MalwareBytes เผยเทคนิคสคริปต์ขุดบิทคอยน์ที่ทำงานได้แม้จะปิดโปรแกรมเบราว์เซอร์ไปแล้ว

Jérôme Segura นักวิเคราะห์มัลแวร์จาก MalwareBytes ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์รวมไปถึงเทคนิคใหม่ที่มัลแวร์ขุดบิทคอยน์ใช้งานเพื่อให้มัลแวร์สามารถทำงานได้แม้ผู้ใช้งานจะมีการปิดโปรแกรมเว็บเบราว์เซอร์ไปแล้ว

โดยปกตินั้นมัลแวร์ขุดบิทคอยน์หรือขุดสกุลเงินดิจิตอลอื่นๆ นั้นอาศัยจังหวะที่ผู้ใช้งานเปิดหน้าเว็บไซต์ที่มีสคริปต์อันตรายฝังอยู่ซึ่งจะเริ่มทำการขุดทันที ส่งผลให้ระบบของผู้ใช้นั้นช้าลงเนื่องจากทรัพยากรของระบบส่วนใหญ่ถูกใช้โดยไปโดยมัลแวร์ อย่างไรก็ตามหากผู้ใช้งานทำการปิดหน้าเพจของเว็บไซต์ที่มีการฝังสคริปต์อันตรายนั้นไปหรือทำการปิดโปรแกรมเว็บเบราว์เซอร์ สคริปต์อันตรายดังกล่าวก็จะถูกหยุดการทำงาน

อย่างไรก็ตาม Segura ค้นพบว่า มัลแวร์ขุดบิทคอยน์มีการใช้งานฟีเจอร์ของเว็บเบราว์เซอร์ฟีเจอร์หนึ่งชื่อ Pop-under โดยฟีเจอร์ดังกล่าวนั้นมักถูกใช้งานในการแสดงโฆษณาโดยบังคับให้มีการเรียกโฆษณาขึ้นมาและซ่อนการแสดงผลโฆษณาดังกล่าวไว้เบื้องหลังไม่ให้ผู้ใช้งานเห็นในทันที

สิ่งที่มัลแวร์ทำนั้นคือเมื่อผู้ใช้งานทำการคลิกที่จุดใดๆ ของเว็บเพจ (จำเป็นต้องมีการคลิกก่อนเนื่องจากเบราว์เซอร์รุ่นใหม่บังคับให้การใช้งาน Pop-under จำเป็นต้องมี user interaction) สคริปต์จะทำการสร้างหน้าต่างใหม่เบื้องหลังหน้าเว็บเพจนั้น และทำการแก้ไขขนาดของหน้าต่างใหม่ให้สามารถซ่อนอยู่เบื้องหลังของ taskbar บริเวณขอบขวาล่างของหน้าจอทันทีโดยที่ผู้ใช้งานไม่ทันสังเกต

แนะนำให้ผู้ใช้งานตรวจสอบการทำงานของแต่ละโปรเซสหากพบอาการของระบบที่ผิดปกติ และถ้าเจอโปรเซสใดโปรเซสหนึ่งของระบบที่มีการใช้งานทรัพยากรที่ผิดปกติ ให้ดำเนินการปิดทันที เพราะโปรเซสดังกล่าวอาจเป็นโปรเซสที่เกี่ยวข้องกับหน้าต่างที่ซ่อนอยู่ก็เป็นไปได้

ที่มา : thehackernews

จำได้ DirtyCow ได้ไหม? แพตช์ DirtyCow มีช่องโหว่ สามารถใช้โจมตีเพื่อยกระดับสิทธิ์ได้อีก

นักวิจัยด้านความปลอดภัยจาก Bindecy ค้นพบช่องโหว่รหัส CVE-2017-1000405 ซึ่งเป็นช่องโหว่ที่ปรากฎบนแพตช์ช่องโหว่ DirtyCow โดยส่งผลให้ผู้โจมตีสามารถโจมตีช่องโหว่ (บนแพตช์) เพื่อให้ได้ผลลัพธ์เช่นเดียวกับการโจมตีช่องโหว่ DirtyCow ได้

