News

พัฒนา Threat Hunting Use Case กับ CrowdStrike Events App

นอกเหนือจากความพร้อมของข้อมูลที่จะถูกใช้เพื่อระบุหาการมีอยู่ของภัยคุกคาม ปัจจัยที่มีความสำคัญอีกปัจจัยหนึ่งซึ่งจะการันตีความสำเร็จของการระบุหาภัยคุกคามในรูปแบบของ Threat hunting นั้น คือการคิดค้นและพัฒนาสมมติฐานหรือไอเดียที่จะใช้ในการระบุการมีอยู่ของภัยคุกคามดังกล่าวในเชิงรุก (proactive) รวมไปถึงการประเมินและปรับปรุงให้สมมติฐานหรือ Hunting use case นั้นสามารถใช้งานได้จริงและเกิดประสิทธิภาพ

ในบทความนี้ทีมตอบสนองภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาสาธิตการพัฒนา Hunting use case บนเทคโนโลยีซึ่งเรามีความถนัด 2 เทคโนโลยี ได้แก่ CrowdStrike Falcon ซึ่งจะทำหน้าที่เป็นส่วน Endpoint detection and response (EDR) ในการเก็บข้อมูลจากระบบต่างๆ มาระบุหาการมีอยู่ของภัยคุกคามโดยใช้ Splunk Search Processing Language (SPL) กับฟีเจอร์ CrowdStrike Events App ซึ่งใช้ Splunk เป็นเทคโนโลยีหลังบ้านหลักครับ

สำหรับสถานการณ์จำลองที่ทีมตอบสนองภัยคุกคามจะสาธิตการทำ Threat hunting นั้น เราจะทำการพัฒนา SPL โดยนำแนวคิดมาจาก Hunting use case ซึ่งถูกเผยแพร่โดย Red Canary ในงาน BlackHat USA 2019 ภายใต้หัวข้อ Fantastic Red Team Attacks and How to Find Them
Fantastic Red Team Attacks and How to Find Them - A Summary
ก่อนที่เราจะไปดูกันที่ใจความสำคัญของบล็อกนี้ เราจำเป็นที่จะต้องเข้าใจเนื้อหาและเป้าหมายของหัวข้อการบรรยายจากทาง Red Canary ก่อน สำหรับการบรรยายในหัวข้อ Fantastic Red Team Attacks and How to Find Them นั้น Casey Smith ซึ่งปัจจุบันดำรงตำแหน่ง Director of applied research ของ Red Canary ได้มีการเปิดเผยเทคนิคการโจมตีใหม่ซึ่งใช้ไบนารี dbgsrv.

Half of Oracle E-Business customers open to months-old bank fraud flaw

พบ Oracle E-Business Suite ยังไม่อัปเดตแพตช์จำนวนมาก มีความเสี่ยงต่อช่องโหว่ที่ใช้โกงเงินได้

Oracle E-Business Suite ของลูกค้านับพันรายมีช่องโหว่ด้านความปลอดภัยที่สามารถถูกใช้ประโยชน์สำหรับการโกงทางด้านการเงิน Onapsis บริษัทด้านความปลอดภัยได้ประมาณการว่ากว่าครึ่งของบริษัทที่ใช้ซอฟต์แวร์ Oracle EBS ยังไม่ได้รับการแพตช์ CVE-2019-2648 และ CVE-2019-2633 ถึงแม้จะมีแพตช์ออกมาตั้งแต่เดือนเมษายนที่ผ่านมาแล้วก็ตาม
สองช่องโหว่ได้ถูกอธิบายว่าเป็น reflected SQL injections ผู้โจมตีที่เข้าถึง EBS server อาจส่งคำสั่งไปยังเครื่องที่มีความเสี่ยง
ข้อบกพร่องนี้เป็นอันตรายต่อ EBS โดยเฉพาะเครื่องที่ใช้โมดูลการเงิน โมดูลการเงินนี้สามารถตั้งเวลาฝากเงินโดยตรงและการโอนเงินอัตโนมัติให้กับคู่ค้า รวมทั้งจัดการใบแจ้งหนี้และใบสั่งซื้อต่างๆ ซึ่งหากผู้โจมตีทำการ SQL injection ก็จะสามารถแก้ไขรายการโอนเงินเหล่านั้นในการนำเงินสดไปยังบัญชีที่พวกเขาต้องการ
การแนะนำสำหรับปัญหานี้คือการอัปเดตแพตช์ให้เป็นรุ่นล่าสุด

