความสำเร็จในการทดสอบโจมตีช่องโหว่ดังกล่าวบน Windows 10 64-bit ที่ได้ทำการแพตซ์ให้เป็นล่าสุดแล้ว และได้แจ้งเตือนช่องโหว่ดังกล่าวอย่างเป็นทางการ (Link) ช่องโหว่นี้เกิดขึ้นบน Advance Local Procedure Call (ALPC) Interface ที่ถูกใช้งานใน Task Scheduler ส่งผลให้สามารถเพิ่มสิทธิ์ของโปรเซสจาก local เป็น system ได้ (local privilege escalation)

รายละเอียดของช่องโหว่
ช่องโหว่ดังกล่าวเกิดจากความบกพร่องในการตรวจสอบ Permission ของ function ใน API ที่มีชื่อว่า “SchRpcSetSecurity” ซึ่งเป็นส่วนหนึ่งที่ถูกใช้บน ALPC interface (ใช้ในการคุยกันระหว่างโปรเซสภายในระบบปฏิบัติการ) ของ Task Scheduler ส่งผลให้ผู้โจมตีที่เป็น local user (รวมถึง Guest user) สามารถเรียกใช้ และนำไปกำหนด DACL (Discretionary Access Control List : เป็นตัวบ่งบอกว่าใครมีสิทธิ์ทำอะไรกับ Object ใดๆ บน Windows) ให้กับไฟล์ใดๆ บนเครื่อง ดังนั้นช่องโหว่จึงถูกใช้ในการแก้ไขสิทธิ์ให้กับ Hardlink ที่ตนเองได้สร้างไว้ใน c:\windows\tasks เพื่อให้ได้สิทธิ์ที่สูงขึ้น

วิธีการตรวจจับเบื้องต้น
จาก PoC ที่ได้รับการเผยแพร่ออกมานั้น เบื้องต้นสามารถเฝ้าระวัง และตรวจจับความผิดปกติได้จาก 2 วิธีการ ดังต่อไปนี้
1. ตรวจสอบว่ามีโปรเซสใดๆ ที่ผิดปกติทำงานอยู่ภายใต้โปรเซสที่มีชื่อ “spoolsv.

สรุปย่อ
ในวันที่ 22 สิงหาคม 2018 ที่ผ่านมา Apache ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ร้ายแรงระดับวิกฤติ (critical) ใน Apache Struts เพื่อแก้ไขช่องโหว่ CVE-2018-11776 ซึ่งเป็นช่องโหว่ remote code execution กระทบ Apache Struts รุ่น 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 และอาจส่งกระทบกับ Apache Struts รุ่นอื่นๆ ที่เลิกซัพพอร์ตแล้ว

ทั้งนี้ช่องโหว่ remote code execution ถือเป็นช่องโหว่ที่มีความร้ายแรงสูงสุด เนื่องจากมีความเสี่ยงที่ผู้โจมตีจะรันคำสั่งอันตรายจนกระทั่งยึดครองทั้งระบบได้ ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน
เกี่ยวกับ Apache Struts
Apache Struts เป็น open source framework สำหรับทำเว็บแอปพลิเคชันด้วยภาษา Java ที่กำลังได้รับความนิยมอย่างมากในองค์กรทั่วโลก ในปี 2017เกิดการโจมตี Equifax โดยใช้ช่องโหว่ remote code execution บน Apache Struts (CVE-2017-5638) และเนื่องจาก Equifax ไม่ได้อัปเดตแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าวทำให้ข้อมูลลูกค้าหลุดกว่า 147ล้านคน สร้างความสูญเสียมูลค่ากว่า 600 ล้านดอลลาห์สหรัฐ
รายละเอียดของ CVE-2018-11776
นักวิจัยชื่อ Man Yue Mo จาก Semmle เป็นผู้ค้นพบช่องโหว่ CVE-2018-11776 และทำการแจ้งเตือน Apache Struts ตั้งแต่วันที่ 10 เมษายน 2018 ที่ผ่านมา เขาระบุว่าช่องโหว่ CVE-2018-11776 มีโอกาสที่จะทำให้เกิดความเสียหายได้มากกว่าการโจมตี Equifax เพราะสามารถโจมตีได้ง่ายกว่า เนื่องจากช่องโหว่ CVE-2018-11776 นี้อยู่บน core code ของ Apache Struts และไม่ต้องใช้ปลั๊กอินเสริมใดๆ ในการโจมตี ซึ่งช่องโหว่ดังกล่าวได้รับ CVSS v3 Base Score 9.8

ช่องโหว่ CVE-2018-11776 เกิดจากการไม่ตรวจสอบ input จากผู้ใช้ ทำให้ผู้โจมตีสามารถแทนที่ namespace ด้วยคำสั่งอันตรายได้ ซึ่ง Semmle ได้บอกจุดสังเกตที่ทำให้ถูกโจมตีผ่านช่องโหว่ CVE-2018-11776 คือ

Apache Struts ถูกตั้งค่าให้ alwaysSelectFullNamespace มีค่าเป็น True
Configuration file ของ Apache Struts มี <action ...> tag ที่ไม่ได้ระบุ optional namespace หรือมี <action ...> tag ที่ระบุเป็น wildcard namespace

ถึงแม้ว่าในขณะนี้ Apache Struts ที่ไม่ได้ตั้งค่าดังกล่าวจะปลอดภัย แต่เป็นไปได้ที่จะมีการโจมตีแบบอื่นขึ้นได้ในอนาคต จึงควรแก้ด้วยการอัปเดตแพตช์เป็นรุ่นล่าสุดมากกว่าการแก้ไขการตั้งค่า

