Thailand People Cyber Army Cyber News

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก Guardicore Labs ออกมาแจ้งเตือนถึงแคมเปญ Cryptojacking บน MsSQL และ PhpMyAdmin Servers ที่กำลังแพร่ระบาดอยู่ในขณะนี้ ซึ่งมีผู้ตกเป็นเหยื่อแล้วกว่า 50,000 ราย เรียกแคมเปญการโจมตีนี้ว่า  Nansh0u Guardicore Labs ระบุว่า แคมเปญการโจมตีดังกล่าวมีต้นตอมาจากกลุ่มแฮ็กเกอร์ APT ชาวจีน เริ่มต้นการโจมตีเมื่อวันที่ 26 กุมภาพันธ์ที่ผ่านมา ซึ่งแฮ็กเกอร์ได้ลอบส่ง Payload ที่แตกต่างกันกว่า 20 รูปแบบผ่านทาง Hosting Provider หลายราย โดยพุ่งเป้าไปยัง MsSQL และ PhpMyAdmin Servers ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ก่อนจะใช้เทคนิค Brute Force เพื่อทำการเจาะทะลุระบบพิสูจน์ตัวตน เมื่อเข้าถึงระบบภายในได้แล้ว แฮ็กเกอร์จะรันคำสั่ง MsSQL เพื่อดาวน์โหลด Payload จาก Remote File Server ของตนเข้ามาติดตั้งและรันโดยใช้สิทธิระดับ SYSTEM จากการตรวจสอบพบว่า Payload ที่ถูกดาวน์โหลดมาติดตั้งนั้นจะใช้ประโยชน์จากช่องโหว่ Privilege Escalation (CVE-2014-4113) เพื่อยกระดับสิทธิ์ของตนเป็น SYSTEM จากนั้นทำการติดตั้งมัลแวร์ Cryptocurrency Mining เพื่อลอบขุดเหรียญ TurtleCoin รวมไปถึ...

Andrew Brandt นักวิจัยด้านความมั่นคงปลอดภัยจาก Sophos ได้ออกมาเปิดเผยถึงการค้นพบกลุ่มแฮ็กเกอร์จีนที่สแกนหาการใช้งาน MySQL บน Windows เพื่อทำการโจมตีด้วย Gandcrab Ransomware นักวิจัยเผยว่าแฮ็กเกอร์จะทำการสแกนหาฐานข้อมูล MySQL ที่เข้าถึงได้จากทางอินเทอร์เน็ตซึ่งสามารถรับคำสั่ง SQL ได้ทั้งนี้ต้องรันอยู่บน Windows ด้วยซึ่งเป้าหมายสุดท้ายคือการปล่อย Ransomware ที่ชื่อ Gandcrab เข้าโจมตี อย่างไรก็ตามนักวิจัยได้สังเกตพบเหตุการณ์จากใน Honeypot ว่ามีการดาวน์โหลดไฟล์บางอย่าง โดยหลังจากแกะรอยกลับไปที่เซิร์ฟเวอร์ของแฮ็กเกอร์ที่เปิด Directory เอาไว้พบว่ามีค่าสถิติการดาวน์โหลดในหลายรายการจำนวนมากตามรูปด้านบน อย่างไรก็ตามพฤติกรรมนี้ถือว่าค่อนข้างน่าสนใจเพราะทั่วไปแล้วจะพบว่าการโจมตีฐานข้อมูลมักทำเพื่อขโมยทรัพย์สินทางปัญญาหรือลอบขุดเงินดิจิตัลมากกว่า นอกจากนี้นักวิจัยคาดว่าแฮ็กเกอร์น่าทำการสแกนเพื่อค้นหาเป้าหมายที่มีการตั้งค่าอย่างผิดพลาดหรือไม่มีการป้องกันด้วยรหัสผ่านแต่ในตอนนี้ยังไม่มีหลักฐานยืนยันถึงความสำเร็จในการโจมตี รวมถึงยังได้ให้คำเตือนทิ้งท้ายว่า “ ตอนนี้ขอบเขตการโจมตียังไม่มากนักแต่หาก...