ที่มา : theregister

NSA Publishes Advisory Addressing Encrypted Traffic Inspection Risks

 

NSA เผยแพร่คำแนะนำให้กับความเสี่ยงที่เกิดจากการใช้งาน Transport Layer Security Inspection (TLSI)

National Security Agency (NSA) เผยแพร่คำแนะนำให้กับความเสี่ยงที่เกิดจากการใช้งาน Transport Layer Security Inspection (TLSI) ซึ่งอาจทำให้องค์กรมีความปลอดภัยน้อยลงTLSI หรือ TLS break and inspect หรือ ssl decryption เป็นกระบวนการที่องค์กรสามารถตรวจสอบ traffic ที่เข้ารหัสด้วยความช่วยเหลือของผลิตภัณฑ์ เช่น proxy IDS หรือ IPS ที่สามารถถอดรหัสเพื่อดูข้อมูล แล้วเข้ารหัสข้อมูลกลับไป องค์กรบางแห่งใช้เทคนิคนี้ในการตรวจสอบภัยคุกคามที่อาจเกิดขึ้น เช่น การแอบนำข้อมูลออก การติดต่อไปยังช่องทางการสื่อสารคำสั่งและการควบคุม (C2) หรือ การส่งมัลแวร์ผ่านทราฟฟิกที่เข้ารหัส เทคนิคนี้อาจนำไปสู่ความเสี่ยงอื่นๆ ได้

เครื่องมือ TLSI ที่ไม่ตรวจสอบความถูกต้องของใบรับรอง transport layer security (TLS) ให้ดีจะทำให้การป้องกันแบบ end-to-end ที่ได้จากการเข้ารหัส TLS แก่ผู้ใช้ปลายทางอ่อนแอลงอย่างมากและเพิ่มโอกาสที่ถูกโจมตีในรูปแบบ man-in-the-middle attack
ผู้โจมตีสามารถใช้ประโยชน์จากอุปกรณ์ TLSI โดยโจมตีอุปกรณ์ดังกล่าวเพื่อเข้าถึงข้อมูลที่ถอดรหัสแล้ว รวมถึง insider threat อย่างผู้ดูแลระบบที่มีเจตนาไม่ดีอาจใช้อุปกรณ์ดังกล่าวเพื่อดูรหัสผ่านหรือข้อมูลสำคัญอื่นๆ

เพื่อลดความเสี่ยงที่อธิบายไว้ข้างต้น การตรวจสอบการรับส่งข้อมูล TLS ควรกระทำเพียงครั้งเดียว    ภายในเครือข่ายองค์กร ไม่ควรใช้ TLSI หลายรอบโดยสามารถอ่านรายละเอียด ได้จาก: media.

Google Patches Critical Flaws in Android’s System Component

Google ออกแพตซ์แก้ไขข้อบกพร่องที่สำคัญบน Android

สัปดาห์ที่ผ่านมา Google ได้เปิดตัวชุดรักษาความปลอดภัยสำหรับ Android ประจำเดือนพฤศจิกายน เพื่อแก้ไขช่องโหว่ที่มีผลกระทบต่อแพลตฟอร์มเกือบ 40 ประกอบด้วยข้อบกพร่องทั้งหมด 17 รายการใน Framework, Library, Framework , Media framework และ System (2019-11-01) ช่องโหว่ที่รุนแรงที่สุดอยู่ในระดับ System ส่งผลให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายจากระยะไกลตามสิทธิ์ของโปรเซสที่ใช้รัน ประกอบด้วยช่องโหว่ใน Android 9 (CVE-2019-2204), Android 8.0, 8.1, 9 และ 10 (CVE-2019-2205 และ CVE-2019-2206)