ช่องโหว่ DirtyCow เป็นช่องโหว่ privillege escalation ที่มีชื่อเสียงช่องโหว่หนึ่งเนื่องจากผลกระทบในวงกว้างต่อหลายระบบที่มีพื้นฐานบนเคอร์เนลของลินุกซ์รวมไปถึงระบบปฏิบัติการแอนดรอยด์ ช่องโหว่ที่เกิดบนแพตช์ของ Dirty Cow นั้นส่งผลกระทบในวงที่แคบกว่าช่องโหว่ DirtyCow เดิม โดยเป็นปัญหาที่เกิดมาจากวิธีการและขั้นตอนการทำงานของโค้ดที่ฟังก์ชันที่ถูกออกแบบมาเพื่อป้องกัน Dirty Cow สามารถถูกข้ามผ่านได้ในบางกรณี

สำหรับในช่องโหว่บนแพตช์นั้น ระบบปฏิบัติการที่ได้รับผลกระทบได้แก่ Ubuntu 17.04 บนเคอร์เนล 4.10 และ Fedora 27 บนเคอร์เนล 4.13 รวมไปถึงระบบปฏิบัติการที่ใช้เคอร์เนลตั้งแต่ 2.6.38 ถึง 4.14 ที่มีการลงแพตช์ DirtyCow และรองรับ THP (transparent huge pages) ก็ได้รับผลกระทบด้วย แนะนำให้รีบทำการอัพเดตแพตช์โดยด่วน

ที่มา : threatpost

ชุดช่องโหว่ Mailsploit ถูกตรวจพบบนโปรแกรมรับ-ส่งอีเมลกว่า 30 รายการ (ดูรายการของโปรแกรมที่ได้รับผลกระทบได้ด้านล่าง)

รายการของโปรแกรมที่ได้รับผลกระทบ: https://docs.

เมื่อวันที่ 29 พฤศจิกายน 2017 ที่ผ่านมาทาง Mozilla ได้อัพเดทการรักษาความปลอดภัยเพื่อแก้ไขช่องโหว่ที่สำคัญสำหรับ Firefox 57 จำนวน 2 ช่องโหว่ มีรายละเอียดดังนี้

1. ช่องโหว่ CVE-2017-7843 : เมื่อมีการเปิดใช้งานโหมด Private Browsing ส่งผลให้ web worker ซึ่งเป็น API ของ Firefox สามารถเขียนข้อมูลใน IndexedDB ได้

2. ช่องโหว่ CVE-2017-7844 : ทำให้ Website ที่เป็นอันตราย สามารถดึงข้อมูลประวัติการเยี่ยมชมเว็บเพจต่างๆ ของผู้ใช้งาน จากสีของ anchor links ซึ่งถูกเก็บเป็นข้อมูลอยู่ใน SVG image ที่ถูกอ้างอิงมาจากแหล่งอื่นๆนอก Page ทั้งนี้ช่องโหว่นี้มีผลกับ Firefox 57 เท่านั้น และไม่ส่งผลกับ version ที่เก่ากว่า

ที่มา : scmagazine

บริษัท Group-IB ได้เผยแพร่รายงานถึงกลุ่มแฮ็กเกอร์ที่มีชื่อว่า MoneyTaker ซึ่งพบว่าเริ่มดำเนินการมาตั้งแต่เดือนพฤษภาคมปี 2016 โดยในช่วงสองเดือนที่ผ่านมากลุ่มแฮกเกอร์ได้ดำเนินการโจมตีสถาบันทางการเงิน และบริษัททางด้านกฎหมายประสบความสำเร็จมากกว่า 20 แห่งใน USA, UK และ Russia โดยสามารถขโมยเงินได้ถึง 11 ล้านเหรียญ รวมถึงข้อมูลสำคัญที่สามารถถูกนำไปใช้ในการโจมตีครั้งต่อไป