ใครยังไม่ทราบว่า Microsoft ได้ปล่อย Windows 10 May 2019 Update ออกมาแล้วนะครับและวันนี้ลองมาดูกันว่า 6 ฟีเจอร์ใหม่นั้นมีอะไรกันบ้าง 1.Sandbox ทำให้ผู้ใช้งานสามารถสร้าง VM ของ Windows 10 ขึ้นมารันได้โดยไม่เกี่ยวข้องกับ Windows หลักที่รันอยู่ เช่น อยากลองเปิดโปรแกรมต้องสงสัยว่าอันตราย เป็นต้น โดย Microsoft คุยว่ามีขนาดแค่ไม่ถึง 100 Mb เท่านั้น อย่างไรก็ตามการใช้งานต้องมีเงื่อนไขดังนี้ เป็น Windows 10 Pro หรือสูงกว่า แรมมากกว่า 4 Gb แนะนำที่ 8 Gb พื้นที่ว่างขนาด 1 Gb  เปิด Vitualize ใน BIOS  ซีพียู 64 บิต Dual-core ขึ้นไป แนะนำที่ Quad-core และเปิด Multi-threading ด้วย สำหรับผู้สนใจสามารถศึกษาเพิ่มเติมได้ ที่นี่  หรือเปิดใช้งานได้ใน Windows Feature ใน Control Panel  2.Light Theme ฟีเจอร์นี้จะเกี่ยวกับความสวยงามในการใช้งานของ App, taskbar, Action Center, notification ที่จะถูกเปลี่ยนให้ดูโปร่งสบายตามากขึ้นเพียงแค่เข้าไปที่ Setting->Personalization->Colors แล้วเลือก ‘Choose your color’ 3.Windows Update หลายคนรอคอยกับฟีเจอร์นี้อยู่เหมือนกันเพราะผ...

Chronicle บริษัทด้าน Cybersecurity บริษัทย่อยของ Alphabet ได้จัดทำรายงานเกี่ยวกับสติถิของตัวอย่างมัลแวร์บน VirusTotal กว่า 3,815 ตัวที่มีการทำ Code Signing ซึ่งพบ Certificate จาก Comodo (ปัจจุบันเปลี่ยนชื่อเป็น  Sectigo  แล้ว) ถึง 1,775 ใบถูกนำมาใช้อำนวยประโยชน์ให้มัลแวร์เหล่านี้ Code Signing  คือการทำ Cryptographic Hash การยืนยันว่าซอฟต์แวร์นั้นไม่ได้ถูกแก้ไขเปลี่ยนแปลงยกตัวอย่างเช่น Windows หรือ Mac OS จะใช้ตรวจสอบว่าซอฟต์แวร์ไม่ได้ถูกแก้ไขมา โดยภายในของกระบวนการจะมีการใช้งาน Certificate ที่ถูกออกให้จาก Trusted CAs สำหรับรายงานจาก Chronicle พบว่าสถิติตัวอย่างมัลแวร์บน VirusTotal จำนวน 3,815 ตัวที่มีการทำ Code Signing และถูกอัปโหลดมาไม่เกิน 1 ปีพบว่ามี Certificate ที่ถูกออกโดย Trusted CA 6 ลำดับแรกคือ Comodo 1,775 ใบ, thawte 509 ใบ, VeriSign 261 ใบ, Sectigo 182 ใบ, Symantec 131 ใบ และ DigiCert 118 ใบ โดยถ้าสังเกตเรื่องของตัวเลขจะพบว่าแต่ละลำดับมีการทิ้งห่างกันหลายเท่าเลยทีเดียว (ตามรูปด้านบน) อย่างไรก็ตามทางเดียวที่จะแก้ปัญหาข้างต้นคือการเรียกคืน Certificate ซึ่งก...

มีรายงานมายังทีมพัฒนา Arch Linux ถึงการใช้งาน LVM, dm-crypt และ Samsung SSD ร่วมกันบน Linux 5.1 Kernel ว่าอาจทำให้ข้อมูลสูญหายได้อย่างร้ายแรง ช่องโหว่นี้เกิดจากการทำงานของ Linux FSTRIM/Discard ที่อาจทำให้ข้อมูลสูญหายได้ในบางเงื่อนไขของการใช้งานระบบ ซึ่งปัจจุบันนี้เชื่อว่าเกี่ยวข้องกับ LVM และ dm-crypt โดยตรง โดยบั๊กบนระบบ Device Mapper ใน Linux 5.1 นี้ก็ได้ทำให้การ Discard ข้อมูลใน Block นั้นเป็นไปอย่างผิดพลาด และอาจนำมาซึ่งการสูญเสียข้อมูลจำนวนมากได้ ประเด็นนี้ได้ถูกส่งไปยังทีมพัฒนา Linux เพื่อทำการแก้ไขแล้ว สำหรับผู้ที่สนใจรายละเอียดฉบับเต็ม สามารถศึกษาข้อมูลเพิ่มเติมได้ที่  https://bugs.archlinux.org/task/62693  ครับ ที่มา:  https://www.phoronix.com/scan.php?page=news_item&px=Linux-5.1-FSTRIM-Bug

