เว็บไซต์คืออะไร?

https://www.facebook.com/633111570064722/

Senic It Knowledge Security

Name: Senic It Knowledge Security
Address: Amphoe Si Racha, 20110, TH
Telephone: +66627236622

ให้บริการด้านสินค้าและบริการความส?

การทำงานใด ๆ นั้นถือเป็นกฎว่าจะต้องมีแผนงาน หากไม่มีแผนงานก็ไม่รู้ว่าจะทำอะไร จะทำไปถึงไหน ทำให้ไม่มีทางที่จะไปถึงเป้าหมายที่ต้องการได้ เมื่อพูดถึงเป้าหมายก็เป็นของแน่อยู่แล้วว่าเรารู้ว่าเราจะไปไหน แต่เราต้องรู้ด้วยว่าเราอยู่ตรงไหน แล้วเราก็ขีดเส้นจากจุดที่ยืนอยู่ไปถึงจุดที่ต้องการจะไป เส้นนี้จะตรงหรือจะคดเคี้ยวอย่างไรนั่นก็คือแผน เมื่อมีแผนแล้ว การตรวจสอบว่าจะไปถึงเป้าหมายได้หรือไม่ก็เป็นเรื่องง่าย

13/11/2020

Distributed Denial-of-Service (DDoS) ยังคงเป็นหนึ่งในภัยคุกคามที่สร้างความสูญเสียให้แก่องค์กรมากที่สุด ไม่ว่าจะเป็นด้านการเงิ....

29/10/2020

มีคนเสนอมาอีกอันสำหรับ platform ในการเรียนรู้เรื่อง blue team ครับ นั่นคือ cyberdefenders ซึ่งเป็น platform ใหม่ที่เปิดมาไม่กี่เดือนครับ
ขอขอบคุณสำหรับการแนะนำครับ
https://cyberdefenders.org/labs/?type=ctf

16/10/2020

phpMyAdmin ออกเเพตซ์ใหม่เเก้ไขช่องโหว่ XSS และ SQL injection ใน phpMyAdmin 4.9.x และ 5.0.x

phpMyAdmin ได้ออกประกาศอัปเดตความปลอดภัยหมายเลขที่ PMASA-2020-5 และ PMASA-2020-6 โดยทั้งสองประกาศนั้นได้ทำการเเก้ไขช่องโหว่ Cross Site Scripting (XSS) และ SQL injection

ตามประกาศเเรกหมายเลข PMASA-2020-5 ช่องโหว่ Cross Site Scripting (XSS) ถูกพบในฟีเจอร์ transformation โดยผู้โจมตีสามารถส่งลิงค์ JavaScript ของระบบ phpMyAdmin ที่สร้างขึ้นมาเป็นพิเศษและเป็นอันตรายไปยังเหยื่อและเมื่อเหยื่อคลิกที่ลิงค์ JavaScript จะทำงานและทำตามคำสั่งของผู้โจมตี เป้าหมายของผู้โจมตีอาจเป็นการขโมยคุกกี้สำหรับการพิสูจน์ตัวตน

ตามประกาศที่สองหมายเลข PMASA-2020-6 เป็นช่องโหว่ SQL injection ที่อยู่ในฟีเจอร์ SearchController ผู้โจมตีสามารถใช้ข้อบกพร่องนี้เพื่อทำการแทรก SQL ที่เป็นอันตรายลงใน query

ช่องโหว่ทั้งสองจะมีผลกระทบกับ phpMyAdmin เวอร์ชันก่อน 4.9.6 และเวอร์ชันก่อน 5.0.3 ทั้งนี้ผู้ใช้ควรทำการอัปเกรด phpMyAdmin เป็นเวอร์ชัน 4.9.6 หรือ 5.0.3 หรือล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:
- https://www.phpmyadmin.net/security/PMASA-2020-5/
- https://www.phpmyadmin.net/security/PMASA-2020-6/

