Blog

จากกระแสของแนวคิดการทดสอบและประเมินความปลอดภัยของระบบด้วยการจำลองการโจมตีตามพฤติกรรมของภัยคุกคาม หรือในชื่ออย่างเป็นทางการคือการทดสอบเจาะระบบแบบ Intelligence-lead (iPentest) ในวันนี้ทีม Intelligent Response จะมานำเสนอและทดสอบใช้งานอีกหนึ่งโครงการโอเพนซอร์สที่น่าสนใจซึ่งช่วยในการประเมินความปลอดภัยของระบบในเบื้องต้นได้ โดยโครงการนี้เป็นผลงานจากบริษัท Guardicore ซึ่งมีชื่อว่า Infection Monkey ครับ

More

ในบทความนี้ ทีม Intelligent Response จะทำการรีวิวโอเพนซอร์สเฟรมเวิร์คซึ่งช่วยให้ผู้ที่ทำงานในสายงานด้านความมั่นคงปลอดภัยไซเบอร์สามารถทำการจำลองพฤติกรรมของภัยคุกคามเพื่อใช้ในการทดสอบและประเมินความปลอดภัยระบบตามแนวทาง iPentest ของธนาคารแห่งประเทศไทยได้

 

More

ในเดือนสิงหาคม 2019 Group-IB ได้ออกรายงาน Silence 2.0: Going Global อัปเดตการทำงานของกลุ่ม Silence ว่าได้ขยายการโจมตีเป็นทั่วโลก โดยจากกันยายน 2018 ที่ออกรายงานฉบับแรกมาจนถึงการออกรายงานฉบับที่ 2 นี้ Group-IB คาดว่ากลุ่ม Silence ได้สร้างความเสียหายกว่า 4.2 ล้านดอลลาร์สหรัฐฯ แล้ว

อ้างอิงจากรายงาน Silence 2.0: Going Global จาก Group-IB และ MITRE ATT&CK G0091 Silence สืบค้นเมื่อ 22 สิงหาคม 2019 ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัดจะสรุป Tactics, Techniques, and Procedures (TTP) ของกลุ่ม Silence ตาม MITRE ATT&CK Framework ดังต่อไปนี้
More

จากเหตุการณ์ที่ข้อมูลของ Capital One รั่วไหล กระทบลูกค้ากว่า 106 ล้านคน ในวันนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะมาวิเคราะห์เหตุการณ์ข้อมูลรั่วไหลของ Capital One รวมถึงแนวทางในการรับมือค่ะ โดยจะประกอบไปด้วยหัวข้อดังนี้

1. Executive Summary
2. Incident Timeline
3. Possible Vulnerabilities and Flaws
4. Recommendation
5. Reference
6. AWS Case study by Security Researcher

More

Ransomware หรือมัลแวร์เรียกค่าไถ่ เป็นมัลแวร์ที่ทำการเข้ารหัสไฟล์บนเครื่องที่ตกเป็นเหยื่อ โดยมักจะมีจดหมายเรียกค่าไถ่ระบุให้เหยื่อทำการจ่ายเงินเพื่อแลกกับกุญแจในการถอดรหัส หรือ เครื่องมือในการถอดรหัสไฟล์

ซึ่งในวันนี้ทีม Intelligent Response จาก บริษัทไอ-ซีเคียว จำกัดจะมาเล่าเกี่ยวกับการตรวจสอบระบบที่ติด Ransomware กันค่ะ ประกอบไปด้วย 2 หัวข้อ คือ

1. การตรวจสอบสายพันธุ์ของ Ransomware และ
2. การค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT

More

ในระบบ file system แบบ NTFS จะมีไฟล์ที่เรียกว่า $MFT หรือ Master File Table ซึ่งเป็นที่รวบรวมข้อมูลของไฟล์ทั้งหมดในไดร์ฟนั้นๆ แม้แต่ไฟล์ที่ถูกลบไปแล้ว ซึ่งในวันนี้ทีม Intelligent Response จาก บริษัทไอ-ซีเคียว จำกัด จะมาเล่าข้อมูลที่น่าสนใจเกี่ยวกับ $MFT ในด้าน digital forensic กันค่ะ
There is a file called Master File Table or MFT ($MFT) in NTFS file system. And today Intelligent Response team from i-secure Co., Ltd. will present you some interesting details about MFT.
More

อาจเป็นที่ทราบกันดีอยู่แล้วว่าเมื่อใดก็ตามที่เราเพิ่มคุณลักษณะด้านความปลอดภัย (Security) ให้มากยิ่งขึ้น คุณสมบัติด้านอื่นๆ อาทิ ความง่ายในการใช้งาน (Usability) และฟังก์ชันการทำงาน (Functionality) อาจจะสูญเสียไป แนวคิดนี้ยังส่งผลมาถึงคอมพิวเตอร์ซึ่งเราซื้อและใช้ในชีวิตประจำวันโดยทั่วไปของเราที่ถูกออกแบบมาให้คุณลักษณะด้านความปลอดภัย, ความง่ายในการใช้งานและฟังก์ชันการทำงานนั้นสมดุลกัน

อย่างไรด้วยฟีเจอร์อันมหาศาลในระบบปฏิบัติการอย่าง Windows ที่เราไม่เคยใช้หรือไม่เคยรู้ว่ามันมีอยู่ การยอมสละความง่ายในการใช้งานและฟังก์ชันการทำงานบางอย่างเพื่อเสริมความปลอดภัยในการใช้งานก็อาจเป็นแนวคิดที่สมเหตุสมผล