Tor Project ไปประกาศปล่อย Tor Browser เวอร์ชันสเถียรให้ผู้สนใจดาวน์โหลดกันได้บน Google Play แล้ว สำหรับ Tor Browser คือ Browser ที่ต่อยอดมาจาก Firefox แต่มีวิธีการ implement ที่มุ่งปกป้องความเป็นส่วนตัวของผู้ใช้งานไม่ให้ถูกสอดแนมจาก Censorship ต่างๆ ที่บน Android จะเริ่มต้นเวอร์ชันที่ 8.5 ซึ่งเป็นเวอร์ชันสเถียรพร้อมใช้งานแล้วหลังจากเปิดตัวเวอร์ชันทดสอบมากว่า 8 เดือน อย่างไรก็ตามยังฟังก์ชันไม่เท่ากับ Tor Browser บน Desktop บ้างซึ่งทีมงานกำลังพยายามอัปเดตอย่างต่อเนื่อง โดยสำหรับผู้ใช้ iOS ที่สนใจทีมงานเผยว่ายังไม่มีแผนให้บริการนี้ออกมาเพราะติดเรื่อง Policy ต่างๆ จาก Apple ที่ค่อนข้างยุ่งยากแต่แนะนำให้ไปใช้ Onion Browser ที่ถูกพัฒนาโดย Mike Tigas และ The Guardian Project แทนได้ ที่มา :   https://www.zdnet.com/article/first-official-version-of-tor-browser-for-android-released-on-the-play-store/  และ   https://www.bleepingcomputer.com/news/security/tor-browser-85-for-android-released-on-the-google-play-store/

นักวิจัยด้านความมั่นคงปลอดภัยในนามแฝง ‘SandboxEscaper’ ได้เปิดเผยช่องโหว่ Zero-day ใหม่ไว้บน GitHub ซึ่งเกิดกับส่วน Task Scheduler ของ Windows 10 ที่นำไปสู่การยกระดับสิทธิ์ได้ นักวิจัยได้กล่าวถึงช่องโหว่ว่าเป็น Local Privilege Escalation (LPE) หรือการที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เพื่อเข้าถึงเครื่องเหยื่อได้ในสิทธิ์ระดับสูง โดยนักวิจัยได้ใช้ไฟล์ .JOB เพื่อใช้งานช่องโหว่บนโปรเซสของ Task Scheduler ที่เข้าไปเปลี่ยนแปลง  DACL  (Discretionary access control list) หรือสิทธิ์การอนุญาตของไฟล์ซึ่งหลังจากทำได้สำเร็จจะสามารถยกระดับสิทธิ์สู่ผู้ดูแลได้เลยทีเดียว สามารถรับชมวีดีโอสาธิตได้จากด้านล่าง อันที่จริงแล้วสมัย XP ตัว Task ต่างๆ จะอยู่ในไฟล์ .JOB แต่ปัจจุบันยังสามารถเพิ่มเข้าไปใน OS ใหม่ได้ อย่างไรก็ตามมีการตอบรับจากผู้เชี่ยวชาญอย่าง Will Dormann นักวิเคราะห์ของ CERT/CC แล้วว่าโค้ด PoC ที่ถูกเปิดเผยสามารถใช้ได้จริงบน Windows 10 x86 และสำเร็จ 100% โดยไม่ต้องมีการแก้ไขแพตช์ด้วย นอกจากนี้คาดว่าจะทำได้กับ WIndows 10 x64 ด้วยเพียงแค่ต้องคอมไพล์ใหม่ก่อนเล็กน้อย สำหรับ SandboxEsc...