กลุ่ม MoneyTaker มีเป้าหมายหลักในการโจมตีไปที่ระบบการประมวลผลบัตร ได้แก่ AWS CBR (Russian Interbank System) และ SWIFT ระบบสื่อสารด้านการเงินระหว่างธนาคาร (ในสหรัฐฯ) โดย Group-IB ได้แจ้งเตือนว่าการโจมตีองค์กรทางการเงินของกลุ่ม MoneyTaker ยังไม่มีแนวโน้มว่าจะยุติลง และธนาคารในละตินอเมริกาอาจจะตกเป็นเป้าหมายต่อไป โดยหลังจาก MoneyTaker ประสบความสำเร็จในการโจมตีครั้งแรกเมื่อเดือนพฤษภาคมปี 2016 พวกเขาได้กำหนดกลุ่มเป้าหมายเพิ่มเติมไปยังธนาคารต่างๆ ได้แก่ California, Illinois, Utah, Oklahoma, Colorado, South Carolina, Missouri, North Carolina, Virginia และ Florida โดยเป้าหมายส่วนใหญ่เป็นกลุ่มธนาคารขนาดเล็ก

กลุ่ม MoneyTaker สามารถหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส และโซลูชันด้านความปลอดภัยแบบดั้งเดิม ที่สำคัญที่สุดคือการขจัดร่องรอยของตนหลังจากดำเนินการเสร็จแล้ว โดยใช้เครื่องมือสำหรับเจาะระบบต่าง ๆ ที่มีอยู่ทั่วไป ได้แก่ Metasploit, NirCmd, psexec, Mimikatz, Powershell Empire และ proof-of-concepts(PoC) code ที่เผยแพร่ทั่วไป นอกจากนี้ยังพบว่ามีการใช้ประโยชน์จาก Citadel และ Kronos banking trojans เพื่อแพร่กระจายมัลแวร์ Point-of-Sale (POS) ที่เรียกว่า ScanPOS สำหรับรวบรวมข้อมูลเกี่ยวกับ Process และชื่อผู้ใช้งาน และสิทธิ์บนเครื่อง ก่อนจะส่งไปยัง C&C รายงานยังระบุว่าเงินที่ถูกขโมยโดย MoneyTaker จากธนาคารในสหรัฐฯเพียงอย่างเดียวเฉลี่ยประมาณ 500,000 เหรียญและมากกว่า 3 ล้านเหรียญถูกขโมยจากธนาคารของรัสเซียอย่างน้อย 3 แห่ง

ที่มา : theregister

แพตช์ชุดใหญ่และร้ายแรง Palo Alto Networks ปล่อยแพตช์ PAN-OS 4 แพตช์ ทำ RCE ได้
เมื่อสัปดาห์ที่ผ่านมา Palo Alto Networks ได้มีการประกาศแพตช์ให้แก่ PAN-OS ทั้งหมด 4 แพตช์โดยจากใน 4 แพตช์นั้นมีช่องโหว่อันตรายร้ายแรง remote code execution และ remote command injection รวมอยู่ด้วย และอีกหนึ่งแพตช์จาก GlobalProtect Agent ทำให้ผู้โจมตียกระดับสิทธิ์ได้

แพตช์ทั้งหมด 5 แพตช์นั้นมีรายละเอียดดังนี้
CVE‌-2017-15944: Philip Pettersson ค้นพบวิธีรันโค้ดจากระยะไกลบน PAN-OS โดยการใช้สามช่องโหว่รวมกันโดยมีเงื่อนไขคือ อุปกรณ์จะต้องเปิดให้เข้าถึง web management interface ได้จาก WAN โดยในตอนนี้ผู้ค้นพบช่องโหว่ได้มีการเปิดเผยรายละเอียดของช่องโหว่และวิธีการโจมตีออกมาแล้ว แนะนำให้แพตช์โดยเร็วที่สุด กระทบ PAN-OS 6.1.18 และก่อนหน้า, PAN-OS 7.0.18 และก่อนหน้า, PAN-OS 7.1.13 และก่อนหน้าและ PAN-OS 8.0.5 และก่อนหน้า
CVE‌-2017-15940: Won Lae Lee จาก Samsung พบวิธีอัดฉีดคำสั่งที่เป็นอันตรายได้จากระยะไกล โดยมีเวอร์ชันที่ได้รับผลกระทบตรงกับช่องโหว่ด้านบน
CVE‌-2017-15942: Craig Stephen จาก Net Consulting ค้นพบช่องโหว่ DoS โดยมีเวอร์ชันที่ได้รับผลกระทบตรงกับช่องโหว่ด้านบน
CVE‌-2017-15943: Ekzhin Ear จาก NATO ค้นพบช่องโหว่ SSRF เพื่อทำ security bypass กระทบ PAN-OS 6.1.18 และก่อนหน้า และ PAN-OS 7.1.13 และก่อนหน้า
CVE‌-2017-15870: Brandon McCann ค้นพบช่องโหว่ยกระดับสิทธิ์ใน GlobalProtect Agent 3.1.0 และก่อนหน้า และ 4.02 และก่อนหน้า

แนะนำให้ตรวจสอบที่ https://support.