ช่องโหว่อื่นๆ อีกประมาณ 21 รายการ (2019-11-05) ประกอบด้วยช่องโหว่ที่น่าสนใจ คือ ช่องโหว่ความรุนแรงสูงในระดับ Framework 2 รายการ, ช่องโหว่ความรุนแรงสูงในระดับ System 1 รายการ และช่องโหว่ความรุนแรงสูง 3 รายการและความรุนแรงปานกลางอีก 1 รายการในระดับ Kernel โดยได้แก้ไขช่องโหว่ที่พบในส่วนของ Qualcomm ที่พบมาก่อนหน้านี้ด้วย โดยช่องโหว่บน Pixel เองก็จะได้รับการแก้ไขในรอบนี้ด้วย

ที่มา: securityweek

Libarchive vulnerability can lead to code execution on Linux, FreeBSD, NetBSD

Libarchive ที่มีอยู่ใน Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD และ NetBSD distros มีช่องโหว่ที่ทำให้แฮกเกอร์สามารถรันโค้ดบนเครื่องได้ แต่ไม่กระทบกับ macOS และ Windows

ช่องโหว่ใน LIBARCHIVE (CVE-2019-18408) ซึ่งเป็นไลบรารีสำหรับการอ่านและสร้างไฟล์บีบอัดที่ถูกใช้บน Linux / BSD อย่างแพร่หลาย ในสัปดาห์ที่ผ่านมามีการเปิดเผยรายละเอียดของช่องโหว่ดังกล่าวออกมา หลังจากที่ Linux และ FreeBSD distros หลายตัวได้ปล่อยการอัพเดตแพทช์สำหรับ Libarchive ที่ใช้งานอยู่

ช่องโหว่ส่งผลให้ผู้โจมตีสามารถรันโค้ดบนระบบของผู้ใช้ผ่านไฟล์บีบอัดที่มีการดัดแปลงมาแล้ว ถูกค้นพบตั้งแต่เดือนมิถุนายน แต่ใช้เวลาพอสมควรในการแก้ไขเพื่อปล่อยให้ระบบปฏิบัติการทั้งหมดทำการอัพเดตได้ นอกเหนือจากการเป็นช่องโหว่ในระบบปฏิบัติการแล้ว ยังส่งผลให้เกิดช่องโหว่ในส่วนของ file browsers และเครื่องมืออื่นๆ ที่ใช้ในการประมวลผลเกี่ยวกับ multimedia ด้วย

ที่มา: zdnet

รวมข่าว BlueKeep ระหว่างวันที่ 1 – 11 พฤศจิกายน 2019

 

รวมข่าว BlueKeep ระหว่างวันที่ 1 - 11 พฤศจิกายน 2019

BlueKeep คืออะไร

BlueKeep หรือช่องโหว่ CVE-2019-0708 เป็นช่องโหว่ที่สามารถรันคำสั่งอันตรายจากระยะไกลได้ พบใน Remote Desktop Services กระทบ Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 และ Windows XP

ช่องโหว่นี้ได้รับแพตช์ความปลอดภัยแล้วเมื่อเดือนพฤษภาคม 2019 ที่ผ่านมา โดยช่องโหว่นี้มีคำเตือนให้ผู้ใช้งานเร่งอัปเดตเพราะว่าช่องโหว่นี้สามารถเอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry ที่ใช้ช่องโหว่ CVE-2017-0144 EternalBlue (Remote Code Execution ใน SMB)

พบการโจมตีด้วยช่องโหว่ BlueKeep แล้ว

2 พฤศจิกายน 2019 Kevin Beaumont นักวิจัยผู้ตั้งชื่อเล่นให้ CVE-2019-0708 ว่า BlueKeep เปิดเผยการค้นพบการโจมตีด้วยช่องโหว่ BlueKeep บน honeypot ที่เขาเปิดล่อเอาไว้ทั่วโลกตั้งแต่เดือนพฤษภาคม 2019 ซึ่งการโจมตีครั้งนี้ทำให้เหล่า honeypot เกิดจอฟ้า