15/10/2020

15/10/2020

📌 "Bad Neighbor" ช่องโหว่ความรุนแรงระดับ 9.8 🔥🔥

ไมโครซอฟต์ประกาศช่องโหว่บน Windows IPv6 stack ที่มีชื่อว่า “Bad Neighbor” ซึ่งทำให้ผู้โจมตีสามารถส่งแพ็กเก็ตแบบพิเศษเพื่อรันโค้ดที่เป็นอันตราย โดยจะมีลักษณะในการแพร่กระจายคล้ายเวิร์ม (Worm)

🔶 รายละเอียด
เมื่อ Windows TCP/IP Stack จัดการแพ็กเก็ต Router Advertisement ที่เกี่ยวข้องกับค่าฟิลด์ Length อย่างไม่เหมาะสมแล้ว จะทำให้การจองพื้นที่ในหน่วยความจำเล็กกว่าความเป็นจริงทั้งหมด 8 ไบต์ ส่งผลให้เกิด Buffer Overflow ‼️ และนำไปสู่การโจมตี (Denial of Service) และ (Remote Code Ex*****on) ได้

ในทางทฤษฎีแล้ว CVE-2020-16898 อาจใช้เพื่อเข้ายึดเครื่องได้เลย และเป็นไปได้ว่าในอนาคตผู้โจมตีอาจจะประยุกต์ใช้เพื่อแพร่กระจายการโจมตีต่อไปยังเครื่องอื่นโดยผสานเข้ากับมัลแวร์ที่เรียกว่า

🔶 ผลกระiทบ
มีผลกระทบต่อ Windows 10 ตั้งแต่รุ่น 1709 จนถึง 2004 และ Windows Server 2019

🔶 การตรวจจับ
- ตรวจหาแพ็คเกต ICMPv6 ที่มี Type field เป็น 134 ซึ่งบ่งบอกถึง Router Advertisement
- ตรวจหาแพ็กเกต ICMPv6 ที่มี Option field เป็น 25 ซึ่งบ่งบอกถึง Recursive DNS Server (RDNSS) และตรวจสอบว่า RDNSS option มีการกำหนดฟิลด์ length เป็นเลขคู่หรือไม่

หากตรวจสอบและพบว่าเป็นไปตามข้างต้น ให้ทำการ Drop packet ดังกล่าวทันที เพราะอาจจะเป็นการพยายามโจมตีช่องโหว่ "Bad Neighbor" ได้ ‼️

🔶 การป้องกัน
- อัพเดต Patch
- ปิดการใช้งาน IPv6 ของเน็ตเวิร์คที่ไม่จำเป็น
- ปิดการใช้งาน ICMPv6 Router Advertisement

Ref: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/

==========
📌 ไซเบอร์ตรอน ผู้ให้บริการ เพื่อเตรียมความพร้อมต่อการรับมือกับภัยทางไซเบอร์ แบบ 24x7
✉️ [email protected]📱087 718 2270

13/10/2020

Cloudflare รวมชุดสินค้าและบริการสำหรับองค์กรนอกเหนือจาก CDN มาเป็นชุดความปลอดภัยเน็ตเวิร์ค ใช้ชื่อ Cloudflare One รวบทราฟิ...

12/10/2020

📌 ไทเลอร์ เทคโนโลยี ในสหรัฐ จ่ายค่าไถ่ให้กับ RansomExx แล้ว ‼️

เมื่อวันที่ 23 กันยายน 2563, ไทเลอร์ เทคโนโลยี (Tyler Technologies) เป็นบริษัทผู้จำหน่ายซอฟท์แวร์ที่ใหญ่ที่สุดในอเมริกาเหนือ ถูกโจมตีด้วยแรมซัมแวร์ และบริษัทได้ตัดการเชื่อมต่อเครือข่ายออกทันทีเพื่อยับยั้งไม่ให้แรนซัมแวร์แพร่กระจายต่อไป

ต่อมาในวันที่ 10 ตุลาคม 2563 Matt Bieri (CIO) ของ Tyler Technologies ได้ส่งอีเมลแจ้งลูกค้าว่าผู้โจมตีได้ขัดขวางการเข้าถึงระบบภายในบางส่วน จึงจำเป็นต้องปิดการเข้าถึงระบบจากภายนอกและเริ่มตรวจสอบเพื่อแก้ไขปัญหาดังกล่าวทันที
การโจมตีดังกล่าวทำให้การดำเนินงานของ Tyler Technologies ต้องหยุดชะงัก และส่งผลกระทบกับบริษัทอย่างรุนแรง โดยคาดว่าจะใช้เวลาถึง 30 วันในการกู้คืนระบบ 😱

