News

Palo Alto Networks ออกแพทช์อัปเดตเพื่อแก้ไขช่องโหว่ร้ายแรงใน GlobalProtect portal และ GlobalProtect Gateway

Orange Tsai และ Meh Chang ทีมนักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ remote code-execution (RCE) ใน GlobalProtect portal และ GlobalProtect Gateway โดยช่องโหว่ดังกล่าวได้รับ CVE-2019-1579 ซึ่งช่องโหว่ดังกล่าวทำให้่ให้ผู้โจมตีสามารถสั่งรันโปรแกรมที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องเข้าสู่ระบบ โดยทีมนักวิจัยได้ทำการเผยแพร่ PoC code สำหรับช่องโหว่ดังกล่าวและอธิบายวิธีการตรวจสอบว่าการติดตั้งมีความเสี่ยงหรือไม่โดยใช้คำสั่งแบบง่าย

ช่องโหว่ดังกล่าวเกิดจาก Gateway ส่งต่อค่าพารามิเตอร์โดยตรง ไม่มีการตรวจสอบและกำจัดค่าที่อาจเป็นอันตราย โดยมีผลกระทบกับ PAN-OS 7.1.18 และรุ่นก่อนหน้า, PAN-OS 8.0.11 และก่อนหน้าและ PAN-OS 8.1.2 และก่อนหน้า ในส่วนของ PAN-OS 9.0 ไม่ได้รับผลกระทบ

Palo Alto Networks ได้ทำการออกอัปเดต PAN-OS เวอร์ชันเป็น 7.1.19, 8.0.12 และ 8.1.3 เพื่อแก้ไขข้อผิดพลาด แนะนำให้ทำการอัปเดตแพตช์เพื่อลดเสี่ยงในการถูกโจมตี

ที่มา:securityweek

มีแนวโน้มว่าผู้ไม่หวังดีจะเน้นหลอกลวงผู้ดูแลระบบอีเมลขององค์กร

การโจมตีบัญชีอีเมลของผู้ดูแลระบบคือเป้าหมายหลักของแฮกเกอร์ เพราะจะทำให้ได้สิทธิ์ที่สามารถเข้าถึงบัญชีผู้ใช้งานอื่น หรือสร้างบัญชีผู้ใช้งานใหม่ได้ จากรายงานพบว่ามีการสร้างแคมเปญฟิตชิ่งเพื่อหลอกลวงว่าเป็นการแจ้งเตือนจาก Office 365 ไปยังผู้ดูแลระบบในองค์กร โดยเนื้อหาในอีเมลอาจจะมีเนื้อหาที่เร่งให้ผู้ดูแลระบบต้องรับดำเนินการโดยทันที เพื่อให้ผู้ดูแลระบบขาดความระมัดระวังในการตรวจสอบ เช่น ปลอมเป็นอีเมลที่แจ้งว่า Office 365 ขององค์กรหมดอายุ จากนั้นจะเปิดหน้าเว็บไซต์หลอกลวงให้ลงชื่อเข้าใช้งานเพื่อตรวจสอบข้อมูลการชำระเงิน อีกตัวอย่างเป็นการอ้างว่าเป็นการแจ้งเตือนผู้ดูแลระบบว่ามีคนเข้าถึงบัญชีอีเมลของผู้ใช้คนใดคนหนึ่ง และหลอกให้ผู้ดูแลระบบลงชื่อเข้าใช้งานเพื่อตรวจสอบปัญหา

ผู้ดูแลระบบควรตรวจสอบความถูกต้องของ URL ก่อนกรอกข้อมูลเพื่อเข้าสู่ระบบ หากไม่แน่ใจแนะนำให้ทำการพิมพ์ URL เพื่อเข้าสู่ระบบด้วยตนเอง ไม่ควรกดผ่านลิงก์ที่แนบมาในอีเมลแจ้งเตือน

ที่มา:bleepingcomputer

Ransomware หรือมัลแวร์เรียกค่าไถ่ เป็นมัลแวร์ที่ทำการเข้ารหัสไฟล์บนเครื่องที่ตกเป็นเหยื่อ โดยมักจะมีจดหมายเรียกค่าไถ่ระบุให้เหยื่อทำการจ่ายเงินเพื่อแลกกับกุญแจในการถอดรหัส หรือ เครื่องมือในการถอดรหัสไฟล์