More

เมื่อวันที่ 17 มิถุนายน 2019 ที่ผ่านมา ทีม Security Engineer จาก Netflix ได้มีการเปิดเผย 4 ช่องโหว่ใหญ่ในส่วนของโปรแกรมซึ่งอิมพลีเมนต์โปรโตคอล TCP ในระบบ FreeBSD และลินุกซ์ ซึ่งส่งผลให้ด้วยการส่งแพ็คเกตที่มีลักษณะเฉพาะบางประการ แฮกเกอร์สามารถล่มระบบใดก็ได้ได้จากระยะไกล

ทีม Intelligent Response จาก บริษัทไอ-ซีเคียว จำกัด จะมาติดตามรายละเอียดของช่องโหว่นี้ พร้อมทั้งอธิบายที่มา การตรวจจับและการป้องกันการโจมตีช่องโหว่นี้ในโพสต์นี้กัน

More

นักวิจัยจาก Unit 42 ของ Palo Alto ออกรายงานระบุว่า ประเทศไทย ติดอันดับ 1 ใน 10 ของประเทศที่จะติด ransomware ชื่อว่า “Shade” หรือ “Troldesh” โดยสถิติดังกล่าวได้มาจากข้อมูลการดาวน์โหลดไฟล์ที่เกี่ยวข้องกับ Shade ransomware จากอุปกรณ์ firewall ที่ทาง Palo Alto ให้บริการกับลูกค้าอยู่ทั่วโลก ผ่านระบบ AutoFocus ของ Palo Alto ทำให้ได้ข้อมูล 10 อันดับของประเทศที่เสี่ยงติด Shade ransomeware โดยประเทศไทยอยู่ในอันดับที่ 4 รองจาก สหรัฐอเมริกา, ญี่ปุ่น และอินเดีย

More

 

จากเมื่อวันที่ 21 เมษายน 2019 ทีม KnownSec 404 จาก ZoomEye ประกาศการค้นพบช่องโหว่ระดับวิกฤติใน Oracle WebLogic Server ได้รับ CVE-2019-2725 ช่องโหว่ดังกล่าวกระทบ Oracle WebLogic Server รุ่น 10.x และรุ่น 12.1.3.0 เป็นช่องโหว่ที่สามารถรันคำสั่งจากระยะไกลได้ (remote code-execution) โดยที่ผู้โจมตีไม่จำเป็นต้องทำการเข้าสู่ระบบดังกล่าว ด้วยความร้ายแรงของช่องโหว่นี้ทำให้ Oracle ได้ออกแพตช์เฉพาะกิจมาเพื่อแก้ไขช่องโหว่ดังกล่าวในวันที่ 26 เมษายน 2019

โดยหลังจากที่ออกแพตช์ไม่นาน (2 พฤษภาคม 2019) นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์หลายบริษัทพบการโจมตี Oracle WebLogic Server รวมถึงมีการเผยแพร่ POC สำหรับค้นหาและโจมตีช่องโหว่ CVE-2019-2725 จำนวนมาก รวมถึงมีข่าวการโจมตีผ่านช่องโหว่ CVE-2019-2725 ด้วยมัลแวร์หลายครั้ง

หลังจากที่ได้ทำการศึกษาและทดสอบช่องโหว่ สำหรับในบล็อกนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะมาเล่าการทดสอบช่องโหว่ดังกล่าวให้ฟังกัน

More

 

สำหรับในบล็อกนี้นั้น ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะมาสรุปถึงการค้นพบสี่ช่องโหว่ใหม่ในฟังก์ชันการทำงานของซีพียู Intel ซึ่งผลลัพธ์ที่เป็นไปได้กรณีหนึ่งเมื่อมีการโจมตีช่องโหว่นี้นั้น คือทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่กำลังถูกประมวลผลโดยซีพียูแบบไม่มีขอบเขต และการป้องกันนั้นอาจทำให้ประสิทธิภาพการทำงานของซีพียูได้รับผลกระทบ โดยจากการตรวจสอบในเบื้องต้นนั้น ซีพียู Intel ตั้งแต่ปี 2011 จนถึงปัจจุบันจะได้รับผลกระทบจากช่องโหว่ทั้งหมด

More

ในช่วงสัปดาห์ทีผ่านมา ข่าวใหญ่ข่าวหนึ่งซึ่งเกี่ยวข้องกับการทำสงครามไซเบอร์ได้ถูกเปิดเผยโดย Symantec และสำนักข่าวหลายแห่งในต่างประเทศ เมื่อมีการเปิดเผยว่ากลุ่มแฮกเกอร์ซึ่งคาดว่าได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ APT3 มีการใช้ช่องโหว่ลับที่ถูกค้นพบและพัฒนาเป็นเครื่องมือในการโจมตีโดย National Security Agency (NSA) ของสหรัฐอเมริกาในการโจมตี ซึ่งเป็นเหตุการณ์ที่เกิดขึ้นก่อนที่จะมีการการรั่วไหลของข้อมูลของ NSA โดย The Shadow Brokers แฮกเกอร์จีนนำช่องโหว่ลับของอเมริกาไปใช้ทำอะไร? ช่องโหว่ดังกล่าวเป็นช่องโหว่เดียวกันหรือไม่? และคำถามสำคัญคือถ้าช่องโหว่ที่ถูกใช้เป็นช่องโหว่เดียวกัน กลุ่มแฮกเกอร์จีนสามารถเข้าถึงช่องโหว่และเครื่องมือสำหรับโจมตีนี้ได้อย่างไร?