ดังนั้น Tyler Technologies จึงตัดสินใจจ่ายค่าไถ่ 💲 💲 เพื่อกู้คืนข้อมูลทั้งหมดที่ถูกเข้ารหัส (มีส่วนขยายไฟล์เป็น '.tylertech911-f1e1a2ac.') เพื่อหลีกเลี่ยงความเสี่ยงที่ในการถูกเปิดเผยข้อมูลของหน่วยงานด้านการศึกษา ระบบศาล และรัฐบาลท้องถิ่นในสหรัฐอเมริกาอีกหลายรายซึ่งเป็นลูกค้าของบริษัท โดยไม่ปรากฎรายงานถึงจำนวนเงินที่ต้องจ่ายให้กับแรนซัมแวร์

Ref : https://www.bleepingcomputer.com/news/security/tyler-technologies-paid-ransomware-gang-for-decryption-key/

==========
📌 ไซเบอร์ตรอน ผู้ให้บริการ เพื่อเตรียมความพร้อมต่อการรับมือกับภัยทางไซเบอร์ แบบ 24x7
✉️ [email protected]📱087 718 2270

06/10/2020

📌 โรงพยาบาลในนิวเจอร์ซีย์จ่ายค่าไถ่กว่า 20 ล้านบาท ให้กับแรนซั่มแวร์เพื่อปกป้องข้อมูลที่รั่วไหล

โรงพยาบาลมหาวิทยาลัยนิวเจอร์ซีย์ จ่าย 670,000 ดอลลาร์ (ราว 20 ล้านบาท) สำหรับค่าไถ่ของแรนซั่มแวร์เพื่อป้องกันการเผยแพร่ข้อมูลผู้ป่วย รวมถึงข้อมูลอื่นๆ ที่ถูกโจรกรรมกว่า 240 GB

การโจมตีโรงพยาบาลจากแรนซั่มแวร์ เกิดขึ้นตั้งแต่ก่อนเดือนกันยายน โดยได้แทรกซึมไปในเครือข่าย และทำการโจรกรรมแฟ้มข้อมูลก่อนที่จะเข้ารหัสข้อมูลทั้งหมด ซึ่งหลังจากที่ผู้โจมตีได้เผยเอกสารกว่า 48,000 รายการของ UHNJ ก็ได้มีตัวแทนของโรงพยาบาลติดต่อกลับไปผ่านช่องทางการชำระเงินใน Dark Web เพื่อเจรจาให้ยุติการเผยแพร่ข้อมูลผู้ป่วยที่ยังคงเหลืออยู่

🔸 ยอม ‘จ่าย’ เพื่อปกป้องข้อมูลของผู้ป่วย

ในบทสนทนาระหว่างโรงพยาบาลและผู้โจมตี พบว่า ได้มีการเจรจาเกี่ยวกับการเรียกค่าไถ่ หลังจากได้มีการเผยแพร่ตัวอย่างข้อมูลส่วนบุคคลของโรงพยาบาลที่ถูกขโมยไปบนเว็บไซต์ Data Leak ของ SunCrypt โดยเรียกค่าไถ่จำนวน 1.7 ล้านดอลลาร์ และเปิดโอกาสให้เจรจาต่อรองได้เนื่องจากสถานการณ์โควิด 19 😤

UHNJ มี Server ที่ได้รับผลกระทบถูกเข้ารหัสเพียง 2 เครื่อง ซึ่งโรงพยาบาลกังวงอย่างมากหากเกิดการเปิดเผยข้อมูลของผู้ป่วยจึงยืนยันที่จะจ่ายค่าไถ่เพื่อป้องกันไม่ให้เกิดการเผยแพร่ต่อไป ทั้งนี้ ยังไม่ชัดเจนว่าข้อมูลใดบ้างที่ถูกขโมยไป แต่ผู้โจมตี Ransomware อ้างว่า มี "การสแกน ID, DOB, SSN, ประเภทของการเจ็บป่วย"

