Microsoft ได้ออกอัปเดตแพตซ์เร่งด่วน เพื่อแก้ไขช่องโหว่ใน Windows Snipping tool [ผู้ใช้งาน]

    Microsoft ได้ออกอัปเดตแพตซ์ด้านความปลอดภัยฉุกเฉินสำหรับ Windows 10 และ Windows 11 เพื่อแก้ไขช่องโหว่ Acropalypse ที่ส่งผลต่อรูปภาพที่มีการแก้ไขใน Windows Snipping Tool

  CVE-2023-28303 (คะแนน CVSS 3.1/10 ความรุนแรงต่ำ) ช่องโหว่ในชื่อ Acropalypse ซึ่งเกิดจากโปรแกรมแก้ไขรูปภาพที่ไม่ได้ลบข้อมูลรูปภาพที่ถูก crop ตัดอย่างถูกต้องเมื่อเขียนทับไฟล์ต้นฉบับ ทำให้มีความเสี่ยงที่จะโดนกู้คืนภาพที่ถูกแก้ไขไปแล้วได้ ซึ่งอาจทำให้ถูกเปิดเผยข้อมูลที่มีความสำคัญได้ โดยพบช่องโหว่ดังกล่าวทั้งใน Google Pixel's Markup Tool และ Windows Snipping Tool

ช่องโหว่ Acropalypse ใน Windows Snipping Tool เป็นข้อผิดพลาดในการบันทึกข้อมูลเพิ่มเติมหลังเครื่องหมายไฟล์ IEND ซึ่งแสดงถึงจุดสิ้นสุดของไฟล์ PNG ซึ่งที่จริงแล้วไม่ควรจะมีข้อมูลหลังจากเครื่องหมาย IEND

    โดยนักวิจัยคาดว่ามีจำนวนรูปภาพสาธารณะที่ได้รับผลกระทบจากช่องโหว่ Acropalypse จำนวนมาก ซึ่งใน VirusTotal เพียงอย่างเดียวมีรูปภาพมากกว่า 4,000 ภาพ ที่มีความเสี่ยง

อัปเดตแก้ไขช่องโหว่ Acropalypse

    Microsoft ได้ออกอัปเดตแก้ไขช่องโหว่ Acropalypse ทั้งโปรแกรม Windows 10 Snip & Sketch และ Windows 11 Snipping Tool โดยหลังจากที่ทำการอัปเดต Windows 11 Snipping Tool จะเป็นเวอร์ชัน 10.2008.3001.0 และ Windows 10 Snip & Sketch จะเป็นเวอร์ชัน 11.2302.20.0

   โดยทาง Microsoft ได้ตั้งชื่อช่องโหว่ CVE-2023-28303 ว่า "Windows Snipping Tool Information Information Disclosure Vulnerability" ซึ่งช่องโหว่นี้มีความรุนแรง "ต่ำ" เนื่องจาก "จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน และมีปัจจัยหลายอย่างที่อยู่นอกเหนือการควบคุมของผู้โจมตี" ดังนี้

• ผู้ใช้ต้องถ่ายภาพหน้าจอ บันทึกลงในไฟล์ แก้ไขไฟล์ (เช่น crop ตัด) จากนั้นบันทึกไฟล์ที่แก้ไขไปยังตำแหน่งเดียวกัน
• ผู้ใช้ต้องเปิดรูปภาพใน Snipping Tool แล้วแก้ไขไฟล์ (เช่น crop ตัด) จากนั้นบันทึกไฟล์ที่แก้ไขไปยังตำแหน่งเดียวกัน

  ในการอัปเดตดังกล่าวสามารถเข้าไปที่ Microsoft Store แล้วไปที่ Libary > Get Updates จากนั้น Windows Snipping Tool เวอร์ชันล่าสุดจะถูกติดตั้งโดยอัตโนมัติ

Ref: bleepingcomputer

ทดลองใช้ MQTT ใน Window

 

        ก่อนที่จะมาเริ่มทดลองใช้ Mosquitto (MQTT) กัน จำเป็นที่จะต้องทำการติดตั้ง MQTT กันก่อนโดยเข้าไปที่เว็บไซต์ของ MQTT ในลิ้งค์นี้ทำการโหลดตัวติดตั้งสำหรับ window แล้วทำการติดตั้งให้เรียบร้อย

    