ซึ่งในวันนี้ทีม Intelligent Response จาก บริษัทไอ-ซีเคียว จำกัดจะมาเล่าเกี่ยวกับการตรวจสอบระบบที่ติด Ransomware กันค่ะ ประกอบไปด้วย 2 หัวข้อ คือ

การตรวจสอบสายพันธุ์ของ Ransomware และ
การค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT

การตรวจสอบสายพันธุ์ของ Ransomware
เมื่อเราตรวจพบระบบที่ติด Ransomware แล้ว เราควรทำการจำกัดความเสียหาย (containment) โดยการแยกเครื่องที่ติดเชื้อออกจากเครื่องอื่นๆ ระบบปฏิบัติการ เช่น ปิดการใช้งานระบบเครือข่ายชั่วคราว หรือทางกายภาพโดยตรง เช่น การถอดสายแลน เป็นต้น เพื่อป้องกันการแพร่กระจายในระบบเครือข่ายหรือการติดต่อไปยังเครื่องภายนอกที่เป็นอันตราย

แต่ไม่ควรปิดหรือ restart เครื่องที่มีพฤติกรรมติดมัลแวร์เรียกค่าไถ่ เนื่องจากมัลแวร์เรียกค่าไถ่บางชนิด เช่น Wannacry จะมีข้อมูลที่เกี่ยวข้องกับกุญแจที่ใช้ในการเข้ารหัสหลงเหลืออยู่ในหน่วยความจำชั่วคราว (RAM) ซึ่งสามารถช่วยในการถอดรหัสได้

เมื่อหยุดการแพร่กระจายได้แล้ว เราสามารถตรวจสอบสายพันธุ์ของ Ransomware ได้จากการอัปโหลดไฟล์ที่ถูกเข้ารหัส (ควรใช้ไฟล์ที่ไม่เป็นความลับ) และอัปโหลดไฟล์ข้อความเรียกค่าไถ่ (Ransomware Notes) ไปยังบริการ ID Ransomware หรือ No More Ransom ซึ่งบริการดังกล่าวจะแจ้งว่าเราติด Ransomware สายพันธุ์ไหน มีตัวถอดรหัสฟรีแล้วหรือไม่ ซึ่งเราสามารถทดลองดาวน์โหลดโปรแกรมถอดรหัสและทดลองถอดรหัสได้ โดยควรสำรองข้อมูลไว้ก่อนทดลองถอดรหัส

บริการ ID Ransomware

ตัวอย่างผลการตรวจสอบสายพันธุ์ของ Ransomware จากบริการ ID Ransomware ในกรณีที่ยังไม่มีเครื่องมือถอดรหัสฟรี

ตัวอย่างผลการตรวจสอบสายพันธุ์ของ Ransomware จากบริการ ID Ransomware ในกรณีที่มีเครื่องมือถอดรหัสแล้ว

ซึ่งการตรวจสอบสายพันธุ์ของ Ransomware นอกจากจะทำให้เราทราบว่ามีเครื่องมือในการช่วยถอดรหัสฟรีโดยไม่ต้องจ่ายค่าไถ่แล้ว ยังช่วยให้สามารถค้นหาข้อมูลเพิ่มเติมเกี่ยวกับช่องทางการแพร่กระจายของ Ransomware ชนิดนั้นๆ และทำการป้องกันช่องทางดังกล่าวเพิ่มมากขึ้นได้อีกด้วยค่ะ
การค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT
ในบางครั้งหลังจากเกิดเหตุการณ์ Ransomware องค์กรอาจมีความต้องการทำ Digital Forensic เพื่อหาสาเหตุที่ทำให้ติดเชื้อ Ransomware ที่แท้จริง ซึ่งควรเก็บหลักฐานดิจิตอลไว้เพื่อตรวจสอบภายหลังก่อนทำการกู้คืนระบบใหม่ สามารถศึกษาวิธีเก็บหลักฐานดิจิตอลได้จากข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน จัดทำโดยศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) 