โปรแกรมเรียกค่าไถ่ยังคงเป็นภัยคุกคามที่มีความรุนแรงอันดับต้นๆ ในยุคดิจิตอล และวันนี้เราจะมาอธิบายสิ่งที่องค์กรควรรู้และวิธีลดความเสี่ยง ตลอดปี 2018 ที่ผ่านมาอาชญากรไซเบอร์ยังคงเดินหน้าใช้โปรแกรมเรียกค่าไถ่โจมตีองค์กรใหญ่ๆ โดยเราจะเน้นในประเด็นที่ว่ามีปัจจัยเสี่ยงอะไรบ้าง อย่าง Remote Access อีเมล ฯลฯ เพื่อให้ผู้ดูแลหรือผู้ที่รับผิดชอบด้านความปลอดภัยสามารถรับมือกับภัยคุกคามที่พัฒนาอย่างรวดเร็ว ยิ่งใหญ่ ยิ่งตกเป็นเป้า ถ้าองค์กรของคุณไม่เคยถูกเล่นงานด้วยโปรแกรมเรียกค่าไถ่ (Ransomware) นั่นไม่ได้หมายความว่าโปรแกรมเรียกค่าไถ่นั้นกำลังจะหายไป จริงอยู่ที่ปี 2017 เป็นปีของโปรแกรมเรียกค่าไถ่ และมีแนวโน้มการตรวจจับลดลงในปี 2018 แต่ในความเป็นจริงแล้วเหล่าแฮกเกอร์ในปีที่ผ่านมาสิ่งที่แฮกเกอร์ทำอาจเป็นการทดลองตลาด เพราะตอนนี้แฮกเกอร์มีเป้าหมายเป็นองค์กรที่มีขนาดใหญ่ขึ้น เนื่องจากองค์กรกับข้อมูลเป็นของคู่กัน หากองค์กรมีขนาดใหญ่ข้อมูลที่เก็บเอาไว้ก็มีจำนวนมากตามขึ้นไปเช่นกัน ยิ่งองค์กรจำเป็นต้องการรักษาชื่อเสียงขององค์กร คงไม่ยากเลยที่มิจฉาชีพออนไลน์หรือแฮกเกอร์จะหันมาหาองค์กรเหล่านี้และบีบให...

Google ได้ร่วมกับมหาวิทยาลัย New York และ California เพื่อศึกษาถึงความสำคัญของการใช้งาน 2-factors Authentication กับการโจมตีในรูปแบบต่างๆ ซึ่งพบช่วยป้องกันการแฮ็กบัญชีได้เป็นอย่างดี ภาพรวมของผลลัพธ์สามารถติดตามได้ตามรูปด้านบน โดยสรุปก็คือ  Security Key  (เช่น การใช้อุปกรณ์ฮาร์ดแวร์มาเสียบเพื่อเติมเพื่อยืนยันตัวตน) เป็นวิธีการป้องกันการแฮ็กบัญชีได้ดีที่สุดถึง 100% ในทุกวิธีทั้ง Bot, Bulk Phishing (เหยื่อทั่วไปแบบไม่เฉพาะเจาะจงบุคคล) และ การโจมตีแบบเฉพาะเจาะจงตัวบุคคลและรองลงมาคือ  On-device prompt  อย่างไรก็ตามแม้ว่าเราจะแค่เลือกยืนยันตัวตนด้วย SMS ทางโทรศัพท์แต่รายงานก็ชี้ว่าสามารถป้องกันการโจมตีได้ถึง 100% กับบอทและ 96% จากแคมเปญ Phishing ทั่วไปและ 76% หากเป็นเหยื่อที่ถูกหมายหัว ดังนั้นด้วยสรุปจากรายงานนี้จึงขอสนับสนุนให้ทุกท่านเปิดใช้งาน 2-factor Authentication ในทุกบริการที่เปิดได้ครับ เช่น Email, Facebook และบริการอื่นๆ ที่รองรับ นอกจากนี้รายงานยังได้สำรวจไปถึง ‘บริการรับจ้างแฮ็กบัญชีด้วย’ และสิ่งที่พบคือมีการโจมตีในลักษณะของ Spear Phishing กับเหยื่อโดยอ้างว...

มีรายงานพบช่องโหว่ระดับ implementation ที่นำไปสู่การเกิด Memory Corruption บน Linux ในส่วน Reliable Datagram Sockets (RDS) สำหรับโมดูล TCP ซึ่งคาดว่าจะกระทบกับ Kernel เวอร์ชันก่อน 5.0.8 NIST ได้ออก รายงาน เผยถึงช่องโหว่ CVE-2019-11815 ว่าเป็นปัญหาของ Race Condition ที่ส่งผลกระทบกับ rds_tcp_kill_socket ใน net/rds/tcp.c ซึ่งบั้กสามารถนำไปสู่  Use-after-free  (อ้างอิงถึงหน่วยความจำส่วนที่คืนไปแล้ว) อย่างไรก็ตามการใช้งานช่องโหว่ทำได้ค่อนข้างยากและ Vendor linux หลายเจ้าได้ให้ความรุนแรงไว้แตกต่างกันแต่สามารถใช้งานผ่านเครือข่ายและไม่จำเป็นต้องมีสิทธิ์ระดับสูงหรืออาศัยการปฏิสัมพันธ์จากผู้ใช้ สำหรับ Advisory จาก Red Hat  อธิบาย ว่า “ ระบบที่มีการโหลด Kernel โมดูล rds_tcp (ทั้งจากการ Manual หรือเรียกผ่านโปรเซส listen() อย่างอัตโนมัติ) อาจเป็นสาเหตุให้เกิด use-after-free ที่ทำให้ผุ้โจมตีสามารถเข้ามาทำบางอย่างกับสถานะของ Socket ในระหว่างที่ network namespace ถูกทำลายลง ” ในขณะที่ฝั่ง Ubuntu กล่าวว่า “โ มดูล Blacklisting rds.ko สามารถป้องกันการโหลดโค้ดช่องโหว่ได้ซึ่งมีการตั้งค่าเ...