More

โดยปกติแล้ว นักวิจัยด้านความปลอดภัยทางไซเบอร์มักจะมีการเผยแพร่ที่เกี่ยวข้องกับ Threat Intelligence หรือข้อมูลภัยคุกคามที่ถูกค้นพบล่าสุดอยู่ในแหล่งข้อมูลสาธารณะอย่าง Twitter หรือเว็บไซต์ของนักวิจัยด้วยความปลอดภัย ซึ่งเราสามารถสกัดเอาข้อมูลภัยคุกคามจากแหล่งข้อมูลสาธารณะมาใช้งานได้ฟรี

เพื่อให้การสกัดเอาข้อมูลภัยคุกคามจากแหล่งข้อมูลสาธารณะสามารถทำได้ง่ายขึ้น ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จะมาแนะนำเครื่องมือสำหรับสกัดและรวบรวมข้อมูลภัยคุกคามจากแหล่งข้อมูลสาธารณะ โดยเครื่องมือนี้มีชื่อว่า ThreatIngestor

More

ในอดีตหากพูดถึงการป้องกันเครื่องคอมพิวเตอร์ที่เราใช้งานกันอยู่ให้ปลอดภัยจากพวกโปรแกรมแปลกปลอมหรือที่คนส่วนมากมักจะเรียกกันว่า “ไวรัส” เพราะความสามารถในการแพร่กระจายโดยตัวเองของโปรแกรมแปลกปลอมบางตัว คล้ายคลึงกับไวรัสในโลกความเป็นจริง สำหรับปัจจุบันภัยคุกคามทางคอมพิวเตอร์ นอกจากภัยคุกคามจากการติดไวรัส หรือโปรแกรมที่มีความเสี่ยงที่ถูกเรียกรวมๆ ว่า “มัลแวร์” ก็ยังมีการโจมตีแบบไม่ต้องอาศัยการรัน (execute) ไฟล์บนเครื่อง อย่างเช่นการเข้าถึงเครื่องของเหยื่อผ่านช่องโหว่ (vulnerability) ของระบบปฏิบัติการหรือแอพพลิเคชั่นที่ทำงานอยู่บนเครื่อง เพื่อสั่งรันคำสั่งที่เป็นอันตรายโดยตรงบนหน่วยความจำของเครื่อง เช่น command line หรือ powershell เป็นต้น โดยการโจมตีลักษณะดังกล่าวนี้ถูกเรียกว่า “Fileless attack” ซึ่งสามารถถูกตรวจจับได้โดยผลิตภัณฑ์ Endpoint Protection ที่มีการบันทึกพฤติกรรมต่างๆ ที่เกิดบนเครื่อง หรือใช้ผลิตภัณฑ์ที่เรียกว่า Endpoint Detection and Response (EDR) ทั้งนี้ในบทความนี้จะกล่าวถึงการนำเครื่องมือตัวหนึ่งในชุดอุปกรณ์ของ Microsoft (Sysinternals suite) ที่เรียกว่า “sysmon” ซึ่งมีความสามารถในการบันทึกเหตุการณ์ต่างๆ ที่เกิดขึ้นบนเครื่องที่ติดตั้งเครื่องมือในรูปแบบของ Log เพื่อทำเป็น Endpoint Detection ด้วยตนเอง

More

เมื่อช่วงสงกรานต์ที่ผ่านมา นักวิจัยด้านความปลอดภัย chaignc จากทีม HexpressoCTF ได้มีเปิดเผยเทคนิคใหม่ในการโจมตี sudo ในระบบปฏิบัติการลินุกซ์เพื่อช่วยยกระดับสิทธิ์ของบัญชีผู้ใช้งานปัจจุบันให้มีสิทธิ์สูงขึ้นภายใต้ชื่อการโจมตีว่า SUDO_INJECT

ในบล็อกนี้ ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จะมาอธิบายถึงรายละเอียดการทำงานของ sudo ซึ่งทำให้เกิดเป็นช่องโหว่แบบ In-depth Vulnerability Analysis เพื่อความเข้าใจในสาเหตุการเกิดขึ้นของช่องโหว่นี้กันครับ

More

คำว่า Threat Intelligence หรือ ข้อมูลภัยคุกคาม นั้นมักเป็นคำที่ถูกใช้และพูดถึงกันอย่างแพร่หลายในแวดวงความปลอดภัยไซเบอร์ การครอบครองข้อมูลภัยคุกคามนั้นยิ่งข้อมูลมีคุณภาพมากเท่าไหร่และมาถึงเราเร็วมากเท่าไหร่ ความเป็นต่อในการรักษาความมั่นคงปลอดภัยของระบบยิ่งมีมากขึ้นเท่านั้น

อย่างไรก็ตาม Threat Intelligence หรือ ข้อมูลภัยคุกคามมักถูกมองว่าเป็นโซลูชันหรือผลิตภัณฑ์ที่มีราคาแพง โดยเฉพาะข้อมูลภัยคุกคามเฉพาะภาคส่วนหรือข้อมูลภัยคุกคามที่มีที่มาจาก Dark Web ดังนั้นในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จะมานำเสนออีกด้านหนึ่งของการรับและใช้งานข้อมูลภัยคุกคามที่ฟรีและยังการันตีได้ถึงคุณภาพอีกด้วย ผ่านแพลตฟอร์มที่ชื่อว่า Malware Information Sharing Platform หรือ MISP

More

เมื่อช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา Canonical บริษัทผู้พัฒนา Ubuntu ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ที่ได้รับชื่อเรียกว่า Dirty Sock ค้นพบโดย Chris Moberly นักวิจัยจาก Shenanigans Labs ช่องโหว่ไม่ได้เป็นปัญหาของระบบปฏิบัติการ Linux โดยตรง แต่เป็นปัญหาในส่วนของ service ที่มีชื่อว่า Snapd ซึ่งถูกติดตั้งเป็น service พื้นฐานบนระบบปฎิบัติการ Linux หลายตัว เช่น Ubuntu, Debian, Arch Linux, OpenSUSE. Solus และ Fedora ถูกใช้เพื่อจัดการเกี่ยวกับการดาวโหลดและติดตั้งไฟล์ที่เป็น snaps (.snap) แพ็กเกจ ส่งผลให้ผู้ไม่หวังดีสามารถสร้างบัญชีที่มีสิทธิ์ระดับ root (Privilege Escalation) บนเครื่องได้ ผ่านช่องโหว่ใน API ของ Snapd

More

On December 19, 2018, SandboxEscaper released details about another zero-day vulnerability in Microsoft Windows with PoC. This vulnerability, if successfully attack, can be used to bypass restricted DACL of files and let the attacker to gain arbitrary access to file's content.

i-secure's Intelligent Response team discovered the indicator that can be used to detect if this vulnerability has been exploited with the public PoC or the same techniques. Read more in the blog post.

