Impact Level : information

Affected Platform : Windows Platform

Conclusion : นักวิจัยจาก Politecnico di Milano ของอิตาลีได้นำเสนอเครื่องมือที่ใช้ตรวจจับ ransomeware และการกู้คืน file ที่ถูกเข้ารหัสจาก ransomeware ที่มีชื่อว่า ShieldFS

ShieldFS จะทำการจดจำและสร้าง models พฤติกรรมของ filesystem ที่เกิดจากใช้งานปกติ และมันยังสามารถตรวจหา ransomeware จากพฤติกรรมที่เกิดขึ้นมาเปรียบเทียบกับ models

ที่ทำการสร้างขึ้นมาก่อนหน้า หากตรวจพบพฤติกรรมของ ransomeware เครื่องมือ ShieldFS จะ block การทำงานของ ransomeware และทำการกู้ไฟล์ที่ถูกเข้ารหัส
Copy-on-Write (COW) เป็นเทคนิคทางโปรแกรมมิ่งที่ ShieldFS นำมาใช้ในการกู้ไฟล์ที่ถูกเข้ารหัส โดยเป็นเทคนิคที่อนุญาตให้ระบบปฏิบัติการแชร์ข้อมูลที่กำลังถูกประมวลผลให้กับโปรเซสอื่น

นักวิจัยได้ทำการทดสอบ ShieldFS กับ malware หลายๆตัวที่กำลังแพร่ระบาดอยู่ในขณะนี้ ซึ่งรวมไปถึง WannaCry, TeslaCrypt, CryptoWall, CryptoLocker ด้วยผลการทดสอบเผยให้เห็นว่า ShieldFS สามารถตรวจจับ malware ที่ได้นำมาทำการทดลองได้สำเร็จและสามารถกู้ไฟล์ข้อมูลที่ถูกเข้ารหัสได้ 97 เปอร์เซ็นต์

ที่มา : THREATPOST

Cisco ได้มีการปล่อยอัพเดทเพื่ออุดช่องโหว่ที่ส่งผลกระทบแก่ Cisco IOS และ Cisco IOS XE ซึ่งผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวทำการโจมตี โดยจะทำให้บริการเกิดการขัดข้องหรือใช้งานไม่ได้ (DoS Attack) ช่องโหว่ทั้งสองช่องโหว่สามารถทำการโจมตีได้ง่ายและมีผลลัพธ์ที่สร้างความเสียหายได้ค่อนข้างสูง แนะนำให้ดำเนินการแพตช์โดยด่วนพร้อมทั้งติดตามประกาศด้านความปลอดภัยได้จาก Cisco Security Advisories and Alert (https://tools.

Google ได้มีการปล่อยอัพเดทของ Chrome เวอร์ชัน 60.0.3112.78 สำหรับทั้งสามแพลตฟอร์ม Windows, Mac, และ Linux โดยเวอร์ชันนี้จะอุดช่องโหว่ ที่ผู้โจมตี (attacker) สามารถใช้เข้ามาควบคุมระบบได้
US-CERT แนะนำให้ผู้ใช้งาน และผู้ดูแลระบบติดตามประกาศต่างๆ จาก Google และทำการอัพเดทอยู่เสมอ

ที่มา : us-cert

Apple ได้ปล่อยอัพเดทใหม่เพื่อใช้อุดช่องโหว่ที่พบในอุปกรณ์หลายอย่าง โดยผู้โจมตีสามารถอาศัยช่องโหว่นี้โจมตีจากระยะไกล (remote attack) เพื่อเข้าควบคุมอุปกรณ์ที่ได้รับผลกระทบได้ ทาง US-CERT แนะนำให้ผู้ใช้งาน และผู้ดูแลระบบติดตามเกี่ยวกับข้อมูลความปลอดภัยของผลิตภัณฑ์ดังกล่าว และทำการอัพเดทอยู่เสมอ

ที่มา : us-cert

Joomla ได้มีการปล่อยอัพเดทเวอร์ชัน 3.7.4 ของระบบจัดการเนื้อหา (CMS) เพื่ออุดช่องโหว่บางตัวที่พบ ซึ่งผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวทำการโจมตีจากระยะไกล (remote attack) เพื่อเข้าควบคุมเว็บไซต์ที่ได้รับผลกระทบได้ US-CERT แนะนำให้ผู้ใช้งาน และผู้ดูแลระบบติดตามประกาศต่างๆ จาก Joomla และการแจ้งเตือนของ US-CERT’s ที่เกี่ยวกับการจัดการระบบรักษาความปลอดภัยและความเสี่ยงที่เกี่ยวข้อง และทำการอัพเดทอยู่เสมอ