Lior Margalit ได้ให้ข้อมูลผ่าน Post ของเค้าบน Medium ว่าใครๆ ก็สามารถขโมย password, form fields, bookmarks และประวัติการเข้าเว็ปไซต์ จาก Google chrome ได้

มีการรายงานปัญหานี้ไปยัง Google และคำตอบของพวกเขาคือ "ใช่ มีการให้สิทธิ์การเข้าถึงบัญชีผู้ใช้ที่ไม่จำกัด คุณสามารถขโมยข้อมูลได้ ... สถานะ: WontFix"
พร้อมทั้งแสดงวิธีการให้เห็นด้วยว่าสามารถทำได้จริง

- คลิกที่ไอคอนมุมขวา หรือ chrome://settings/manageProfile
- คลิก Edit person หรือ chrome://settings/people
- SIGN OUT
- คลิก SING IN TO CHROME ใช้บัญชี Gmail อื่นที่รู้รหัสผ่าน (บัญชี Gmail ของคุณ)
- คลิกเลือก "this was me" และคลิก continue

เพียงเท่านี้คุณจะมีรหัสผ่าน รวมทั้งข้อมูลอื่นๆที่อยู่ภายใต้บัญชี Google ของคนที่ log in ก่อนหน้า โดยที่ไม่จำเป็นต้องรู้รหัสผ่านของเค้าเลย
อย่างไรก็ตามการให้ข้อมูลนี้ มีจุดประสงค์เพียงเพื่อให้ทุกท่านมีความตระหนักที่จะรักษาความปลอดภัยของข้อมูลส่วนตัวของท่าน หากต้องการทดสอบควรจะทดสอบภายใต้สิ่งแวดล้อมที่ถูกสร้างขึ้นมา หรือได้รับการยินยอมจากเจ้าของบัญชีผู้ใช้งานที่ท่านต้องการใช้ในการทดสอบเท่านั้น ทั้งนี้หากต้องการทดสอบสามารถดูข้อมูลเพิ่มเติม พร้อมภาพประกอบได้จาก link ที่มาด้านล่าง

ข้อแนะนำ
- ควรหลีกเลี่ยงการ Log in บัญชี Gmail ของท่านบนเครื่องสาธารณะโดยไม่จำเป็น หากจำเป็นต้อง Log in จริงๆ ควรจะต้องทำการ remove a saved password บน Browser ที่ใช้งานทุกครั้ง
(https://www.

Microsoft ได้ออก Tuesday Patch ประจำเดือนธันวาคม

ช่องโหว่ที่ถูกแก้ไขในรอบนี้มีทั้งหมด 34 รายการ ประกอบด้วยช่องโหว่ที่เป็น Critical ทั้งหมด 21 รายการ และ 13 รายการถูกจัดเป็น Important ส่งผลกับ Edge, Exchange, Internet Explorer, Microsoft Office, Scripting Engine, Windows และอื่นๆ โดยในรอบนี้มีการเพิ่มความปลอดภัยให้กับผู้ใช้งาน Microsoft Office โดยจะช่วยปิดการใช้งานของ DDE(Dynamic Data Exchange) Protocol ในระหว่างที่กำลังวิเคราะห์ และหาทางแก้ปัญหาในช่องโหว่ดังกล่าว

ที่มา : microsoft

นักวิจัยด้านความปลอดภัยออกมาเตือนเกี่ยวกับ Botnet ตัวใหม่ที่ชื่อว่า Satori โดยพบพฤติกรรมที่เชื่อว่าเป็นของ Botnet ตัวนี้บน IP Address มากกว่า 280,000 IPs ในช่วงเวลาเพียง 12 ชั่วโมง และเชื่อว่าน่าจะเป็น Botnet ชนิดใหม่ของ Mirai