More

เมื่อวันที่ 19 ธันวาคม 2018 ตามเวลาประเทศไทย นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านไฟล์ใดๆ บนเครื่องได้แม้แต่ไฟล์ที่ให้สิทธิ์เฉพาะผู้ใช้งานระดับ Administrator ผลกระทบที่อาจเกิดจากช่องโหว่นี้คือ ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านและสามารถคัดลอกไฟล์ได้แม้ไม่มีสิทธิ์เข้าถึงไฟล์เหล่านั้น

More

นักวิจัยจาก Radboud University ประเทศเนเธอร์แลนด์ค้นพบช่องโหว่ในฟีเจอร์ Self-Encrypting Drives ที่มีใน Solid State Disk (SSD) หลายยี่ห้อ โดยฟีเจอร์ Self-Encrypting เป็นฟีเจอร์สำคัญในกระบวนการเข้ารหัสอุปกรณ์ฮาร์ดดิสก์ซึ่งจะดำเนินการโดยตัวอุปกรณ์เอง ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถข้ามผ่านกระบวนการเข้ารหัสและเข้าถึงข้อมูลที่ถูกเข้ารหัสในอุปกรณ์ดังกล่าวได้โดยไม่ต้องทราบข้อมูลที่ใช้ในการพิสูจน์ตัวตน เช่น รหัสผ่านซึ่งถูกใช้เป็นกุญแจในการเข้ารหัส ที่ผู้ใช้งานตั้งเพื่อเข้ารหัสข้อมูลดังกล่าว

นอกจากนี้ ช่องโหว่ยังกระทบกับโปรแกรมเข้ารหัส BitLocker ของ Microsoft Window ที่เป็นการเข้ารหัสข้อมูลในอุปกรณ์จัดเก็บข้อมูลโดยซอฟต์แวร์ด้วยเนื่องจาก BitLocker จะเลือกใช้การเข้ารหัสในระดับ hardware หาก SSD นั้นรองรับ

นักวิจัยผู้ค้นพบช่องโหว่ให้คำแนะนำว่าผู้ใช้ SSD ที่ต้องการเข้ารหัสไม่ควรพึ่งพาความสามารถ Self-Encrypting Drives ที่มีใน SSD เพียงอย่างเดียว โดยควรเลือกใช้ซอฟต์แวร์เข้ารหัสเพื่อเพิ่มความปลอดภัยอีกชั้นร่วมด้วย

More

บริษัทด้านความปลอดภัยบน IoT(Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ค้นพบช่องโหว่ใหม่ชื่อว่า BLEEDINGBIT ภายใน Bluetooth Low Energy (BLE) chip ที่ผลิตจาก Texas Instruments (TI) ทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถรันคำสั่งเป็นอันตรายได้จากระยะไกล (remote code execution) ส่งผลกระทบกับอุปกรณ์ที่ใช้ chip ดังกล่าวซึ่งรวมไปถึง Access point สำหรับ enterprise ที่ผลิตโดย Cisco, Meraki และ Aruba ผู้ดูแลระบบควรตรวจสอบอุปกรณ์ภายในองค์กรว่าได้รับผลกระทบหรือไม่ และทำการอัปเดตแพตช์จากผู้ผลิตเพื่อความปลอดภัย

More

อีเมลหลอกลวง (email scam) มีประวัติศาสตร์อยู่คู่กับอินเตอร์เน็ตมาอย่างช้านาน หลายๆ คนคงจะเคยได้ยินเรื่องเกี่ยวกับอีเมลหลอกลวงที่ส่งมาจากคนต่างชาติว่าคุณได้รับมรดกจำนวนหลายล้านดอลลาร์สหรัฐฯ จากญาติห่างๆ คุณเพียงต้องจ่ายเงินค่าดำเนินการเพียงไม่กี่ดอลลาร์สหรัฐฯ เพื่อรับมรดกเหล่านั้น (Advance-fee scam) หรือจะเป็นอีเมลหลอกลวงที่บอกว่าฉันรู้ความลับว่าคุณแอบเข้าเว็บไซต์หนังโป๊ ถ้าไม่อยากให้ใครรู้ต้องจ่ายเงินมาแลกกับการไม่เปิดเผยความลับเหล่านั้น (Sextortion)

วันนี้ทีมตอบสนองการโจมตีและภัยคุกคามจะมาเตือนภัยอีเมลหลอกลวงในรูปแบบ Sextortion ที่พัฒนาให้น่าเชื่อถือมากขึ้น และแพร่ระบาดมาถึงประเทศไทยแล้ว