        หลังจากติดตั้งเสร็จก็ให้ทำการเปิด command prompt ขึ้นมาโดยต้องเปิดแบบ run as administrator เมื่อเปิดขึ้นมาแล้วจะมีหน้าตาตามรูปด้านล่าง

        จากนั้นให้เข้าไปที่ folder ที่เราได้ทำการติดตั้ง MQTT เอาไว้

 cd "c:\Program Files\mosquitto"

        หลังจากที่เข้าไปใน folder แล้วให้ทำการใช้คำสั่งตามด้านล่างเพื่อเป็นการเริ่มต้นการทำงานของ broker

 net start mosquitto

        เมื่อทำการ start mosquitto แล้วให้ทำการใช้คำสั่งด้านล่างเพื่อทดลองรับข้อมูลด้วยการ subscribe

 mosquitto_sub -t test_mosquitto -h localhost //Subscribe

        จากนั้นทำการเปิด command prompt ขึ้นมาเพิ่มอีกหนึ่งหน้าจอ แล้วใช้คำสั่งตามด้านล่างเพื่อทดลองส่งข้อมูลด้วยการ published จะได้ผลลัพธ์ตามภาพด้านล่าง

 mosquitto_pub -t test_mosquitto -h localhost -m "hello mosquitto" //Published

QNAP ออกประกาศเตือนช่องโหว่ Linux Sudo ใหม่บนอุปกรณ์ NAS

  QNAP ได้ออกประกาศเตือนถึงช่องโหว่ใหม่ที่ทำให้ผู้ไม่หวังดีใช้งาน Linux Sudo เพื่อทำ Privilege Escalation ได้ ช่องโหว่นี้มีรหัส CVE-2023-22809 ถูกค้นพบโดยผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Synacktiv โดยอธิบายว่าเป็นการใช้ “sudoers policy bypass” ใน Sudo เวอร์ชัน 1.9.12p1 ผ่านทาง sudoedit โดยมีการทดสอบโจมตีบน Sudo เวอร์ชันตั้งแต่ 1.8.0 จนถึง 1.9.12p1 จนสามารถทำ Privilege Escalation เพื่อเข้าถึงไฟล์ภายในได้

    ช่องโหว่นี้กระทบ NAS OS รุ่น QTS, QuTS hero, QuTScloud และ QVP (QVR Pro Appliance) ปัจจุบัน QNAP ได้ออกแพตช์อุดช่องโหว่นี้แล้วบน QTS และ QuTS hero ส่วน QuTScloud และ QVP นั้นกำลังอยู่ในขั้นตอนการแก้ไขเพื่อออกแพตช์ต่อไป อย่างไรก็ตาม QNAP ยังไม่พบการโจมตีผ่านช่องโหว่นี้แต่อย่างใด แต่ได้มีการเตือนผู้ดูแลระบบให้ทำการอัปเดตแพตช์ของอุปกรณ์ให้เป็นเวอร์ชันล่าสุด โดยสามารถดาวน์โหลดแพตช์ได้ผ่านทาง Download Center หรือเลือก Check for Update โดยตรงจากตัวอุปกรณ์

bleepingcomputer

DotRunpeX” Malware ตัวใหม่ ถูกใช้เพื่อแพร่กระจายมัลแวร์ตัวอื่นผ่านทาง Google Ad

    นักวิจัยของ Check Point บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการค้นพบ loader malware ที่มีความสามารถในการแพร่กระจายมัลแวร์ผ่านทาง Google Ad ที่มีชื่อว่า DotRunpeX

การโจมตีของ DotRunpeX Malware

 นักวิจัยระบุว่า Hacker จะเริ่มต้นจากการนำเว็บไซต์อันตรายที่มีการติดตั้งโทรจันซึ่งปลอมแปลงเป็นซอฟต์แวร์ยอดนิยมต่างๆ เช่น AnyDesk และ LastPass ไปแสดงในหน้าค้นหาบน Google Ad เพื่อให้เหยื่อทำการกดลิงค์เข้าถึงเว็บดังกล่าว และดาวน์โหลด DotRunpeX ไปยังเครื่องเป้าหมาย