Li Fengpei นักวิจัยด้านความปลอดภัย จาก Qihoo 360 Netlab ให้ข้อมูลว่า Satori เริ่มจากการสแกนพอร์ต 37215 และ 52869 ความแตกต่างที่สำคัญระหว่าง Satori และ Mirai คือ Mirai จะอาศัย Telnet scanner เพื่อหาเครื่องที่จะกระจายตัวต่อไป แต่ Satori จะใช้วิธีการเจาะผ่าน zero-day บน Pot 37215 และ 52869 ทำให้มันสามารถแพร่กระจายได้ด้วยตัวมันเองโดยไม่ต้องอาศัยส่วนประกอบอื่นเพิ่มเติม ทั้งนี้ Dale Drew หัวหน้าทีมนโยบายความปลอดภัยจาก CenturyLink บริษัทผู้ให้บริการ Internet รายใหญ่ของโลก ได้ให้สัมภาษณ์ว่าเค้าเชื่อว่าช่องโหว่บน Port 37215 นั้น น่าจะเป็นช่องโหว่ใน router ของ Huawei Home Gateway ซึ่งเป็นช่องโหว่ RCE(CPAI-2017-1016) ที่ถูกพบโดย Check Point เมื่อประมาณปลายเดือนพฤศจิกายนที่ผ่านมา และช่องโหว่บน Port 52869 นั้น น่าจะเป็นช่องโหว่เก่าในอุปกรณ์ของ Realtek(CVE-2014-8361) ซึ่งถูก Patch ไปก่อนหน้านี้แล้วในอุปกรณ์บางตัว ทำให้เมื่อดูจากปริมาณการโจมตีที่สำเร็จบน Port 52869(19,403 IPs) น้อยกว่ามาก เมื่อเทียบกับ Port 37215(263,250 IPs) เมื่อทำการตรวจสอบกับ Shodan พบว่ามีอุปกรณ์มากกว่า 225,000 ตัวที่ยังคงออนไลน์อยู่

Li Fengpei ยังได้ชี้แจงถึงเรื่องความเชื่อมโยงของ Satori ตัวนี้กับ Mirai ที่พบเมื่อช่วงเดือนก่อน โดยยังไม่เป็นที่แน่ชัดว่าผู้ที่อยู่เบื้องหลัง Botnet สองตัวนี้คือคนๆเดียวกันหรือไม่ แต่ Botnet สองตัวนี้มีการใช้ชื่อไฟล์ และฟังก์ชันเฉพาะตัวบางอย่างเหมือนกันอยู่ รวมทั้งมีการใช้ C&C protocols บางตัวร่วมกันอยู่ ทำให้เชื่อว่า Botnet สองตัวนี้น่าจะมีความเกี่ยวข้องกันอยู่

ที่มา : bleepingcomputer

นักพัฒนาแอปแอนดรอยด์ต้องอ่าน! แจ้งเตือนช่องโหว่ "ParseDroid" บนเครื่องมือพัฒนาแอปชื่อดัง

นักวิจัยด้านความปลอดภัยจาก CheckPoint ประกาศการค้นพบช่องโหว่บนเครื่องมือสำหรับพัฒนาแอปบนแอนดรอยด์หลายรายการซึ่งส่งผลให้ผู้โจมตีสามารถเข้าขโมยไฟล์หรือรันโค้ดที่เป็นอันตรายบนระบบที่ใช้เครื่องมือดังกล่าวได้

ช่องโหว่ ParseDroid แท้จริงนั้นอยู่บนไลบรารีสำหรับอ่านข้อมูล XML ซึ่งใช้กันอยู่ในหลายโปรแกรม โดยไลบรารีดังกล่าวนั้นไม่ได้มีการปิดการอ้างอิงค่าจากภายนอกเมื่อมีการอ่านข้อมูลจากไฟล์ XML และส่งผลให้เกิดการโจมตีที่เรียกว่า XML External Entity (XXE) ในการโจมตีช่องโหว่นี้นั้น ผู้โจมตีเพียงแค่แก้ไขไฟล์ XML ซักไฟล์ซึ่งอยู่ในแอปและเป็นไฟล์ที่มักจะถูกอ่านโดยโปรแกรมที่มีการใช้งานไลบรารีที่มีช่องโหว่ เช่น ไฟล์ AndroidManifest.