ที่มา : us-cert

แฮกเกอร์ไม่ทราบกลุ่มได้มีประกาศการโจมตีผ่านทาง Pastebin วันนี้เกี่ยวกับปฏิบัติการชื่อว่า #LeakTheAnalyst โดยเหยื่อในรายแรกของปฏิบัติการนี้นั้นคือผู้เชี่ยวชาญด้านความปลอดภัยจากบริษัทชื่อดัง Mandiant ภายใต้ FireEye

หนึ่งในข้อมูลที่รั่วไหลออกมานั้นเป็นข้อมูลของ Adi Peretz ซึ่งเป็น ‎Senior Threat Intelligence Analyst ที่ Mandiant ข้อมูลที่รั่วไหลออกมานั้นแสดงให้เห็นว่าแฮกเกอร์สามารถเข้าถึงอีเมลของไมโครซอฟต์ที่เหยื่อใช้อยู่ รายชื่อผู้ติดต่อ เอกสารภายในของบริษัทฯ ไฟล์นำเสนองาน รวมไปถึงหน้า Geolocator ซึ่งระบุรายการของอุปกรณ์ที่ลงชื่อผ่านบัญชีของไมโครซอฟต์ปัจจุบันด้วย แฮกเกอร์ยังมีการแฮกและเปลี่ยนหน้าโปรไฟล์ LinkedIn ของ Adi Peretz อีกด้วย

หนึ่งในไฟล์ที่รั่วไหลออกมามีรายการของชื่อผู้ใช้งานและรหัสผ่านของ Adi Peretz ในอีกหลายบริการ ซึ่งแสดงให้เห็นว่าผู้เคราะห์ร้ายในคราวนี้นั้นมีการใช้รหัสผ่านซ้ำในหลายบริการและรหัสผ่านไม่มีความมั่นคงมากพอ

แฮกเกอร์มีการอ้างว่า ระบบของ Mandiant ได้ถูกพวกเขาแฮกและฝังตัวตั้งแต่ปี 2016 อีกทั้งยังกล่าวว่าข้อมูลที่มีการเผยแพร่ออกมาล็อตแรกทั้งหมด 32 เมกะไบต์นั้นเป็นเพียงส่วนเล็กทั้งหมดของข้อมูลทั้งหมด และจะมีการทยอยปล่อยข้อมูลออกมาอีกเป็นระยะๆ

FireEye ซึ่งเป็นบริษัทแม่ของ Mandiant ได้ออกมายืนยันการโจมตีและแถลงว่ากำลังทำการตรวจสอบอยู่ FireEye ออกมาบอกอีกว่าในขณะนี้ทางบริษัทฯ ยังตรวจไม่พบหลักฐานใดๆ ที่แสดงว่าระบบของ FireEye หรือ Mandiant ถูกแฮก

ที่มา : thehackernews

Impact Level : Critical

Affected Platform : SMBv1, Windows

Conclusion : "SMBLoris" ช่องโหว่ใหม่บน SMBv1 มาแล้ว ปราศจากแพตช์จากไมโครซอฟต์
ในงานสัมมนาด้านความปลอดภัย DEF CON 25 ซึ่งเป็นครั้งล่าสุดนั้น นักวิจัยด้านความปลอดภัย Sean Dillon (zerosum0x0) และ Zach Harding (Aleph-Naught-) จากบริษัท RiskSense ได้มีการเปิดเผยช่องโหว่ใหม่บน SMBv1 ชื่อ "SMBLoris" ซึ่งอาจส่งผลให้เกิดการโจมตีแบบ DoS ได้
ช่องโหว่ SMBLoris นั้นได้เคยถูกแจ้งให้กับทางไมโครซอฟต์แล้วเมื่อเดือนมิถุนายนที่ผ่านมา (ก่อนงาน Black Hat และ DEF CON) อย่างไรก็ตามทางไมโครซอฟต์มีการแจ้งว่าช่องโหว่นี้จะไม่มีแพตช์เพื่อแก้ไขช่องโหว่ออกมาอันเนื่องมาจากผลกระทบที่อยู่ในระดับปานกลาง (บางรายงานข่าวแจ้งว่าไมโครซอฟต์จะไม่มีการปล่อยแพตช์ในทันที) ซึ่งส่งผลให้ช่องโหว่นี้สามารถถูกเรียกได้ว่าเป็น n-day
ช่องโหว่ SMBLoris เกิดขึ้นในส่วนของ NBSS หรือโปรโตคอล NetBIOS Session Service ในทุกครั้งที่มีการเชื่อมต่อผ่านโปรโตคอล SMB นั้น NBSS จะมีการจองพื้นที่ในหน่วยความจำเอาไว้จำนวน 128 KB ซึ่งจะถูกคืนให้กลับระบบในกรณีที่การเชื่อมต่อเสร็จสิ้น ผู้โจมตีสามารถใช้กลไกนี้ในการสร้างการเชื่อมต่อเพื่อใช้งานหน่วยความจำได้เรื่อยๆ จนหมด โดยจากการสาธิตในงาน DEF CON การโจมตีนี้สามารถดึงหน่วยความจำมาใช้ได้ถึง 32 GB จนจำเป็นต้องมีการรีบูต