    DotRunpeX ถูกพบครั้งแรกในเดือนตุลาคม 2022 เป็นมัลแวร์ที่สามารถแทรกคำสั่งอันตรายที่เขียนด้วย .NET โดยใช้เทคนิค Process Hollowing เพื่อแพร่กระจายมัลแวร์ประเภทต่าง ๆ เช่น Agent Tesla , Ave Maria , BitRAT , FormBook , LokiBot , NetWire , Raccoon Stealer , RedLine Stealer , Remcos , Rhadamanthys และ Vidar โดยมัลแวร์ที่อยู่ในรายการเหล่านี้ ยังมีความสามารถในการป้องกัน หรือปิดระบบป้องกันด้านความปลอดภัยอีกด้วย รวมถึง DotRunpeX ยังมีการใช้ procexp.sys ในการโจมตีช่องโหว่ และยกระดับสิทธิเป็น kernel mode อีกด้วย

    Check Point คาดการณ์ว่า DotRunpeX อาจจะมีส่วนเกี่ยวข้องกับกลุ่ม Hacker ชาวรัสเซีย เนื่องจากพบว่ามัลแวร์ที่ถูกใช้แพร่กระจายบ่อย ๆ คือ RedLine, Raccoon, Vidar, Agent Tesla และ FormBook

thehackernews

Microsoft อธิบายการแจ้งเตือน LSA protection ที่ผิดพลาด ภายหลังการอัปเดต Microsoft Defender [EndUser]

  Microsoft อธิบายการแจ้งเตือน LSA protection ที่ผิดพลาด ภายหลังจากการอัปเดต KB5007651 Microsoft Defender Antivirus ซึ่งส่งผลให้เกิดความผิดพลากในการแจ้งเตือนที่ระบุว่า Local Security Authority (LSA) Protection ปิดอยู่ ถึงแม้จะเปิดอยู่ก็ตาม

    LSA Protection หรือ Local Security Authority (LSA) Protection เป็นคุณลักษณะด้านความปลอดภัยที่ปกป้องข้อมูลที่มีความสำคัญของ Windows จาก Process Local Security Authority Subsystem Service (LSASS) เช่น การป้องกันข้อมูลประจำตัวถูกขโมยออกไปด้วยการบล็อก LSA code injection และการทำ process memory dumping

  โดยพบว่าผู้ใช้งานหลายรายได้แจ้งว่า ภายหลังจากทำการอัปเดต KB5007651 Microsoft Defender Antivirus ก็ได้มีหน้าต่างแจ้งเตือนด้านความปลอดภัยที่ระบุว่า "Local Security Authority protection is off. Your device may be vulnerable." ถึงแม้จะเปิด LSA Protection อยู่ก็ตาม

    โดยต่อมาทาง Microsoft ได้ออกมาอธิบายว่า การแจ้งเตือนลักษณะนี้เป็นความผิดพลาดที่จะแสดงบนระบบที่ใช้ Windows 11 21H2 และ 22H2 เท่านั้น ภายหลังจากการอัปเดต KB5007651 Microsoft Defender Antivirus (เวอร์ชัน 1.0.2302.21002) ที่ถึงแม้ว่ามีการเปิดใช้งาน LSA protection แล้ว การแจ้งเตือนก็จะยังแสดงว่าถูกปิดอยู่

การแก้ไข

    ทาง Microsoft กำลังดำเนินการแก้ไขปัญหาคำเตือนผิดพลาดดังกล่าว รวมถึงได้แนะนำว่า หากได้เปิดใช้การป้องกันของ Local Security Authority (LSA) และรีสตาร์ทอุปกรณ์อย่างน้อยหนึ่งครั้งไปแล้ว ผู้ใช้งานสามารถกด dismiss การแจ้งเตือน และไม่ต้องสนใจต่อการแจ้งเตือนที่ขอให้รีสตาร์ทได้

  ทั้งนี้สามารถตราจสอบว่า LSA Protection ทำงานอยู่จริงหรือไม่ โดยการค้นหา WinInit event ใน System logs ของ Windows Logs ดังนี้ "12: LSASS.exe was started as a protected process with level: 4" ทาง Microsoft มีแผนที่จะใช้ Local Security Authority (LSA) Protection เป็นค่าเริ่มต้น สำหรับ Windows 11 รุ่นถัดไป

bleepingcomputer

ช่องโหว่ Acropalypse ส่งผลต่อ Windows Snipping Tool สามารถกู้คืนรูปภาพที่ถูกแก้ไขได้

    พบช่องโหว่ระดับความรุนแรงสูงที่อาจส่งผลต่อข้อมูลที่มีความสำคัญ โดยสามารถกู้คืนรูปภาพที่ถูกแก้ไขไปแล้วได้ในชื่อ 'acropalypse' ซึ่งส่งผลกระทบต่อ Windows Snipping Tool โดยช่องโหว่ทำให้ผู้ใช้งานสามารถกู้คืนเนื้อหาบางส่วนจากภาพที่แก้ไขไปแล้วได้