Microsoft ได้ออกมาแจ้งถึงการค้นพบปัญหาที่ผู้ใช้งานจะไม่สามารถบูท Windows 10 ได้หากมีการทำ System Restore หลังจากที่มีการอัปเดต Windows 10 ไป และต้องการย้อนระบบไปก่อนหน้าการอัปเดตนั้นๆ ซึ่งการแก้ไขปัญหานี้ต้องใช้ Windows Recovery Environment หรือ Windows RE / WinRE เท่านั้น ปัญหานี้เกิดขึ้นจากการที่ Windows 10 นั้นจะทำการโหลด Driver รุ่นล่าสุดจากอัปเดตล่าสุดขึ้นมาก่อนในระหว่างการบูทระบบหลังการทำ System Restore ทำให้หากจุดที่ต้องการกู้ระบบนั้นอยู่ก่อนหน้าอัปเดตล่าสุด Driver Version ที่จะต้องใช้ในจุดที่ต้องการกู้ระบบนั้นรุ่นจะไม่ตรงกัน และทำให้การ Restart ไม่สำเร็จนั่นเอง ทั้งนี้เมื่อผู้ใช้งานพบว่าระบบที่ตนเองทำการ Restore นั้นมีปัญหา ก็สามารถทำการ Restart ระบบอีกครั้งหนึ่งเพื่อเข้า Windows Recovery Environment ด้วยตนเองได้ทันที และทำตามขั้นตอนดังต่อไปนี้ เข้าไปที่ Troubleshoot > Advanced options > More recovery options > Startup settings แล้วเลือก Restart now ใน Startup Settings ให้เลือก Disable driver signature enforcement (บางระบบอาจต้องใช้ปุ่ม F7 เพื่อเข้าถึงการตั้งค่...

Stack Overflow หนึ่งในเว็บถามตอบที่ใหญ่ที่สุดของเหล่าโปรแกรมเมอร์ ได้ออกมาเปิดเผยวันนี้ว่า พบแฮ็กเกอร์ (ยังไม่ทราบว่าเป็นใคร) ลอบเข้าถึงระบบใช้งานจริงอย่างไม่มีสิทธิ์เมื่อวันที่ 11 พฤษภาคม 2019 ที่ผ่านมา เคราะห์ดีที่ไม่พบว่ามีข้อมูลรั่วไหลสู่สาธารณะ Stack Overflow ก่อตั้งขึ้นเมื่อปี 2008 โดย Jeff Atwood และ Joel Spolsky เป็นไซต์เรือธงของเครือ Stack Exchange Network ปัจจุบันนี้มีผู้ใช้ที่ลงทะเบียนกว่า 10 ล้านคน และมีผู้เข้าเยี่ยมชมมากว่า 50 ล้านในแต่ละเดือน เรียกได้ว่าเป็นเว็บไซต์ยอดนิยมสำหรับเหล่าโปรแกรมเมอร์ในการถามตอบปัญหาทั้งหลาย Mary Ferguson, VP of Engineering ของ Stack Overflow ออกแถลงการณ์ยืนยันว่า เว็บไซต์ถูกแฮ็กจริง แต่จนถึงตอนนี้ยังไม่พบหลักฐานว่าแฮ็กเกอร์มีการเข้าถึงข้อมูลหรือบัญชีของผู้ใช้แต่อย่างใด และก็ได้ทำการอัปเดตแพตช์เพื่ออุดช่องโหว่ที่ค้นพบทั้งหมดแล้ว อย่างไรก็ตาม Ferguson ยังไม่ได้ให้รายละเอียดเกี่ยวกับการแฮ็กและความเสียหายที่เกิดขึ้น ที่มา:  https://thehackernews.com/2019/05/stack-overflow-databreach.html