จากการวิเคราะห์ crash dump ที่ได้จากเหล่า honeypot พบว่าการโจมตีดังกล่าวยังไม่ได้แพร่โดยเวิร์ม แต่เกิดจากการใช้ Metasploit พยายามรันคำสั่งอันตรายเพื่อติดตั้งมัลแวร์ขุดเหมือง เนื่องจากโมดูลสำหรับโจมตีด้วย BlueKeep ใน Metasploit ยังไม่ค่อยเสถียร เลยทำให้เกิดจอฟ้า

อ่านต่ออย่างละเอียด thehackernews

ไม่ใช่เวิร์มแต่ก็อันตรายนะ ไมโครซอฟต์ออกมาเตือนอีกรอบ

8 พฤศจิกายน 2019 ไมโครซอฟต์ออกรายงานวิเคราะห์การโจมตี BlueKeep ร่วมกับ Kevin Beaumont และ Marcus Hutchins ด้วยมัลแวร์ขุดเหมืองดังกล่าว พร้อมกับเตือนให้ผู้ใช้งานเร่งแพตช์ เพราะต้องมีการโจมตีที่รุนแรงกว่านี้ตามมาแน่นอน

อ่านต่ออย่างละเอียด https://www.

First Cyber Attack ‘Mass Exploiting’ BlueKeep RDP Flaw Spotted in the Wild

นักวิจัยพบการโจมตีเพื่อติดตั้ง Cryptocurrency mining โดยอาศัยช่องโหว่ BlueKeep

BlueKeep (CVE-2019-0708) คือช่องโหว่ wormable เพื่อมันสามารถแพร่กระจายโดยตัวมันเองจากเครื่องหนึ่งสู่อีกเครื่องโดยที่เหยื่อไม่ต้องมีการโต้ตอบใดๆ การพบในครั้งนี้เกิดจากการที่ EternalPot RDP honeypot ของ Kevin Beaumont เกิดหยุดทำงานและทำการรีบูตตัวเอง จากการตรวจสอบจึงทำให้พบการโจมตีเพื่อแพร่กระจาย Cryptocurrency mining ดังกล่าว การค้นพบในครั้งนี้นับว่าเป็นการประยุกต์ใช้ช่องโหว่ BlueKeep เพื่อใช้ในการโจมตีอย่างจริงจังเป็นครั้งแรก

อย่างไรก็ตาม Microsoft ได้ปล่อยแพทช์สำหรับช่องโหว่ออกมาก่อนหน้านี้แล้ว หากยังสามารถทำการอัพเดตแพทช์ได้ สามารถทำตามข้อแนะนำดังต่อไปนี้:

ปิดการใช้งาน RDP services ถ้าไม่จำเป็น
บล็อก port 3389 ที่ใช้ firewall หรือสร้างการเชื่อมต่อให้ผ่านเฉพาะ private VPN
เปิดการใช้งาน Network Level Authentication (NLA) เป็นการป้องกันบางส่วนสำหรับการโจมตีที่ไม่ได้รับอนุญาต

ที่มา : thehackernews

Network Solutions data breach – hacker accessed data of more 22 Million accounts

Network Solutions ถูกแฮกเกอร์เข้าถึงข้อมูลมากกว่า 22 ล้านบัญชี
Network Solutions หนึ่งในผู้จดทะเบียนโดเมนรายใหญ่ที่สุดในโลก พบการละเมิดข้อมูลที่มีผลต่อ 22 ล้านบัญชี ทั้งนี้ไม่มีการเข้าถึงข้อมูลทางการเงิน

ผู้โจมตีได้แฮกเซิร์ฟเวอร์จำนวนหนึ่งของระบบที่ยอมให้เข้าถึงขุมข้อมูลขนาดใหญ่ มีการประมาณการว่ากว่า 22 ล้านบัญชีตั้งแต่อดีตจนถึงปัจจุบันของ Network Solutions Register.