More

ถ้าพูดถึงกลุ่มก่อการร้ายทางไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ชื่อแรกที่ทุกคนนึกถึงคงจะเป็นกลุ่ม Lazarus Group หรือที่เป็นที่รู้จักในชื่อ HIDDEN COBRA และ Guardians of Peace ที่เพิ่งมีประกาศแจ้งเตือนจาก US-CERT ให้ระวังแคมเปญการโจมตีไปเมื่อไม่นานมานี้ รวมทั้งเชื่อว่าเป็นต้นเหตุของการปล่อย WannaCry ransomware ในปี 2017 การโจมตีธนาคารต่างๆ และการโจมตีบริษัท Sony Pictures ในปี 2014 แต่เมื่อวันที่ 3 ตุลาคม 2018 ที่ผ่านมา FireEye ได้ออกรายงานชิ้นใหม่เปิดเผยข้อมูลว่าแท้จริงแล้วผลงานของกลุ่มก่อการร้ายที่ถูกสื่อเรียกรวมกันว่าเป็นผลงานของ Lazarus Group เพียงกลุ่มเดียวนั้น แท้จริงแล้วเป็นผลงานของกลุ่มก่อการร้ายถึงสามกลุ่ม แบ่งออกเป็นกลุ่มที่มีเป้าหมายก่อการร้ายทางไซเบอร์สองกลุ่ม คือ TEMP.Hermit และ Lazarus Group กับกลุ่มที่มีเป้าหมายโจมตีสถาบันการเงิน คือ APT38 โดยรายงานฉบับดังกล่าวมีชื่อว่า APT38: Un-usual Suspects เน้นให้รายละเอียดของกลุ่ม APT 38 ที่แตกต่างจากกลุ่ม TEMP.Hermit และ Lazarus Group

More

วันที่ 2 ตุลาคม 2018 US-CERT ได้ออกประกาศแจ้งเตือนแคมเปญการโจมตีใหม่จากกลุ่ม HIDDEN COBRA หรือกลุ่ม Lazarus Group จากเกาหลีเหนือ แคมเปญดังกล่าวถูกตั้งชื่อว่า FASTCash เป็นการมุ่งโจมตีเพื่อทำการนำเงินออกจากเครื่อง ATM โดยหน่วยงานต่างๆ ของรัฐบาลสหรัฐฯ ได้แก่ กระทรวงความมั่นคงแห่งมาตุภูมิ กระทรวงการคลังสหรัฐฯ และสำนักงานสอบสวนกลาง (FBI) ได้ร่วมกันระบุมัลแวร์และ indicators of compromise (IOCs) ที่ถูกใช้ในแคมเปญ FASTCash ดังกล่าว และได้ระบุ IOCs ไว้ในประกาศแจ้งเตือน ซึ่ง FBI มีความมั่นใจอย่างมากว่ากลุ่ม HIDDEN COBRA กำลังใช้ IOCs เหล่านั้นเพื่อฝังตัวเข้าไปในระบบเน็ตเวิร์คของเหยื่อและโจมตีระบบเน็ตเวิร์คอยู่ในขณะนี้

More

เมื่อเช้าวันอังคารที่ 28 สิงหาคม ตามเวลาในประเทศไทย ผู้ใช้งาน Twitter ที่มีชื่อว่า “SandboxEscaper” ได้เปิดเผยช่องโหว่ใหม่บนระบบปฏิบัติการ Windows ที่ยังไม่ได้มีการออกแพตซ์ใดๆ จาก Microsoft (zero-day) พร้อมทั้งได้มีการเผยแพร่ PoC code และไฟล์ที่สามารถใช้ในการทดสอบโจมตีช่องโหว่ดังกล่าวบน GitHub

More

ในวันที่ 22 สิงหาคม 2018 ที่ผ่านมา Apache ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ร้ายแรงระดับวิกฤติ (critical) ใน Apache Struts เพื่อแก้ไขช่องโหว่ CVE-2018-11776 ซึ่งเป็นช่องโหว่ remote code execution กระทบ Apache Struts รุ่น 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 และอาจส่งกระทบกับ Apache Struts รุ่นอื่นๆ ที่เลิกซัพพอร์ตแล้ว ทั้งนี้ช่องโหว่ remote code execution ถือเป็นช่องโหว่ที่มีความร้ายแรงสูงสุด เนื่องจากมีความเสี่ยงที่ผู้โจมตีจะรันคำสั่งอันตรายจนกระทั่งยึดครองทั้งระบบได้ ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน

More

นักวิจัยด้านความปลอดภัยจาก Tenable Security “Jacob Baines” ค้นพบว่าโปรแกรม OpenVPN จะทำการรันหรือเอ็กซีคิวต์คำสั่งใดๆ ที่ต่อท้ายฟิลด์ “up” ซึ่งเป็นฟิลด์การตั้งค่าหนึ่งตามรูปแบบของ OVPN ดังนั้นหากมีการแก้ไขไฟล์ OVPN โดยการเพิ่มคำสั่งอันตรายต่อท้ายฟิลด์ “up” ผู้ใช้งานก็จะมีการรันคำสั่งที่เป็นอันตรายดังกล่าวทันทีเมื่อพยายามเชื่อมต่อ VPN

More

Intel ร่วมกับนักวิจัยเปิดเผยสามช่องโหว่ใหม่ภายใต้ชื่อ L1 Terminal Fault (L1TF) หรือ Foreshadow โดยเป็นการต่อยอดจากช่องโหว่ Meltdown ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงคำสั่งและข้อมูลที่กำลังทำงานอยู่ในซีพียู รวมไปถึงส่วนของซีพียูที่ถูกป้องกันด้วยฟีเจอร์ป้องกันการเข้าถึงข้อมูลได้

ช่องโหว่ Foreshadow นี้ส่งผลโดยตรงกับคุณสมบัติของฟีเจอร์ Intel Software Guard Extensions (Intel SGX) ซึ่งมีหน้าที่สำคัญในการป้องกันการเข้าถึงข้อมูลจากโปรแกรม โค้ด ระบบปฏิบัติการหรือแม้แต่ hypervisor เองหากไม่ได้รับอนุญาตให้เข้าถึง

ในมุมของผู้ใช้งานนั้น ผลลัพธ์ของช่องโหว่ Foreshadow อาจคล้ายหรือใกล้เคียงกับผลลัพธ์ของช่องโหว่ Spectre หรือ Meltdown อย่างไรก็ตาม Foreshadow ระบุเฉพาะเจาะจงไปที่ซีพียูที่มีการใช้งานฟีเจอร์ป้องกัน Intel SGX ที่มักจะถูกเปิดใช้งานบนระบบที่ต้องการความปลอดภัยสูง และบ่งบอกว่าจะมีการป้องกันในระดับฮาร์ดแวร์ก็ยังคงได้รับผลกระทบอยู่เช่นกัน