Recommendation : ในกระบวนการลดผลกระทบจากช่องโหว่นี้นั้น ข้อปฏิบัติที่ดีที่สุดคือการจำกัดการเชื่อมต่อในลักษณะที่มาจากแหล่งที่มาเดียวกันจากอินเตอร์เน็ตที่มีจำนวนมากๆ เอาไว้และทำการปิดการเชื่อมต่อทิ้งเมื่อถึงจุดอันตราย

ที่มา : The Register

Impact Level : Medium

Affected Platform : Windows with SMBv1

Conclusion : เอาเป็นแบบอย่าง! มัลแวร์ขโมยข้อมูล Emomet และ Trickbot เริ่มมีโมดูลแพร่กระจายตัวเองตาม WannaCry และ NotPetya
นักวิจัยจาก FlashPoint ได้มีการตรวจพบรุ่นใหม่ (1000029) ของมัลแวร์ Trickbot ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่แพร่กระจายเป็นจำนวนมากในสหรัฐฯ และอังกฤษ โดยในรุ่นใหม่ของ Trickbot นี้มีการเพิ่มฟีเจอร์ในการแพร่กระจายตัวเองตามแบบของ WannaCry และ NotPetya เข้าไปด้วย
Trickbot มีการใช้ EternalBlue ในการแพร่กระจายโดยโจมตีช่องโหว่ MS17-010 โดยมันจะทำการสแกนหาโดเมนในเครือข่ายโดยใช้ Windows API "NetServerEnum" และ LDAP จากเดิมที่แพร่กระจายเป็นหลักผ่านทางอีเมลฟิชชิ่ง จุดแตกต่างจาก WannaCry คือ Trickbot ไม่มีการสุ่มสแกนไอพีบนอินเตอร์เน็ตเพื่อแพร่กระจายกัน
นักวิจัยจาก Fidelis และ Barkly ก็ตรวจพบมัลแวร์ Emomet ในรุ่นที่พยายามกระจายตัวเองด้วยการโจมตีแบบ brute force เพื่อเข้าถึงระบบอื่นในเครือข่ายด้วย

Recommendation : แนะนำให้แพตช์ช่องโหว่ MS17-010 รวมถึงเพิ่มความปลอดภัยของระบบปฏิบัติการด้วยวิธีการ hardening เพื่อลดความเสี่ยงจากมัลแวร์เหล่านี้

ที่มา : ZDNet

มาอีกเป็นโขยง ข้อมูลหลุดโครงการ UCL/Raytheon, Imperial ของ CIA ถูกปล่อยบน WikiLeaks แล้ว

วิกิลีคส์ได้มีการเผยแพร่โครงการพัฒนาทางไซเบอร์ของ CIA ในโปรเจค Vault 7 อีกครั้ง โดยในครั้งนี้มีโครงการใหญ่ทั้งหมด 2 โครงการได้แก่โครงการ UCL/RayTheon และ Imperial ซึ่งทั้งสองเป็นโครงการที่เกี่ยวข้องกับการประดิษฐ์และพัฒนามัลแวร์เช่นเดียวกัน

สำหรับโครงการแรกหรือ UCL/RayTheon อ้างอิงจากวิกิลีคส์ เป็นเอกสารจากผู้รับเหมาของ CIA ชื่อ Raytheon Blackbird Technologies โดย UCL นั้นมีชื่อเต็มว่าโครงการ UMBRAGE Component Library โครงการ UCL/RayTheon เป็นโครงการที่ RayTheon ทำการวิจัยและเสนอแนวความคิดในการพัฒนามัลแวร์รวมไปถึงการโจมตีกับทาง CIA โดยที่มาทั้งจากการวิเคราะห์มัลแวร์ที่มีการแพร่กระจายอยู่แล้วและการทำทดลองลับเอง เพื่อเพิ่มศักยภาพของโครงการพัฒนามัลแวร์ของ CIA