ข้อมูลสำคัญอย่างหนึ่งที่ช่วยประกอบการหาสาเหตุของการติดเชื้อก็คือไฟล์ Ransomware Executable ซึ่งถ้าเราทราบว่าไฟล์ไหนคือ Ransomware Executable ที่เป็นต้นเหตุของเหตุการณ์ทั้งหมด เราก็จะสามารถตรวจสอบหาบัญชีผู้ใช้งานที่เป็นเจ้าของไฟล์และบัญชีผู้ใช้งานที่เป็นผู้เรียกใช้ไฟล์ดังกล่าวให้ทำงานได้

วิธีการหาไฟล์ Ransomware Executable สามารถทำได้หลายวิธี ในบทความนี้จะนำเสนอการค้นหาไฟล์โดยใช้ข้อมูลจากไฟล์ $MFT เพื่อค้นหาไฟล์แรกที่ถูกเข้ารหัส ช่วงเวลาที่ไฟล์แรกโดนเข้ารหัส และใช้ข้อมูลเวลาที่ถูกเข้ารหัสไปหาไฟล์ที่ถูกเรียกใช้ในเวลาใกล้เคียงกันเพื่อหาไฟล์ Ransomware Executable

ไฟล์ MFT หรือ Master File Table เป็นไฟล์ในระบบไฟล์แบบ NTFS โดยจะรวบรวมข้อมูลของไฟล์ทั้งหมดในไดร์ฟนั้นๆ แม้แต่ไฟล์ที่ถูกลบไปแล้ว เช่น เวลาที่สร้างไฟล์ (Created) เวลาที่ถูกเข้าถึงล่าสุด (LastAccess) และข้อมูลอื่นๆ อีกมาก

ซึ่งนอกเหนือจากไฟล์ MFT แล้วยังมีไฟล์อื่นๆ ที่บันทึกความเปลี่ยนแปลงของไฟล์ เช่น ไฟล์ USN Journal และ NTFS Log ($LogFile) ซึ่งสามารถนำไปใช้ตรวจสอบไฟล์แรกที่ถูกเข้ารหัสได้เช่นกัน แต่ไฟล์ USN Journal และ NTFS Log ($LogFile) สามารถเก็บข้อมูลการเปลี่ยนแปลงได้จำกัด ซึ่งจากสูตรประมาณของ Microsoft ระบุว่าไฟล์ USN Journal ขนาด 32MB จะบันทึกการเปลี่ยนแปลงได้ประมาณ 200,000 ไฟล์ จึงไม่สามารถนำข้อมูลไฟล์ USN Journal มาใช้งานได้ในกรณีที่ Ransomware เข้ารหัสไฟล์เกิน 200,000 ไฟล์

ซึ่งเทคนิคการค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT ในครั้งนี้จะสาธิตผ่านการตรวจสอบบนหลักฐานดิจิตอลจากเครื่องที่ติดเชื้อ GlobleImposter 2.0 ซึ่งทำการเข้ารหัสไฟล์แล้วเปลี่ยนนามสกุลเป็น .doc

เครื่องมือที่ใช้

MFTECmd เป็นโปรแกรมในตระกูล Eric Zimmerman's tool ใช้สำหรับ parse ไฟล์ MFT และไฟล์อื่นๆ เป็น CSV
Timeline Explorer เป็นโปรแกรมในตระกูล Eric Zimmerman's tool ใช้สำหรับเปิด CSV ขนาดใหญ่
FTK Imager เป็นโปรแกรมที่มีความสามารถในการจัดเก็บหลักฐานดิจิตอล วิเคราะห์หลักฐานดิจิตอล รวมถึงคำนวนค่า hash จากหลักฐานดิจิตอล สามารถดาวน์โหลดได้จาก https://accessdata.