ภายหลังการเจรจาจึงตกลงเงินค่าไถ่เป็นจำนวน 672,744 ดอลลาร์ หรือ 61.90 บิตคอยน์ (ราว 20 ล้านบาท) ซึ่งโรงพยาบาลก็ได้ชำระเงินไปยังที่อยู่บิตคอยน์ตามที่ระบุไว้เมื่อวันที่ 19 กันยายน โดยผู้โจมตี Ransomware ได้จัดหาตัวถอดรหัสของข้อมูลที่ถูกขโมยทั้งหมด, รายงานความปลอดภัย และข้อตกลงที่จะไม่เปิดเผยข้อมูลที่ขโมยไป หรือกลับมาโจมตี UHNJ อีก

ตามรายงานความปลอดภัยที่ได้รับจาก UHNJ พบว่า เครือข่ายของโรงพยาบาลถูกยึดครอง (Compromise) หลังจากที่พนักงานได้รับ Phishing Mail และให้ข้อมูล Network Credentials โดยผู้โจมตีได้ใช้ข้อมูลดังกล่าวในการ Login ไปที่ Citrix Server ของ UHNJ และเข้าถึงระบบเครือข่าย

Ref : https://www.bleepingcomputer.com/news/security/new-jersey-hospital-paid-ransomware-gang-670k-to-prevent-data-leak/

==========
📌 ไซเบอร์ตรอน ผู้ให้บริการ เพื่อเตรียมความพร้อมต่อการรับมือกับภัยทางไซเบอร์ แบบ 24x7
✉️ [email protected]📱087 718 2270