More

ในวันที่ 25 กรกฏาคม 2018 US-CERT ออกคำเตือนถึงความเป็นไปได้ที่จะเกิดการโจมตีระบบ ERP เพิ่มมากขึ้น โดยอ้างอิงจากรายงานร่วมระหว่าง Digital Shadows และ Onapsis ชื่อ ERP Applications Under Fire: How Cyber Attackers Target the Crown Jewels ซึ่งเป็นรายงานวิเคราะห์เกี่ยวกับการโจมตีระบบ ERP ของสองค่ายใหญ่ SAP และ Oracle

More

Welcome GDPR !!! หากใครได้มีการติดตามข่าวสารด้านความปลอดภัยจะพบว่าช่วงสัปดาห์ที่ผ่านมา มีรายงานกรณีข้อมูลของผู้ใช้งานรั่วไหลออกมาจากบริษัทต่างๆหลายแห่ง ซึ่งมีทั้งบริษัทที่อยู่ในยุโรป และในเอเชีย ทีมตอบสนองการโจมตีและภัยคุกคามจึงได้ทำการสรุปเหตุการณ์ต่างๆจากรายงานที่พบมา ดังนี้

More

หลังจากการค้นพบปฏิบัติการและมัลแวร์ VPNFilter เมื่อช่วงพฤษภาคมที่ผ่านมาซึ่งพุ่งเป้าโจมตีอุปกรณ์กว่า 500,000 รายการทั่วโลก ทีม Cisco Talos ได้ประกาศข้อเท็จจริงและข้อมูลเพิ่มเติมเกี่ยวกับปฏิบัติการดังกล่าวเมื่อวานที่ผ่านมาซึ่งรวมไปถึงรายการอุปกรณ์ที่ได้รับผลกระทบเพิ่มเติมและโมดูลการโจมตีใหม่ที่ถูกค้นพบในมัลแวร์ด้วย

More

ทีมนักวิจัยด้านความปลอดภัยจากบริษัท Snyk ได้ออกมาเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อ Zip Slip โดยการโจมตีช่องโหว่ดังกล่าวนั้นอาจทำให้เหยื่อทำการรันโค้ดอันตรายโดยไม่รู้ตัวเมื่อทำการคลายการบีบอัดหรือแตกไฟล์บีบอัดซึ่งถูกสร้างมาอย่างเฉพาะเจาะจาง และนำไปสู่ความเสี่ยงต่อคุณสมบัติด้านความปลอดภัยในระบบได้

More

ทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท Cisco ได้มีการเปิดเผยปฏิบัติการการแพร่กระจายมัลแวร์ซึ่งมุ่งโจมตีอุปกรณ์เครือข่ายตามบ้าน (Small Office/Home Office) โดยใช้มัลแวร์ชนิดใหม่ชื่อ VPNFilter ซึ่งในขณะนี้น่าจะมีอุปกรณ์ที่ติดมัลแวร์แล้วอย่างน้อย 500,000 เครื่องทั่วโลก

มัลแวร์ VPNFilter นั้นเมื่อถูกติดตั้งลงในอุปกรณ์แล้ว มันสามารถที่จะดักจับข้อมูลที่ส่งผ่านอุปกรณ์, ขโมยข้อมูลหรือแม้กระทั่งตัดอินเตอร์เน็ตและทำลายอุปกรณ์ให้ไม่สามารถใช้งานต่อได้ ด้วยความซับซ้อนของมัลแวร์ VPNFilter และความเหมือนกับมัลแวร์อีกชนิดหนึ่ง ทีม Talos จึงลงความเห็นว่าปฏิบัติการการโจมตีที่เกิดขึ้นนั้นน่าจะมีประเทศใดประเทศหนึ่งอยู่เบื้องหลังการโจมตี หรือกลุ่มผู้โจมตีอาจได้รับการสนับสนุนทรัพยากรแหล่งทรัพยากรระดับประเทศ (nation-state)

More

เมื่อสัปดาห์ที่ผ่านมา ทีมนักวิจัยซึ่งประกอบด้วยนักวิจัยจาก Münster University of Applied Sciences, Ruhr University Bochum และ KU Leuven ได้ร่วมกันเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อช่องโหว่ว่า EFAIL โดยช่องโหว่ดังกล่างนั้นเป็นช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของข้อมูลเมื่ออีเมลถูกเข้ารหัสด้วยเทคโนโลยีอย่าง OpenPGP และ S/MIME ซึ่งจำเป็นต้องอาศัยการดักจับและแก้ไขข้อมูลรวมไปถึงปัญหาในโปรแกรมอ่านอีเมลด้วยได้

ช่องโหว่ EFAIL นั้นเกิดขึ้นจากปัญหาด้านความปลอดภัยหลายปัจจัย โดยในบล็อกนี้นั้นทีมตอบสนองการโจมตีและภัยคุกคามจะมาอธิบายปัญหาดังกล่าวซึ่งนำไปสู่การเกิดขึ้นของช่องโหว่ ข้อเท็จจริงของช่องโหว่ พร้อมทั้งวิธีการลดผลกระทบจากช่องโหว่นี้

More

สรุปวิธีการในเบื้องต้นเกี่ยวกับการทำ BGP hijacking เพื่อรีไดเร็คทราฟิกไปยัง Poisoned DNS server ในกรณีของการขโมย cryptocurrency จาก myetherwallet.com