แฮกเกอร์เจาะระบบของมหาวิทยาลัย 62 แห่งในสหรัฐอเมริกา

กระทรวงศึกษาของสหรัฐอเมริกาได้ออกมาแจ้งเตือนเมื่อสัปดาห์ที่ผ่านมาว่าพบแฮกเกอร์เจาะระบบของมหาวิทยาลัย 62 แห่งในสหรัฐอเมริกา โดยการใช้ช่องโหว่ผ่านระบบ enterprise resource planning (ERP) สำหรับจัดการระบบของมหาวิทยาลัย ช่องโหว่ดังกล่าวอยู่ใน Ellucian Banner Web Tailor เป็นโมดูลของ Ellucian Banner ERP โดยโมดูลดังกล่าวช่วยในการปรับแต่งเว็บแอพพลิเคชั่น โดยช่องโหว่นี้ยังกระทบโมดูลอื่นๆ ของ Ellucian Banner ERP คือ Ellucian Banner Enterprise Identity Services ซึ่งใช้จัดการบัญชีผู้ใช้งาน

นักวิจัยด้านความปลอดภัยชื่อ Joshua Mulliken เป็นผู้ค้นพบช่องโหว่ดังกล่าว โดยผลกระทบจากช่องโหว่นี้ทำให้แฮกเกอร์สามารถขโมย web sessions ของเหยื่อและเข้าใช้งานบัญชีของเหยื่อได้ โดยช่องโหว่ดังกล่าวถูก Ellucian แก้ไขตั้งแต่เดือนพฤษภาคม 2019 ที่ผ่านมา และได้รับ CVE-2019-8978

แต่จากประกาศล่าสุดของกระทรวงศึกษาของสหรัฐอเมริกา ได้มีการแจ้งว่าพบแฮกเกอร์โจมตีโดยใช้ช่องโหว่ดังกล่าวกับระบบที่ไม่ได้อัปเดตแพตช์ 62 แห่ง โดยแฮกเกอร์ใช้วิธีแสกนอินเตอร์เน็ตหาระบบที่ไม่อัปเดต แล้วใช้สคริปต์ในส่วนการรับสมัครหรือการลงทะเบียนของระบบ Ellucian Banner ERP เพื่อสร้างบัญชีนักเรียนปลอม เหยื่อรายหนึ่งรายงานว่าผู้โจมตีสร้างบัญชีปลอมหลายพันบัญชีในช่วงหลายวันโดยมีบัญชี 600 บัญชีที่สร้างขึ้นในช่วง 24 ชั่วโมง

ทั้งนี้ Ellucian แถลงว่าผลกระทบจากช่องโหว่ดังกล่าวไม่ใช่การสร้างบัญชีนักเรียนปลอม โดย Ellucian กำลังร่วมกับกระทรวงศึกษาของสหรัฐอเมริกาทำการสืบสวนการโจมตีดังกล่าวเพื่อตรวจสอบผลกระทบที่แท้จริง โดย Ellucian แนะนำให้เพิ่ม reCAPTCHA เพิ่อป้องกันการสร้างบัญชีปลอมด้วยบอท

ที่มา:zdnet

Oracle ปล่อย Critical Patch ประจำเดือนกรกฎาคม 2019

Oracle ปล่อย Critical Patch ให้อัพเดทในวันที่ 16 กรกฎาคม 2019 แก้ไขช่องโหว่ทั้งหมด 319 ช่องโหว่ในหลายผลิตภัณฑ์ ซึ่งหลายๆ ช่องโหว่เป็นช่องโหว่ร้ายแรงที่ได้รับคะแนน CVSS 9.8 ซึ่ง Oracle แนะนำให้ผู้ใช้งานอัพเดท Critical Patch ให้เร็วที่สุดเพื่อหลีกเลี่ยงการโจมตีที่จะเกิดขึ้น โดยสามารถตรวจสอบรายการช่องโหว่ทั้งหมดได้จาก https://www.

NCSC ออกคำเตือนให้ระวังการโจมตี DNS Hijacking

เนื่องจากมีรายงานการโจมตีมีจุดประสงค์เพื่อแก้ไข DNS record หรือที่เรียกกันว่า DNS Hijacking ออกมาเป็นจำนวนมาก หน่วยงาน National Cyber Security Centre (NCSC) ของสหราชอาณาจักรมีประกาศคำเตือนพร้อมทั้งวิธีการแก้ไขเพื่อลดผลกระทบเหตุการณ์ประเภทนี้

DNS คือบริการที่ส่งต่อข้อมูลเมื่อผู้ใช้งานพิมพ์ domain ในเว็บเบราว์เซอร์ไปยัง IP ของเซิร์ฟเวอร์เว็บไซต์ ซึ่ง DNS hijacking จะหมายถึงการโจมตีเพื่อการเปลี่ยนการตั้งค่า DNS เพื่อให้ไปยัง IP ที่เป็นอันตรายแทน ทำให้ผู้ใช้งานไม่สามารถเข้าไปยังเว็บที่ถูกต้องได้