24/09/2020

17/09/2020

แรงข้าม Platform CVE-2020-1472 หรือที่ถูกเรียกว่า "ZeroLogon"
Tom Tervoort นั้นเจอว่าใน Netlogon นั้น Hacker สามารถทำการโจมตีที่เรียกว่า Person-in-the-Middle(PitM) ได้ โดยช่องโหว่คือ CVE-2020-1472 โดยได้รับ CVSS score อยู่ที่ 10/10 โดยผลกระทบเกิดกับ
(เครื่องทั้งหมดที่ไม่ได้ patch ของเดือนสิงหาคม 2020)
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
ผลกระทบ: เพิ่มสิทธิ์ของ user ที่อยู่ในเครือข่ายของ Domain Controller กลายเป็น Administrator ได้
วิธีตรวจจับ
ใน Log คือ eventID ที่จะเกิดขึ้นเมื่อถูกโจมตี ZeroLogon จะเป็น 4624 [Login Success] จากนั้นจะตามด้วย EventID 2 แบบคือหากในกรณีสำเร็จจะเกิด EventID 4742 [A computer account was changed] โดยระบุ Subject-Account name เป็น "Anonymous Logon" หรือไม่ก็ "Administrator" หรืออีกแบบนึงก็จะเป็น 5805 [NETLOGON] ในกรณี่ที่ไม่สำเร็จ (ตัวอย่าง log ดูได้จากใน comments)
Netlogon
Netlogon นั้นเป็น remote protocol ใน Windows Domain Controller ใช้สำหรับ user และ machine authentication โดยปกติจะใช้เป็น NTLM authentication และให้บริการที่ port 445 โดย NetLogon นั้นแตกต่างจจาก protpocol อื่น เพราะใช้ protocol ที่เข้ารหัส เพื่อให้ client ที่ join domain และ server สามารถแชร์ secret กันได้ โดย secret ที่ว่า เป็น hash ของ password ของ client ซึ่งเหตุผลที่ทำไม NetLogon ไม่ใช้ NTLM หรือ Kerberos ก็เพราะ Windows NT ซึ่งเป็นต้นแบบมาแต่ก่อนนั้นไม่ได้รองรับนั่นเอง
NetLogon session นั้นนเริ่มสร้างจากฝั่ง client โดย client และ server จะแลกเปลี่ยน random byte 8 byte ของกันและกัน จากนั้นทั้งคู่ก็คำนวณค่า session key โดยการเอา challenge ของกันและกันนมาประกอบกับ shared secret key โดยใช้ key derivation function. จากนั้น client ก็จะใช้ session key ในการสร้าง credential ขึ้นมา โดย server จะคำนวณ credential ขึ้นมาเช่นกัน โดยหากตรงกันแสดงว่า client ทราบถึง session key ก็จะกลายเป็นสามารถเข้าใช้งานระบบได้
ในส่วนของการพูดคุยและการทำการแลกเปลี่ยน secret ใดๆ จะเรียกว่า ComputeNetlogonCredential โดยมีการใช้งาน 2 version(ขึ้นอยู่กับการกำหนดจากฝั่ง client) เป็น 2DES และ AES (Default)
AES นั้นทำงานเป็น block cipher ซึ่งทำงานอยู่ที่ 16 bytes แต่ของ Windows นั้นใช้เพียงแค่ 8 byte เท่านั้น Microsoft เลยเลือกใช้งาน CFB8 (8-bit cipher feedback) mode ใน ComputeNetlogonCredential
AES-CFB8 นั้น เข้ารหัสทุก byte ของ plaintext โดยเพิ่ม IV(Initialisation Vector) 16 byte เข้าไปด้านหน้า plaintext แล้วนำเข้า AES, จากนั้นเอาผลลัพธ์ 1 ตัว ไปทำการ XOR กับ plaintext ชุดถัดไป
ความผิดพลาด
1. จากที่เห็นในการ authentication ของ NetLogon นั้นสามารถกำหนดได้จากฝั่ง client ทั้งสิ้น อีกทั้งการเดาก็สามารถทำได้ไม่ยาก เพราะขนาดของ Challenge นั้นมีขนาดเพียงแค่ 256 แบบเท่านั้น ทำให้สามารถเดา challenge ได้โดยใช้เวลาไม่นาน ซึ่งทำให้ผู้โจมตีสามารถจะปลอมเป็นใครก็ได้ รวมถึง Domain Controller เองด้วยก็ตาม
2. ในส่วนของ NetLogon นั้นไม่มีการกำหนด limitation ของการ invalid authentication ทำให้สามารถเดาได้เรื่อยๆตลอดๆ
3. เนื่องด้วยอย่างที่บอกว่า NetLogon นั้นเป็นระบบที่มีมาตั้งแต่สมัยโบราณการณ์ เพื่อให้ backward compatible ทำให้ client สามารถ downgrade communication ไปแบบที่ไม่มีการเข้ารหัสได้ ทำให้ seal และ sign signature ไม่จำเป็นนั่นเอง โดยวิธีการทำคือแค่ไม่มีการ set flag NetrServerAuthenticate3 เท่านั้นก็พอ
4. ใน NetLogon นั้นมี function NetrServerPasswordSet2 ที่ใช้ในการ set password ของ user อยู่ โดย password ดังกล่าวนั้นจะถูกเข้ารหัสลับด้วย session key ซึ่งในที่นี้คือ IV โดย CFB8 นั้นดันใช้ IV ที่เป็น 0 byte ทั้งหมดซะด้วย ซึ่งจากข้อ 1 ที่ผู้โจมตีสามารถปลอมเป็น session ของ client คนไหนก็ได้ ทำให้สามารถปลอมตัวเองเป็น admin ของ Domain Controller แล้ว set password เป็น empty password (0 ทั้งหมด) ได้นั่นเอง
กระทบ Samba ด้วย
จากการตรวจสอบ ไม่ใช่แค่ Windows Server เท่านั้นที่จะได้รับผลกระทบจาก ZeroLogon เท่านั้น Linux ที่ให้บริการเป็น Samba version < 4.8 ก็ได้รับผลกระทบจากช่องโหว่นี้เช่นเดียวกัน โดยสามารถ update เพื่อแก้ไขช่องโหว่หรือ เข้าไปแก้ configure ของ Samba เป็น
- server schannel = auto
ก็ทำให้สามารถแก้ไขช่องโหว่นี้ได้เช่นกัน
⭐️Reference⭐️
[1] https://access.redhat.com/discussions/5398921
[2] https://twitter.com/wdormann/status/1305908429664419840?s=20
[3] https://www.secura.com/blog/zero-logon
[4] https://twitter.com/joshlemon/status/1306487256480460805