More

หลังจากโครงการ Drupal ประกาศพบช่องโหว่ร้ายแรงรหัส CVE-2018-7600 หรือ SA-CORE-2018-002 ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x เมื่อวันที่ 28 มีนาคมที่ผ่านมานั้น ในตอนนี้โค้ดสำหรับโจมตีช่องโหว่ดังกล่าวก็ได้มีการถูกเผยแพร่ออกสู่สาธารณะและถูกนำมาใช้ในการโจมตีจริงแล้ว ทีมผู้เชี่ยวชาญด้านความปลอดภัยบนเว็บแอปพลิเคชันจาก บริษัท ไอ-ซีเคียว จำกัด จึงจะขอนำช่องโหว่และโค้ดสำหรับโจมตีช่องโหว่มาอธิบายเพื่อสร้างความตระหนักรู้ซึ่งจะนำไปสู่การควบคุมและจัดการความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่นี้

More

ทีมงาน Drupal ประกาศออกแพตช์แก้ไขช่องโหว่ระดับความรุนแรงสูง SA-CORE-2018–002 (CVE-2018-7600) เป็นช่องโหว่ประเภท Remote Code Execution หรือช่องโหว่ที่สามารถรันคำสั่งใดๆ บนเครื่องเว็บเซิฟเวอร์ที่ติดต้ัง Drupal ได้โดยไม่ต้องพิสูจน์ตัวตน มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x

More

ทีมนักวิจัยด้านความปลอดภัย Unit 42 จาก Palo Alto Networks ได้ประกาศสถิติการแพร่กระจายของมัลแวร์ประเภท miner ซึ่งพุ่งเป้าไปที่การสร้างผลกำไรในสกุลเงินออนไลน์แบบเสมือนย้อนหลัง 4 เดือน โดยพบว่ายอดดาวโหลดไฟล์โปรแกรมของมัลแวร์ประเภทดังกล่าวในอันดับที่ 1 นั้นมีที่มาจากประเทศไทยกว่า 3,500,000 ครั้ง และมากกว่าอันดับ 2 เกือบเท่าตัว

More

นักวิจัยด้านความปลอดภัย Jann Horn จาก Google Project Zero และคณะวิจัยร่วมจากมหาวิทยาลัยและบริษัทด้านความปลอดภัยได้ประกาศการค้นพบช่องโหว่ใหม่ที่มีความร้ายแรงสูง โดยมีที่มาจากกระบวนการทำงานที่อยู่ในหน่วยประมวลผลกลาง (CPU) ซึ่งส่งผลกระทบต่อคอมพิวเตอร์เกือบทุกเครื่องที่มีการใช้ซีพียูในรุ่นที่มีช่องโหว่ รวมไปถึง คอมพิวเตอร์ส่วนบุคคล, อุปกรณ์พกพาและระบบคลาวด์ ผลกระทบจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่กำลังประมวลผลอยู่ในระบบได้โดยไม่สนว่าโปรแกรมใดจะเป็นเจ้าของโปรแกรมนั้น หรือมีสิทธิ์/การป้องกันใดที่ปกป้องข้อมูลดังกล่าวอยู่

More

ในช่วงก่อนหน้านี้ เรามักจะพบ Virus, Trojan, Worm ในการโจมตีระบบและเครื่องของเราทำให้เครื่องเราช้าและไม่สามารถใช้งานได้ แต่ในปัจจุบันพบว่ามีคนไทยไม่น้อยที่ติด Ransomware โดย Ransomware เป็น malware ที่มุ่งเป้าไปยังผู้ใช้งาน Windows และแพร่ผ่านการส่ง spam email ไปยังผู้ใช้งานต่างๆด้วยหัวข้อหรือคำพูดที่น่าสนใจหรือดึงดูดให้คนกดเข้าไปเพื่ออ่านหรือ download file แนบเหล่านั้น โดยเมื่อเครื่องผู้ใช้งานติด malware ประเภทนี้แล้ว จะทำการเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่องของเราทำให้เราไม่สามารถอ่านเอกสารเหล่านั้นได้ หรือในบางครั้งถึงกับ Lock เครื่องไว้ ทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเครื่องได้เลยทีเดียว จากนั้น Ransomware ก็จะแสดงข้อความขู่ผู้ใช้งานต่างๆนาๆ ให้โอนเงิน(โดยปัจจุบันมักจะให้จ่ายในรูปแบบของ Bitcoin) ให้กับ Hacker ก่อนที่ข้อมูลเหล่านั้นจะถูกลบทิ้งไป โดย Ransomware ตัวที่แพร่หลายมากในปัจจุบันคือ CryptoLocker และ Cryptowall นั่นเอง

More

สงคราม Cyber นับวันยิ่งทวีความรุนแรง ประโยชน์ของอินเทอร์เน็ตก็ยังคงเป็นสิ่งที่แฮ็คเกอร์พยายามขวนขวายหาผลประโยชน์อยู่เสมอ แต่นับวันระบบตรวจจับการโจมตีและการพยายามจับตัวผู้กระทำผิดนั้นก็ก้าวหน้าขึ้นทุกวัน อีกทั้งการวิเคราะห์มัลแวร์ (Malware) ต่างๆก็สามารถทำได้ง่ายขึ้น แฮ็คเกอร์จึงหาวิธีหลบเลี่ยงการตรวจจับหรือการตามตัวแฮ็คเกอร์ด้วยการเข้ารหัสข้อมูล (encryption) ซึ่งนั่นก็คือการนำไปสู่โลกแห่งเครือข่ายเข้ารหัสที่ชื่อว่า Tor Network นั่นเอง