รายงานจาก Avast แสดงให้เห็นว่าในช่วงเดือนกุมภาพันธ์ - มิถุนายน มีผู้ใช้งานอย่างน้อย 180,000 คนในบราซิล ที่อุปกรณ์ router ถูกทำการแก้ไขการตั้งค่า DNS และในช่วงปลายมีนาคม Avast Web Shield ได้ช่วยบล็อกการโจมตีแบบ cross-site request forgery (CSRF) ที่โจมตีเพื่อเปลี่ยนการตั้งค่า DNS บน router มากกว่า 4.6 ล้านครั้ง

NCSC ประกาศคำเตือนเกี่ยวกับ DNS Hijacking เมื่อ 12 กรกฎาคม 2019 ที่สรุปความเสี่ยงที่มาพร้อมกับความพยายามใน DNS hijacking และให้คำแนะนำองค์กรเพื่อปกป้องตัวเองจากอันตรายประเภทนี้ ได้แก่
# บัญชีที่ใช้จดทะเบียนกับ domain registrar มักตกเป็นเป้าหมายการโจมตีด้วยวิธี phishing หรือวิธี social engineering อื่นๆ ป้องกันโดยใช้รหัสผ่านที่ไม่ซ้ำกับบริการอื่น และเปิดการใช้งานการยืนยันตัวตนหลายขั้นตอน
# ตรวจสอบรายละเอียดที่เชื่อมโยงกับบัญชีที่ใช้จดทะเบียนกับ domain registrar เป็นประจำและเพื่อแน่ใจว่าข้อมูลเหล่านั้นเป็นข้อมูลล่าสุดและชี้ไปที่องค์กรจริงๆ
# จำกัดการเข้าถึงบัญชีดังกล่าวเฉพาะกับบุคคลภายในองค์กร
# ถ้าองค์กรมีการทำ DNS ของตัวเอง NCSC ขอแนะนำให้ใช้งานระบบควบคุมการเข้าถึงฟังก์ชันสำรองและกู้คืน DNS records รวมถึงจำกัดการเข้าถึงเครื่องเซิร์ฟเวอร์ที่ดูแล DNS
# ใช้งาน SSL monitoring และ Domain Name System Security Extensions (DNSSEC)
โดยผู้ที่สนใจสามารถอ่านประกาศเตือนโดยละเอียดได้จาก https://www.

เตรียมอำลา ฟีเจอร์ XSSAuditor ใน Google Chrome เตรียมถูกถอดถอนหลังถูกพิสูจน์แล้วว่าไม่ช่วยอะไร

ฟีเจอร์ XSS Auditor ใน Google Chrome ซึ่งเป็นหนึ่งในฟีเจอร์สำคัญที่ช่วยปกป้องผู้ใช้งานจากการโจมตีประเภท Cross-site scripting เตรียมเข้าสู่กระบวนการถอดถอนหลังจากที่มีการตรวจสอบแล้วว่าฟีเจอร์นี้ในปัจจุบันอาจสร้างปัญหามากกว่าแก้ไข

เหตุผลหลายประการที่นักพัฒนา Chromium ได้ให้เป็นเหตุผลในการถอดถอนฟีเจอร์ XSS Auditor นั้นได้แก่ กระบวนการตรวจจับที่ออกแบบมาให้ตรวจจับเฉพาะ Reflective XSS เป็นส่วนใหญ่และสามารถถูกบายพาสได้ด้วยหลายวิธีการ, การตรวจจับบางครั้งก็ทำให้เว็บไซต์บางรายไม่สามารถเข้าถึงและใช้งานได้ตามปกติ, ไม่มีการจัดการกับสิ่งที่เจออย่างมีประสิทธิภาพและยังนำไปสู่ช่องโหว่ประเภทใหม่ซึ่งชื่อว่า cross-site infoleaks อีกด้วย

กระบวนการทำงานโดยส่วนใหญ่ของกลุ่มเอนจิน anti-XSS นี้โดยส่วนใหญ่ใช้ regular expression ในการสร้างฟิลเตอร์ ซึ่งส่งผลให้โอกาสที่จะเกิด false positive นั้นมีมากขึ้น

ที่มา: groups.