ทีมนักวิจัยจาก Sucuri ผู้ให้บริการแพลตฟอร์ม Web Security ชื่อดัง ออกมาแจ้งเตือนถึงช่องโหว่ Cross-site Scripting (XSS) บน WP Live Chat Support for WordPress เสี่ยงอาจถูกแฮ็กเกอร์สอดแทรกสคริปต์แปลกปลอมเข้าสู่เว็บไซต์จากระยะไกลได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนใดๆ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว WP Live Chat Support for WordPress เป็น Plugin สำหรับให้บริการ Live Chat แก่ผู้เข้าเยี่ยมชมเว็บไซต์ ซึ่งปัจจุบันมีผู้ดาวน์โหลดไปติดตั้งมากกว่า 60,000 เว็บ โดยช่องโหว่ที่ค้นพบนี้ส่งผลกระทบบน Plugin เวอร์ชัน 8.0.27 และก่อนหน้านั้น มีสาเหตุมาจากการไม่ป้องกัน  ‘admin_init hook’  ซึ่งเป็นช่องทางยอดนิยมที่แฮ็กเกอร์ใช้โจมตี WordPress Plugin ให้ดีเพียงพอ Sucuri ได้รายงานช่องโหว่ไปยังทีมนักพัฒนา WP Live Chat Support for WordPress เมื่อวันที่ 30 เมษายน ซึ่งก็ได้ออกแพตช์มาอุดช่องโหว่เป็นที่เรียบร้อย แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว รายละเอียดเชิงเทคนิค:  https://blog.sucuri.net/2019/05/persistent-cross-site-scripting-in-wp-live-chat-support-plugin.html ที่มา:  https:...

Attack Surface Analyzer 2.0 เป็นเครื่องมือสำหรับติดตาม Log การเปลี่ยนแปลงที่เกิดขึ้นกับ Windows ต่อจากเมื่อ 7 ปีที่แล้วในเวอร์ชัน 1.0 ซึ่งเป็นประโยชน์อย่างยิ่งในสถานการณ์เช่น ตรวจสอบว่ามีอะไรเปลี่ยนแปลงใน OS เมื่อลงโปรแกรมต่างๆ โดยเป็นประโยชน์ทั้งกับนักพัฒนาสำหรับ Debug โปรแกรมหรือนักล่ามัลแวร์ (ไอเดียเหมือนการตรวจสอบของ Sandbox) 7 ปีที่ผ่านมาวิศวกรของ Microsoft ได้ทำเครื่องมือนี้ใหม่โดยใช้ .NET และ Electron ทำให้รันได้บน Windows, macOS และ linux โดยการใช้งานใน Attack Surface Analyzer 2.0 ทำได้ง่ายเพราะมีเพียงแค่ 2 ส่วนหลักดังนี้ 1.Scan (รูปด้านบน) Static – หาการเปลี่ยนแปลงของ OS ก่อนและหลังลงแอปพลิเคชัน Live Monitoring – ตรวจสอบการเปลี่ยนแปลงแบบ Real-time 2.Result (รูปประกอบด้านล่าง) ผลลัพธ์การตรวจสอบหลังจาก Scan มีองค์ประกอบคือ File System, Network Port(listeners), System Services, System Certificate Store, Windows Registry, User Accounts นอกจากนี้ยังมี Command line กันให้ใช้ด้วยนะครับเพื่อส่งเสริมการทำงานอัตโนมัติ โดยผู้สนใจสามารถดาวน์โหลดเครื่องมือเวอร์ชันใหม่ได้จาก ...

Fast Retailing บริษัทใหญ่เบื้องหลังหลายแบรนด์ของญี่ปุ่นได้ออกประกาศเกิดเหตุ Data Breach จาก Credential Stuffing Attack กับร้านค้าออนไลน์ของแบรนด์ดังอย่าง UNIQLO และ GU ซึ่งปัจจุบันพบผลกระทบกับผู้ใช้แล้วอย่างน้อย 461,091 ราย เกิดเหตุการณ์  Credential Stuffing Attack  (การ inject credential ที่ได้มาอย่างอัตโนมัติ) กับหน้าร้านค้าออนไลน์ของแบรนด์เสื้อผ้าชื่อดังในระหว่างวันที่ 23 เมษายน ถึง 10 พฤษาภาคม 2019 โดย Fast Retailing นั้นทราบเรื่องดังกล่าวหลังจากได้รับรายงานจากลูกค้าหลายรายถึงพฤติกรรมกิจกรรมแปลกๆ ในบัญชีใช้งานจากนั้นจึงได้บล็อกแฮ็กเกอร์ออกจากการเข้าถึงระบบในเวลาต่อมา ทั้งนี้หลังจากการสืบสวนเบื้องต้นเมื่อวันที่ 13 พฤษภาคมบริษัทได้ทำการ Disable บัญชีผู้ใช้ของ UNIQLO และ GU กว่า 461,090 บัญชีพร้อมแจ้งอีเมลเตือนแก่ลูกค้าให้เปลี่ยนรหัสผ่าน สำหรับข้อมูลลูกค้าที่ถูกเข้าถึงได้จากการโจมตีมีดังนี้ ชื่อและนามสกุล ที่อยู่ เบอร์โทรศัพท์/มือถือ อีเมล เพศ วันเกิด  ประวัติซื้อขาย  ขนาดเสื้อผ้า ชื่อผู้รับ ข้อมูลบัตรเครดิต ประกอบด้วย ผู้ถือบัตร วันหมดอายุ และส่วนหน...