ทั้งนี้ Recorded Future ได้ตรวจพบการพูดถึงวิธีโจมตีช่องโหว่ดังกล่าวอย่างมากในเว็บบอร์ดใต้ดินของจีนและรัสเซีย รวมถึงมีการเผยแพร่ Proof of Concept (POC) ของช่องโหว่นี้อย่างเปิดเผยทั่วไปแล้ว เช่น Apache Struts2 CVE-2018-11776 POC และ St2-057 Poc Example ผู้ดูแลระบบจึงควรทำการอัปเดต Apache Struts โดยด่วน
ผู้ที่ได้รับผลกระทบ
นอกจากผู้ใช้ Apache Struts ทั่วไปที่ใช้ Apache Struts รุ่น 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 จะได้รับผลกระทบแล้ว บริษัทต่างๆ ที่มีการใช้ Apache Struts ในผลิตภัณฑ์อย่าง Cisco ยังได้รับผลกระทบอีกด้วย โดย Cisco อยู่ระหว่างการตรวจสอบว่ามีผลิตภัณฑ์ใดบ้างที่ได้รับผลกระทบบ้าง
แนวทางแก้ไข

อัปเดต Apache Struts เป็นเวอร์ชั่น 2.3.35 หรือ 2.5.17
ตั้งค่า namespace อยู่เสมอ

ตรวจจับการโจมตี

เนื่องจากการโจมตีช่องโหว่ CVE-2018-11776 สามารถโจมตีได้ผ่านเน็ตเวิร์ค ทำให้ Web Application Firewall (WAF) ต่างๆ เช่น Imperva ได้ทำการเพิ่มการดักจับการโจมตีดังกล่าวเข้าไปในบริการแล้ว
สามารถตรวจจับได้ด้วย Snort rule

โดย Talos ออกคำแนะนำว่าสามารถตรวจจับได้ด้วย Snort rule SID 29639, 39190, 39191 และ 47634
และมีผู้เผยแพร่ Snort rule เพื่อใช้ในการตรวจจับ ดังนี้

แหล่งอ้างอิง

https://researchcenter.

สวัสดีครับหลังจากห่างหายกันไปนานวันนี้เราจะมาพูดถึงเทคนิคใหม่ในการฝังแบ็คดอร์ไว้ในไฟล์ตั้งค่าของโปรแกรม OpenVPN ซึ่งถูกค้นพบโดย Jacob Baines จาก Tenable Security กันครับ
อะไรคือแบ็คดอร์ประเภท Reverse Shell?
แบ็คดอร์ประเภท Reverse Shell เป็นแบ็คดอร์ที่เมื่อมีการติดตั้งลงบนเครื่องเป้าหมายแล้ว โปรแกรมของแบ็คดอร์จะมีการติดต่อกลับมายังเซิร์ฟเวอร์ตามหมายเลขไอพีแอดเดรสและพอร์ตที่เรากำหนดไว้กับโปรแกรมของแบ็คดอร์ ซึ่งจะแตกต่างกับแบ็คดอร์อีกประเภทหนึ่งคือ Bind Shell ที่จะฝังตัวและรอรับการเชื่อมต่อเข้ามาที่โปรแกรมของแบ็คดอร์อย่างเดียว

แบ็คดอร์ประเภท Reverse Shell ได้รับความนิยมสูงเนื่องจากโดยทั่วไปการตั้งค่าด้านความปลอดภัยนั้นมักจะไม่อนุญาตให้มีการเชื่อมต่อที่ไม่ได้รับอนุญาตเข้ามาในเครือข่ายแต่มักจะหละหลวมในการตั้งค่าการเชื่อมต่อในขาออกจากเครือข่าย ทำให้แบ็คดอร์ประเภท Reverse Shell นั้นถูกเลือกใช้บ่อยครั้งกว่าแบ็คดอร์แบบ Bind Shell
แก้ไขไฟล์ OVPN เพื่อฝังแบ็คดอร์
โปรแกรม OpenVPN นั้นจะถูกกำหนดการใช้งานในแต่ละครั้งด้วยไฟล์ตั้งค่าซึ่งใช้นามสกุลของไฟล์คือ OVPN โดยภายในไฟล์ OVPN นั้นจะมีการเก็บการตั้งค่าของการเชื่อมต่อเพื่อสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ VPN เอาไว้

นักวิจัยด้านความปลอดภัยจาก Tenable Security “Jacob Baines” ค้นพบว่าโปรแกรม OpenVPN จะทำการรันหรือเอ็กซีคิวต์คำสั่งใดๆ ที่ต่อท้ายฟิลด์ “up” ซึ่งเป็นฟิลด์การตั้งค่าหนึ่งตามรูปแบบของ OVPN ดังนั้นหากมีการแก้ไขไฟล์ OVPN โดยการเพิ่มคำสั่งอันตรายต่อท้ายฟิลด์ “up” ผู้ใช้งานก็จะมีการรันคำสั่งที่เป็นอันตรายดังกล่าวทันทีเมื่อพยายามเชื่อมต่อ VPN

โดยทั่วไปไฟล์ตั้งค่า OVPN นั้นจะประกอบด้วยข้อมูลภายในดังต่อไปนี้ (ข้อมูลในไฟล์ OVPN อาจแตกต่างกันตามลักษณะการเชื่อมต่อ)

การตั้งค่าในแต่ละบรรทัดมีความหมายดังต่อไปนี้

remote test.