อาจเป็นที่ทราบกันดีอยู่แล้วว่าเมื่อใดก็ตามที่เราเพิ่มคุณลักษณะด้านความปลอดภัย (Security) ให้มากยิ่งขึ้น คุณสมบัติด้านอื่นๆ อาทิ ความง่ายในการใช้งาน (Usability) และฟังก์ชันการทำงาน (Functionality) อาจจะสูญเสียไป แนวคิดนี้ยังส่งผลมาถึงคอมพิวเตอร์ซึ่งเราซื้อและใช้ในชีวิตประจำวันโดยทั่วไปของเราที่ถูกออกแบบมาให้คุณลักษณะด้านความปลอดภัย, ความง่ายในการใช้งานและฟังก์ชันการทำงานนั้นสมดุลกัน

อย่างไรด้วยฟีเจอร์อันมหาศาลในระบบปฏิบัติการอย่าง Windows ที่เราไม่เคยใช้หรือไม่เคยรู้ว่ามันมีอยู่ การยอมสละความง่ายในการใช้งานและฟังก์ชันการทำงานบางอย่างเพื่อเสริมความปลอดภัยในการใช้งานก็อาจเป็นแนวคิดที่สมเหตุสมผล

ดังนั้นในโพสต์นี ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงวิธีการง่ายๆ ที่จะช่วยเสริมความปลอดภัยให้กับ Windows โดยไม่เสี่ยงสูญเสียคุณลักษณะด้านอื่นไป โดยใช้เครื่องมือและคำแนะนำในการตั้งค่า Security Baseline ที่มาจาก Microsoft เองให้ลองไปทำตามกันดูครับ
ทำความรู้จัก Security Baseline
Security Baseline เป็นรายการของการตั้งค่าซึ่งอยู่ใน Security Compliance Toolkit ที่ทาง Microsoft เปิดให้ผู้ใช้งานสามารถทำการดาวโหลดได้ฟรี รายการตั้งค่านี้มาจากความเห็นร่วมกันของฝ่ายความปลอดภัยไมโครซอฟต์และผู้ใช้งานหลายๆ กลุ่มว่าสามารถช่วยเสริมความปลอดภัยในการใช้งานได้

เราสามารถดาวโหลด Security Baseline ได้จากแพ็คของ Security Compliance Toolkit โดยในการใช้งานนั้น เราจะต้องเลือก Baseline ที่ตรงกับรุ่นของระบบปฏิบัติการที่เราใช้เพื่อป้องกันผลกระทบที่เกิดจากการแก้ไขการตั้งค่าครับ
ทำความเข้าใจการตั้งค่าด้วย Policy Analyzer
แม้ว่าผลกระทบที่เกิดจากการตั้งค่าอาจจะต่ำสำหรับผู้ใช้งานทั่วไป เราก็ขอแนะนำให้ผู้ใช้งานทำความเข้าใจการตั้งค่าที่จะเกิดขึ้นโดยการใช้เครื่องมือที่มากับ Security Compliance Toolkit ชื่อ Policy Analyzer ซึ่งจะช่วยให้เราทำความเข้าใจการตั้งค่าที่เราจะใช้งานรวมไปถึงเปรียบเทียบการตั้งค่าที่มีอยู่แล้วในปัจจุบันกับ Security Baseline ที่เราดาวโหลดมาว่ามีลักษณะเป็นอย่างไรบ้าง

การใช้งาน Policy Analyzer เพื่อเปรียบเทียบการตั้งค่าปัจจุบันของคอมพิวเตอร์ของเรากับการตั้งค่าจาก Security Baseline สามารถทำได้ตามขั้นตอนดังนี้ครับ

เปิดโปรแกรม PolicyAnalyzer.