ทีมนักวิจัยจากฝรั่งเศสและสิงค์โปร์ร่วมกันศึกษาและเผยแพร่ผลงานวิจัยด้าน SHA-1 Collision Attack โดยพยายามที่จะพัฒนาวิธีการที่ทำให้ Cost การประมวลผลของการทำให้เกิด Collision อยู่ในราคาที่เป็นไปได้ในโลกแห่งความเป็นจริงซึ่งสรุปว่าในอนาคตอันใกล้นี้น่าจะเป็นไปได้ที่แฮ็กเกอร์ที่พอจะมีทรัพยากรจะสามารถทำการ Collision Attack ได้สำเร็จ SHA-1 เป็น  Hash Algorithm  ตัวหนึ่ง (ทำเพื่อแมปข้อมูลหลากขนาดให้มีขนาดที่กำหนด) ซึ่งประเด็นคือเมื่อปี 2005 มีการพิสูจน์ในทางทฤษฏีว่าอัลกิริทึมนี้สามารถทำการ Collision Attack (ป้อน input 2 ค่าแล้วได้ hash output เหมือนกัน) ได้และต่อมาปี 2017 Google และ CWI ร่วมกันพิสูจน์ว่าเป็นไปได้ในทางปฏิบัติจริงครั้งแรกของโลกด้วยการใช้ทรัพยากรคลาวด์เพียง 110,000 เหรียญสหรัฐฯเท่านั้น (ไม่ได้ Brute-force ไปตรงๆ แต่มีวิธีการสามารถอ่านเพิ่มเติมได้ที่  SHAttered ) สามารถดูภาพประกอบได้ตามด้านบน อย่างไรก็ตามปัจจุบันมีงานวิจัยที่ชื่อ ‘ From Collision to Chosen-Prefix Collisions-Application to Full SHA-1 ‘ ซึ่งนักวิจัยได้พยายามทำการโจมตีที่เรียกว่า Chosen-prefix collisi...

ทีมงาน Facebook ได้ค้นพบช่องโหว่บน Whatsapp หมายเลข CVE-2019-3568 ซึ่งเป็นช่องโหว่ Buffer Overflow ที่สามารถนำไปสูการทำ Remote Code Execute โดยปัจจุบันได้ค้นพบว่ามีการนำไปใช้เพื่อติดตั้งเครื่องมือสอดแนมที่ได้รับการสนับสนุนจากรัฐ CVE-2019-3568  เป็นบั้กบนฟีเจอร์ Audio Call ที่ทำให้ผู้โทรสามารถติดตั้ง Spyware บนเครื่องอุปกรณ์ปลายทางได้แม้ว่าจะมีการรับสายหรือไม่ก็ตาม โดยสิ่งที่ค้นพบคือ Spyware ต้องสงสัยคาดว่าจะมาจาก  NSO Group หรือบริษัทในอิสราเอลที่ผลิตเครื่องมือสอดแนมขายให้รัฐบาลต่างๆ อย่างไรก็ตาม Facebook พบเหยื่อจำนวนน้อยเท่านั้นซึ่งน่าจะค่อนข้างเฉพาะเจาะจง  หลังจากมีการแจ้งเตือนเกิดขึ้นไม่เกิน 10 วันทาง Facebook เองก็ได้ออกแพตช์เพื่ออุดช่องโหว่พร้อมกับแนะนำให้ผู้ใช้งานอัปเดตเวอร์ชันล่าสุด สำหรับในรายงานครั้งนี้บริษัท Social Media ยักษ์ใหญ่ไม่ได้ระบุชื่อของบริษัทที่คาดว่าจะเป็นผู้ผลิต Spyware ที่ถูกใช้หากแต่พูดอ้อมอย่างชัดเจนว่า “ การโจมตีมีความชัดเจนว่าน่าจะมาจากบริษัทเอกชนที่ขายเครื่องมือสอดแนมให้กับรัฐบาลเพื่อเข้าควบคุมระบบปฏิบัติการของมือถือ ” ดังนั้นผู้ใช้งาน W...