MS-ISAC Releases EOS Software Report List

 

MS-ISAC ได้ปล่อยข้อมูลรายการซอฟต์แวร์ EOS

Multi-State Information Sharing and Analysis Center (MS-ISAC) ได้ปล่อยข้อมูลรายการซอฟต์แวร์ end-of-support (EOS) ซึ่งเป็นซอฟต์แวร์ที่กำลังจะสิ้นสุดการสนับสนุนและจะไม่ได้รับการอัปเดตความปลอดภัยจากผู้ให้บริการอีกต่อไป ดังนั้นจึงมีความเสี่ยงที่จะถูกโจมตีจากช่องโหว่ความปลอดภัย และซอฟต์แวร์ที่ไม่ได้รับการสนับสนุนอาจทำให้เกิดปัญหาซึ่งทำให้ประสิทธิภาพการทำงานลดลง

Cybersecurity and Infrastructure Security Agency (CISA) แจ้งไปยังผู้ใช้งานและผู้ดูแลระบบในการตรวจสอบ MS-ISAC ข้อมูลรายการ EOS : ตุลาคม 2019 https://www.

Details for 1.3 million Indian payment cards put up for sale on Joker’s Stash

รายละเอียดของบัตรชำระเงินอินเดีย 1.3 ล้านใบวางขายที่ Joker's Stash
รายละเอียดบัตรในชำระเงินมากกว่า 1.3 ล้านใบถูกวางขายใน Joker's Stash โดยข้อมูลส่วนใหญ่มาจากผู้ถือบัตรในอินเดีย นักวิจัยด้านความปลอดภัยที่ Group-IB บอกกับ ZDNet ในวันนี้หลังจากพบการอัปโหลดใหม่เมื่อไม่กี่ชั่วโมงก่อน
Group-IB กล่าวว่าบัตรเหล่านี้ถูกวางขายในราคาสูงสุดที่ 100 ดอลลาร์สหรัฐต่อ 1 ใบทำให้แฮกเกอร์สามารถทำเงินได้มากกว่า 130 ล้านดอลลาร์จากรายการครั้งล่าสุด
ยังไม่ทราบแหล่งที่มาของบัตร Group-IB กล่าวว่าพวกเขาไม่สามารถวิเคราะห์และดูแหล่งที่มาของการละเมิดที่อาจเกิดขึ้น เนื่องจากมีเวลาวิเคราะห์ไม่พอ ซึ่งการวิเคราะห์เบื้องต้นชี้ให้เห็นว่าอาจได้รับรายละเอียดการ์ดผ่านอุปกรณ์ skimming ที่ติดตั้งบน ATM หรือระบบ PoS เพราะข้อมูลบนบัตรที่วางขายมีข้อมูล Track 2 ซึ่งมักจะพบบนแถบแม่เหล็กของบัตรชำระเงิน ทำให้ตัดความเป็นไปได้ที่ข้อมูลจะมาจาก skimmers ที่ติดตั้งบนเว็บไซต์ซึ่งจะไม่มีพบข้อมูล Track 2 ดังกล่าว
ยิ่งไปกว่านั้นบัตรแต่ละใบแตกต่างกันอย่างมากในแง่ของการดำเนินการที่มาจากหลายธนาคารไม่ใช่เพียงแค่ธนาคารเดียว
"ในขณะนี้ทีมงาน Threat Intelligence ของ Group-IB ได้วิเคราะห์บัตรมากกว่า 550K จากฐานข้อมูล" Group-IB ซึ่งเขียนในรายงานที่แชร์เฉพาะกับ ZDNet และ บริษัท วางแผนที่จะเผยแพร่ในวันพรุ่งนี้
โดยเป็นของธนาคารอินเดียมากกว่า 98% ส่วน 1% เป็นของธนาคารโคลอมเบีย และมากกว่า 18% ของข้อมูล 550K ในบัตร ได้รับการวิเคราะห์จนถึงขณะนี้ว่าเป็นของธนาคารอินเดียแห่งหนึ่งในอินเดียเพียงธนาคารเดียว
Joker's Stash เป็นสิ่งที่นักวิจัยด้านความปลอดภัยเรียกว่า "card shop" เป็นคำที่ใช้อธิบายถึงตลาดออนไลน์ในเว็บมืดและเป็นที่รู้จักกันว่าเป็นสถานที่ที่กลุ่มอาชญากรไซเบอร์หลักเช่น FIN6 และ FIN7 ทำการขายและซื้อรายละเอียดบัตรชำระเงินซึ่งจะเรียกว่า card dump
ที่มา zdnet