สำหรับโครงการที่สองหรือ Imperial นั้น เป็นโครงการที่ประกอบไปด้วยมัลแวร์ 3 ประเภทที่พร้อมใช้งานด้วยกัน แยกเป็น

- มัลแวร์ Achilles เป็นมัลแวร์ที่พุ่งเป้าไปที่การฝังตัวเป็นโทรจันในตัวติดตั้งโปรแกรมของ MacOS (ไฟล์ .dmg)
- มัลแวร์ Aeris เป็นมัลแวร์ที่ทำงานบน Debian, RHEL, Solaris, FreeBSD และ CentOS โดยมีฟังก์ชันหลากหลาย อาทิ ขโมยหรือดักฟังข้อมูลบนระบบที่มีการติดตั้ง
- มัลแวร์ SeaPea เป็นมัลแวร์ในลักษณะ Rootkit บน MacOS โดยเน้นไปที่การฝังตัวในระยะยาว สามารถรันได้บน Mac OS X รุ่น 10.6 และ 10.7

หากใครสนใจข้อมูลเพิ่มเติมของมัลแวร์รวมไปถึงการทำงานในเชิงลึกสามารถดาวโหลดไฟล์ได้จากแหล่งที่มา

ที่มา : securityweek

Impact Level : High

Affected Platform : 3G, 4G LTE

Conclusion : ปัญหาด้านความปลอดภัยล่าสุดบน 3G และ 4G LTE อาจนำไปสู่การรั่วไหลของ metadata ได้
ณ งาน Black Hat 2017 ที่ลาสเวกัส นักวิจัยด้านความปลอดภัย Ravishankar Borgaonka และ Lucca Hirschi ได้มีการเปิดเผยงานวิจัยที่เกี่ยวข้องกับปัญหาด้านความปลอดภัยบนเครือข่าย 3G และ 4G LTE ที่อาจนำไปสู่การรั่วไหลของข้อมูลในลักษณะที่เป็น metadata อาทิ ช่วงเวลาที่มีการโทรหรือส่งข้อความหรือที่อยู่ปัจจุบันของโทรศัพท์เครื่องดังกล่าวได้
ปัญหาด้านความปลอดภัยดังกล่าวนั้นอยู่ในกระบวนการพิสูจน์ตัวตนและการแลกเปลี่ยนกุญแจเข้ารหัส กระบวนการแลกเปลี่ยนและตกลงที่จะใช้กุญแจในการเข้ารหัสนั้นส่วนหนึ่งขึ้นอยู่กับส่วนของตัวนับ (counter) ซึ่งอยู่ในแพ็คเกตที่มีการรับส่ง ค่าของตัวนับดังกล่าวจะถูกเก็บอยู่ที่ระบบของฝั่งผู้ให้บริการเพื่อยืนยันตัวตนของอุปกรณ์และมีหน้าที่สำคัญในการป้องกันการโจมตีที่ลักลอบดักจับ แก้ไขและส่งคืนแพ็คเกตที่มีการแก้ไขแล้ว (replay attack) เมื่อตัวนับดังกล่าวถูกใช้ในการรับส่งเพื่อยืนยันตัวตนหรือแลกเปลี่ยนกุญแจสำหรับเข้ารหัส นักวิจัยทั้งสองคนได้ตรวจพบการใช้งานค่าตัวนับที่ไม่เหมาะสมและมีข้อมูลที่ควรจะถูกเข้ารหัสรั่วไหลออกมา ส่งผลให้ผู้โจมตีซึ่งอาจมอนิเตอร์การใช้งานอยู่สามารถดักจับการรับส่งข้อมูลเพื่อให้ลักษณะและรูปแบบของข้อมูลที่อาจบ่งชี้ถึง metadata ได้

ผลลัพธ์ของปัญหาด้านความปลอดภัยนี้อาจนำไปสู่การพัฒนาอุปกรณ์ IMSI catcher อีกรูปแบบซึ่งใช้ในการดักจับข้อมูลข้อมูลได้ด้วย และเนื่องจากการใช้งานอย่างแพร่หลาย ปัญหานี้จึงส่งผลกระทบต่อผู้ใช้งานและผู้ให้บริการทั่วโลก ในตอนนี้องค์กร 3GPP ซึ่งเป็นองค์กรหลักในการพัฒนาโปรโตคอลที่เกี่ยวข้องได้รับทราบถึงการมีอยู่ของช่องโหว่ดังกล่าวและ และจะดำเนินการแก้ไขในรุ่นต่อไปซึ่งอาจหมายถึงในระบบ 5G

ที่มา : ZDNet