Are you looking for English version for this article? Click here!
ในระบบ File System แบบ NTFS จะมีไฟล์ที่เรียกว่า $MFT หรือ Master File Table ซึ่งเป็นที่รวบรวมข้อมูลของไฟล์ทั้งหมดในไดร์ฟนั้นๆ แม้แต่ไฟล์ที่ถูกลบไปแล้ว ซึ่งในวันนี้ทีม Intelligent Response จาก บริษัทไอ-ซีเคียว จำกัด จะมาเล่าข้อมูลที่น่าสนใจเกี่ยวกับ $MFT ในด้าน Digital Forensic กันค่ะ
ข้อมูลที่น่าสนใจเกี่ยวกับ $MFT ในด้าน digital forensic
MFT หรือ Master File Table เป็นไฟล์ในระบบไฟล์แบบ NTFS โดยจะรวบรวมข้อมูลของไฟล์ทั้งหมดในไดร์ฟนั้นๆ แม้แต่ไฟล์ที่ถูกลบไปแล้ว การตรวจสอบไฟล์ $MFT จึงมีประโยชน์อย่างมากในช่วยค้นหาไฟล์ที่ถูกลบเพื่อทำการกู้คืนและการใช้วิเคราะห์ในฐานะของหลักฐานดิจิตอลรูปแบบหนึ่ง

โดยปกติไฟล์ $MFT จะถูกสร้างขึ้นโดยอัตโนมัติเมื่อมีการฟอร์แมตหรือเปลี่ยนพาร์ติชันของดิสก์เป็น NTFS โดยวันที่และเวลาที่ไฟล์ $MFT ถูกสร้างขึ้น (หรือวันที่และเวลาที่ดิสก์ถูกฟอร์แมต) จะถูกระบุอยู่ในคุณลักษณะของไฟล์ $MFT ที่หัวข้อ Date created ซึ่งในกรณีโดยส่วนใหญ่ที่ดิสก์ดังกล่าวถูกติดตั้งระบบปฏิบัติการ ไฟล์ของระบบปฏิบัติการจะมีวันที่และเวลาที่ถูกสร้างใกล้เคียงหรือสอดคล้องกับค่า Date created ใน $MFT ตามรูปภาพด้านล่าง

ในขณะที่เราทำการวิเคราะห์หลักฐานดิจิตอลเพื่อค้นหาที่มาและข้อมูลที่เกี่ยวข้องกับภัยคุกคาม เราพบซอฟต์แวร์และโปรแกรมบางประเภท อาทิ ซอฟต์แวร์คงสภาพฮาร์ดดิสก์ เช่น Deep Freeze, ซอฟต์แวร์ปรับแต่งการทำงานของระบบ เช่น CCleaner อาจมีการเข้าไปแก้ไขไฟล์ $MFT และส่งผลให้ค่า Date created เปลี่ยนไปเมื่อเปรียบเทียบกับค่าของวันที่และเวลาจากไฟล์อื่นๆ ที่มักจะถูกสร้างขึ้นมาในเวลาที่ใกล้เคียงหรือสอดคล้องกัน พฤติกรรมนี้สามารถช่วยบ่งชี้ถึงพฤติกรรมที่น่าสงสัยหรือความสมบูรณ์ของข้อมูลที่ได้จากไฟล์ $MFT ได้

ความสมบูรณ์และถูกต้องของไฟล์ $MFT ยังสามารถถูกทำลายได้ในบางกรณี เช่น การใช้โปรแกรมกู้คืนไฟล์โดยทำการกู้คืนไฟล์ที่ถูกลบมายังไดร์ฟเดิม เนื่องจากการแก้ไขและการเขียนทับรายการภายในไฟล์ $MFT ที่ไม่ถูกต้อง

ตัวอย่างด้านล่างนั้นได้แสดงให้เห็นถึงการทำลายความสมบูรณ์และความถูกต้องของไฟล์ $MFT ซึ่งเป็นเหตุมาจากการกู้คืนไฟล์ไปยังไดร์ฟหรือตำแหน่งเดิม ค่า Date created ของไดร์ฟ D เมื่อเปรียบเทียบกับไดร์ฟ C จึงไม่ถูกต้องตรงกัน