More

หลังจากการติดตั้งระบบปฎิบัติการใดๆก็แล้วแต่ เรามักจะติดตั้ง Antivirus ต่อทันที เนื่องด้วยภัยอันตรายในการใช้งานอินเตอร์เน็ต และถือว่าเป็นหลักพื้นฐานทั่วไปในการติดตั้งเครื่องคอมพิวเตอร์ตามบ้านไปเสียแล้ว แต่คนทั่วไปหารู้ไม่ว่าการกระทำเหล่านั้นไม่ได้ช่วยอะไรเลย หากเราไม่มีวินัยหรือการระแวดระวังภัยอันตรายต่างๆที่เข้ามาทางอินเตอร์เน็ตมากพอ ที่ผมกำลังจะพูดถึงคือการที่เราติด Malware (ไวรัส, เวิร์ม, แรมซั่มแวร์, backdoor และอื่นๆ) ได้ แม้ว่าเครื่องเราจะติดตั้ง Antivirus แบบอัพเดตล่าสุดแล้วก็ตามที

More

เราทราบกันดีว่าภัยคุกคามมีการเพิ่มมากขึ้นทุกๆวัน มีการคิดค้นวิธีการโจมตีใหม่ๆมากมาย ไม่ว่าจะเป็นการ Obfuscation ในรูปแบบต่างๆ, Advance Persistent Threat และอื่นๆอีกมากมาย ทำให้เหล่าผู้ที่ทำงานอยู่ในศูนย์ระวังภัยคุกคามต่างๆ (Security Operations Center: SOC) ต้องปวดหัวที่จะปรับตัวตามอยู่เสมอ จึงเกิดแนวคิดพัฒนา SOC แบบใหม่ที่ชื่อว่า Next Generation SOC หรือ Security Operations Function (SOF) ขึ้นมาแทน

More

ช่วงที่ผ่านมามีคนตั้งคำถามมากมายเกี่ยวกับการเก็บรหัสผ่าน(Password) ของเว็บไซต์ต่างๆทั่วโลกรวมถึงประเทศไทยด้วย ว่าการเก็บเป็นแบบข้อความโดยไม่มีการเข้ารหัส (plain text) สมควรหรือไม่ บางคนก็ว่าเว็บไซต์ไม่ได้มีการทำธุรกรรมออนไลน์ใดๆ ไม่จำเป็นต้องเก็บแบบเข้ารหัสหรอก ไม่ต้องให้ความสำคัญหรือจริงจังอะไร แต่หารู้ไม่ว่าการเก็บข้อมูล password แบบไม่เข้ารหัสนั้นแฝงไปด้วยภัยอันตราย

More

การเข้ารหัสการสื่อสารข้อมูลระหว่างเครื่อง client และเครื่อง server เริ่มมีการใช้งานกันอย่างแพร่หลาย และ library ที่ใช้กันอย่างแพร่หลายคือ OpenSSL เพราะเป็น Open Source และสามารถใช้ได้ทั้งใน TLS, SSL Protocol ทำให้มีผู้นำไปพัฒนาใช้กับโปรแกรมประเภทต่างๆมากมาย แต่ในเมื่อวันที่ 7 เมษายน 2557 ที่ผ่านมามีการเปิดเผยช่องโหว่ OpenSSL ในส่วนของ Heartbeat extension จาก OpenSSL โดยผู้แจ้งคือ Riku, Antti และ Matti

More

ในวันที่ 5/06/2014 ที่ผ่าน มีการเปิดเผยโดยนักวิจัยทางด้านความปลอดภัยที่ใช้ชือว่า Pinkie Pie ได้ตรวจพบช่องโหว่ใน function futex_requeue() ในไฟล์ kernel/futex.c ซึ่งเป็นโค้ดของ Futex component ที่อยู่ใน Linux Kernel 2.6.32.62/3.2.59/3.4.91/3.10.41/3.12.21/3.14.5 ทำให้เกิดช่องโหว่การเพิ่มสิทธิ์ของ user ได้(Privilege Escalation Vulnerability) ส่งผลให้หาก Hacker สามารถโจมตีเข้าถึงเครื่องได้ไม่ว่าจะด้วย user ใด ๆ

More

ในปัจจุบันเราจะเห็นข่าวข้อมูลรั่วไหลจากองค์กรและบริษัทต่างๆมากมาย ข้อมูลที่หลุดออกมาไม่ว่าจะเป็น ข้อมูลแผนการตลาด, ข้อมูลของลูกค้าที่ใช้บริการ, ข้อมูลบัตรเครดิตของลูกค้า, ข้อมูลเงินเดือนของพนักงาน และอื่นๆอีกมากมาย ส่งผลให้องค์กรหรือบริษัทเหล่านั้นสูญเสียและมีผลกระทบมากมาย โดยสิ่งที่องค์กรเหล่านั้นสูญเสียนั้นมีหลายๆสิ่งที่ไม่สามารถตีค่าเป็นตัวเงินได้ ไม่ว่าจะเป็น ความน่าเชื่อถือขององค์กร, ความเชื่อมั่นของลูกค้า, ชื่อเสียงขององค์กร

More

ตรวจสอบ version OpenSSL ที่ใช้งาน

• • openssl version -a

หากเป็น version 1.0.1, 1.0.1a-1.0.1f หรือ 1.0.2-beta แสดงว่าเป็นเวอร์ชั่นที่มีความเสี่ยงที่จะมีช่องโหว่

More

บทนำ

ในอดีตเมื่อ 10-20 ปีที่แล้ว หากพูดว่าเราทุกคนสามารถทำงานหรือใช้ชีวิตอยู่กับบ้านได้ โดยที่เรายังคงทำงาน พูดคุยซื้อขายของ ได้อย่างปกติคงเป็นเรื่องเพ้อฝันไม่น้อย แต่พอมาถึงวันนี้ วันที่ตู้เย็นสามารถสั่งของให้ได้เองอัตโนมัติ วันที่เราสามารถประชุมงานสำคัญผ่านระบบ video conference ได้ วันที่เราสามารถขายของออนไลน์ได้ตลอด 24 ชม.

More