Willem de Groot ผู้เชี่ยวชาญและผู้ก่อตั้ง Sanguine Security ได้เตือนถึงการพบ 2 เหตุการณ์ที่คาดว่าถูกโจมตีโดยแฮ็กเกอร์กลุ่มเดียวกันซึ่งมีบริษัทวิเคราะห์ข้อมูลที่ชื่อ Picreel และโอเพ่นซอร์สโปรเจ็คที่ชื่อ Alpaca Forms ตกเป็นเหยื่อในครั้งนี้ซึ่งทั้งสองมีลูกค้าที่คาดว่าจะได้รับผลกระทบได้ในมือรวมกันมากกว่า 4,600 เว็บไซต์ Picreel  เป็นบริการวิเคราะห์ข้อมูลที่ทำให้เจ้าของเว็บทราบรูปแบบพฤติกรรมจากผู้ใช้ในเว็บของตนได้ โดยเจ้าของเว็บไซต์จะต้องนำ Embeded JavaScript Code ไปติดตั้งเอาไว้เพื่อให้ Picreel ทำงานได้ซึ่งจุดนี้เองแฮ็กเกอร์ได้เข้าแทรกแซงและเพิ่มโค้ดอันตรายเข้าไป Alpaca Forms  เป็นโปรเจ็คโอเพ่นซอร์สสำหรับการสร้าง Web forms ซึ่งบริษัทผู้พัฒนาอย่าง Cloud CMS ปล่อยออกมาตั้งแต่ 8 ปีก่อนและยังคงให้บริการ CDN แก่โปรเจ็คอยู่แต่ดูเหมือนว่าแฮ็กเกอร์จะสามารถเจาะเข้าไปยัง CDN ที่บริษัทดูแลอยู่เพื่อเข้าไปแก้ไข Alpaca Forms Script แล้ว อย่างไรก็ตามหลังจากได้รับแจ้งทางบริษัทยืนยันว่าแฮ็กเกอร์ได้เข้าไปแก้ไขเพียงหนึ่งใน JavaScript ไฟล์ภายในโปรเจ็คบน CDN ของตนได้เท่านั้นและปัจจุบันได้จัดการ CD...

Advanced Intelligence บริษัทผู้เชี่ยวชาญเกี่ยวภัยคุกคามเผยข้อมูลว่าได้พบกลุ่มแฮ็กเกอร์ที่ชื่อ ‘Fxmsp’ พยายามเร่ขายซอร์สโค้ดและการเข้าถึงเครือข่ายของ 3 บริษัท Antivirus สัญชาติอเมริกันหลังอ้างว่าเจาะได้สำเร็จ โดยสนนราคาขายซอร์สโค้ดและการเข้าถึงเครือข่ายอยู่ที่ 150,000 และ 250,000 ดอลล่าร์สหรัฐฯ หากสนใจซื้อเป็นแพ็กเกจคู่จะอยู่ที่ 300,000 ดอลล่าร์สหรัฐฯ ทั้งนี้ก็ขึ้นกับบริษัทเป้าหมายด้วย ข้อมูลที่พบคือเมื่อเดือนมีนาคมที่ผ่านมา Fxmsp ได้ประกาศในกลุ่มใต้ดินว่ามีข้อมูลสำคัญที่ขโมยมาได้จากหลายบริษัท Antivirus รายหลักที่ตั้งอยู่ในอเมริกา ต่อมาในเดือนเมษายนได้อ้างว่าตลอดไตรมาสแรกของปีได้พยายามอย่างหนักเพื่อทำให้ตนสามารถเจาะเข้าสู่เครือข่ายของเหยื่อและสามารถรักษาการเข้าถึงไว้ได้ยาวนานพร้อมกันนี้ยังได้เผยถึงหน้า Screenshot ของโฟลเดอร์ที่แสดงให้เห็นถึงข้อมูลขนาด 30 เทระไบต์ซึ่งอ้างว่านำออกมาจากเครือข่ายมาได้ (ภาพด้านล่าง) โดย AdvIntel รายงานว่า “ โฟลเดอร์มีข้อมูล เช่น เอกสารการพัฒนา โมเดล AI, ซอฟต์แวร์, Web Security และโค้ดของผลิตภัณฑ์ Antivirus ” นอกจากนี้ผู้เชี่ยวชาญยังได้เผยรายละเอียดเพิ่มเ...