กรณีตัวอย่างที่การทำลายความสมบูรณ์และความถูกต้องของไฟล์ $MFT มีผลกับการทำ Digital Forensic
นายเอพบว่ามีการลบไฟล์จำนวนมากออกจากเครื่องเซิร์ฟเวอร์ โดยไฟล์เหล่านั้นเป็นไฟล์ที่มีความสำคัญต่อการทำงานเป็นอย่างมาก ด้วยความตกใจ นายเอจึงทำการพยายามกู้ไฟล์เหล่านั้นด้วยโปรแกรมกู้ไฟล์กลับลงในไดร์ฟเดิม โดยสามารถกู้ไฟล์ได้แค่บางส่วนเท่านั้น นายเอเกิดข้องสงสัยว่าการลบไฟล์ดังกล่าวอาจเกิดจากผู้ไม่หวังดีภายในองค์กรเดียวกัน จากนั้นนายเอจึงได้จ้าง Digital Forensic Analyst ให้ทำการตรวจสอบเครื่องคอมพิวเตอร์ดังกล่าวว่ามีไฟล์ใดถูกลบออกไปบ้างเพื่อนำไปตรวจสอบต่อ

ซึ่งการทำลายความสมบูรณ์และความถูกต้องของไฟล์ $MFT ได้ถูกทำลายจากการกู้คืนไฟล์ไปยังไดร์ฟเดิม ส่งผลกระทบกับการทำงานของ Digital Forensic Analyst ให้ไม่สามารถตรวจหาชื่อไฟล์ได้

ตัวอย่างด้านล่างนั้นได้แสดงให้เห็นความแตกต่างระหว่างไฟล์ $MFT ก่อนและหลังการกู้คืนไฟล์ลงในไดร์ฟเดิม โดยไฟล์ $MFT ทั้งสองไฟล์ถูกแปลงด้วยโปรแกรม MFTECmd เป็น CSV จะพบว่าจำนวนข้อมูล [In Use] = unchecked ซึ่งบ่งบอกไฟล์ที่ถูกลบไปแล้วไม่เท่ากัน

และเมื่อทดลองค้นหาชื่อไฟล์ที่มีคำว่า ns จะพบว่าในไฟล์ $MFT ก่อนและหลังการกู้คืนไฟล์ลงในไดร์ฟเดิมมีข้อมูลไม่ตรงกัน โดยในไฟล์ $MFT หลังการกู้คืนจะมีจำนวนข้อมูลน้อยกว่า

สรุป
ไฟล์ $MFT มีประโยชน์มากในการทำ digital forensic  ใช้บอกข้อมูลได้หลายอย่าง แต่ควรระวังว่าข้อมูลใน MFT อาจถูกแก้ไขได้ในบางกรณีโดยไม่ตั้งใจได้
English version
There is a file called Master File Table or MFT ($MFT) in NTFS file system.

SAP ออกแพตช์เดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่

SAP ออกแพตช์ประจำเดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่ โดยช่องโหว่ที่สำคัญคือช่องโหว่ CVE-2019-0330 เป็นช่องโหว่ร้ายแรงมากใน SolMan Diagnostic Agent (SMDAgent)

CVE-2019-0330 เป็นช่องโหว่ประเภท OS command injection ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อยึดระบบ SAP ทั้งระบบได้ มีคะแนน CVSS 9.1 (critical) โดยใน SMDAgent จะมีการตรวจสอบเมื่อผู้ดูแลระบบรันคำสั่งไปยังระบบปฏิบัติการผ่าน GAP_ADMIN transaction ให้รันได้เฉพาะคำสั่งใน white list เท่านั้น ซึ่งช่องโหว่ CVE-2019-0330 ทำให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจสอบดังกล่าวได้โดยการใช้ payload ที่สร้างเป็นพิเศษ ซึ่งเมื่อผู้โจมตีสามารถหลบหลีกได้จะทำให้สามารถควบคุมระบบ SAP ได้ เข้าถึงข้อมูลสำคัญได้ แก้ไขการตั้งค่าได้และหยุดการทำงานของ SAP service ได้

นักวิจัยจาก Onapsis ระบุว่าระบบ SAP ทุกระบบจะต้องมีการติดตั้ง SMDAgent ดังนั้นจะมีระบบที่ได้รับความเสี่ยงจากการโจมตีด้วยช่องโหว่นี้เป็นจำนวนมาก

ผู้ดูแลระบบ SAP ควรศึกษาและอัปเดตแพตช์ดังกล่าว โดยสามารถอ่านรายละเอียดได้จาก https://wiki.