รายงานล่าสุดจากทีม Incident Response ของ Rapid7 เปิดเผยถึงการโจมตีที่ร้ายแรงใน Microsoft SharePoint server ซึ่งทำให้ผู้ไม่หวังดีสามารถเข้าถึง domain ทั้งหมด และส่งผลกระทบต่อระบบที่สำคัญผ่านการใช้เทคนิคผสมอย่างซับซ้อน ซึ่งเกิดจากการใช้ประโยชน์จากช่องโหว่ CVE-2024-38094 แสดงให้เห็นถึงความสำคัญของการตรวจจับ และตอบสนองต่อช่องโหว่ใน SharePoint servers ที่ติดตั้งในองค์กรอย่างรวดเร็ว (more…)
CVE-2024-38094 : ผู้ไม่หวังดีสามารถเข้าถึง Domain ผ่าน Microsoft SharePoint Server
What is Webshell?
ช่วงหลัง ๆ เราจะได้ยินคำว่า Webshell กันค่อนข้างบ่อยครั้ง วันนี้ i-secure จะพาเพื่อนๆ มารู้จักว่า Webshell ซึ่งเป็นหนึ่งในเทคนิคการโจมตีที่พบได้บ่อยมากๆ ในปัจจุบัน
Webshell คืออะไร และทำไมมันจึงเป็นวิธีการที่เหล่า Hacker นิยมใช้ในการโจมตีเหยื่อกันบ่อยครั้ง
ก่อนอื่น ต้องทำความเข้าใจวิธีคิดที่ Hacker คิดก่อน จุดมุ่งหมายหลักของ Hacker คือต้องการเข้าถึงข้อมูลของเหยื่อ เช่น เข้าถึงข้อมูลความลับ (Confidentiality) หรือเข้าไปดัดแปลงแก้ไขข้อมูลให้เปลี่ยนแปลงไป (Integrity) หรือไม่ก็ทำการขัดขวางไม่ให้ใครๆเข้าถึงข้อมูลนั้นๆได้ (Availability)
ดังนั้นการที่จะบรรลุวัตถุประสงค์นั้นได้ ก็คือต้องควบคุมเหยื่อให้ได้ จึงเป็นที่มาของ Webshell ที่จะเข้าไปคอยควบคุมเครื่องคอมพิวเตอร์หรือเซิร์ฟเวอร์ของเป้าหมายนั่นเอง
แล้ว Webshell คืออะไร?
Webshell คือไฟล์ที่ Hacker สร้างขึ้นมาเพื่อใช้สำหรับควมคุมเครื่อง Web Server ของเหยื่อหลังจาก Hacker พบช่องทางในการโจมตี โดย Webshell ถูกเขียนด้วยภาษาของ Web Application ยกตัวอย่างเช่นภาษา PHP เป็นต้น โดยใช้ประโยชน์จากคำสั่งหรือ Library ที่สามารถเรียกใช้งานของระบบ System Command หรือ OS Command คำสั่งเช่น “whoami” ,”ipconfig /all”, “mkdir” เป็นต้น
แผนผังการทำงานของ Webshell ที่รอรับ input จาก Attacker
Ref: https://www.
พบแคมเปญ ‘No Pineapple’ โจมตีอุปกรณ์ Zimbra ที่ยังไม่ได้อัปเดตแพตซ์
พบแคมเปญใหม่ที่มีความเชื่อมโยงกับกลุ่ม Lazarus มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ Zimbra ที่ยังไม่ได้ทำการ Patch เพื่อเข้าควบคุมเครื่องของเหยื่อ โดยถูกตั้งเป็นแคมเปญชื่อ No Pineapple (more…)