    โดยก่อนหน้านี้มีการพบช่องโหว่ acropalypse ใน Markup Tool ของ Google Pixel ทำให้สามารถกู้คืนภาพต้นฉบับได้ แม้ว่าจะถูกแก้ไข หรือ crop ตัดก็ตาม โดยช่องโหว่ดังกล่าวก่อให้เกิดข้อกังวลด้านความเป็นส่วนตัวอย่างมาก เนื่องจากหากผู้ใช้งานแชร์รูปภาพ เช่น บัตรเครดิตที่มีหมายเลขที่ถูกแก้ไข หรือรูปภาพใบหน้าที่ถูกลบออก ก็อาจถูกกู้คืนรูปภาพต้นฉบับกลับมาได้

ช่องโหว่ Acropalypse ส่งผลกระทบต่อ Windows Snipping Tool เช่นกัน

    Chris Blume วิศวกรซอฟต์แวร์ และ Will Dormann ผู้เชี่ยวชาญด้านช่องโหว่ได้ทำการทดสอบ และออกมายืนยันว่าช่องโหว่ Acropalypse ส่งผลกระทบต่อ Windows 11 Snipping Tool เช่นกัน โดยพบว่าหลังจากที่ใช้ช่องโหว่ Acropalypse เมื่อเปิดไฟล์ใน Windows 11 Snipping Tool และเขียนทับไฟล์ที่มีอยู่ แทนที่จะตัดข้อมูลที่ไม่ได้ใช้ออก โปรแกรมจะเก็บข้อมูลที่ไม่ได้ใช้ไว้เบื้องหลัง จึงทำให้สามารถกู้คืนข้อมูลได้บางส่วน

    การทดสอบจะทำโดยการเปิดไฟล์ PNG ที่มีอยู่ใน Windows 11 Snipping Tool จากนั้น crop ตัด (หรือสามารถใช้วิธีการแก้ไข หรือทำเครื่องหมายได้) จากนั้นจึงบันทึกการเปลี่ยนแปลงลงในไฟล์ต้นฉบับ

    ถึงแม้ว่าภาพที่ crop ตัดจะมีข้อมูลน้อยกว่าภาพต้นฉบับมาก แต่ขนาดไฟล์สำหรับไฟล์ภาพต้นฉบับ (office-screenshot-original.png) และไฟล์ภาพที่ถูก crop ตัด (office-screenshot.png) จะมีขนาดเท่ากัน

PNG file specification จะกำหนดให้ไฟล์ภาพ PNG ลงท้ายด้วยข้อมูล 'IEND' เสมอ โดยที่ข้อมูลใด ๆ ก็ตามที่ทำการเพิ่มเข้ามา หรือทำการแก้ไขทีหลังจะถูกละเว้นไว้ การใช้ Windows 11 Snipping Tool เพื่อเขียนทับ หรือแก้ไขภาพต้นฉบับด้วยเวอร์ชันที่ทำการแก้ไข crop ตัด พบว่าโปรแกรมไม่ได้ตัดทอนข้อมูลที่ไม่ได้ใช้อย่างถูกต้อง และยังคงอยู่ในข้อมูลที่ลงท้ายด้วย IEND

    การเปิดไฟล์ในโปรแกรมเพื่อดูรูปภาพจะแสดงรูปภาพที่ถูก crop ตัด เนื่องจากข้อมูลใดก็ตามหลังจาก IEND แรกจะถูกละเว้นไว้ แต่ข้อมูลที่ไม่ถูกตัดทอนนี้ สามารถนำไปใช้เพื่อสร้างภาพต้นฉบับขึ้นใหม่บางส่วน ซึ่งอาจทำให้เปิดเผยส่วนที่มีความสำคัญได้

    โดยพบว่าไฟล์ optimized PNGs จะได้รับผลกระทบจากช่องโหว่ดังกล่าว ซึ่งไฟล์ PNG ดั้งเดิมจะถูกบันทึกด้วยบล็อก zlib เดียว (optimized PNGs ) แต่ไฟล์ภาพที่แสดงให้เห็นจะถูกบันทึกด้วยบล็อก zlib หลายบล็อก

    ถึงแม้ว่าจะสามารถกู้คืนรูปภาพได้แค่บางส่วน แต่ก็ยังมีความเสี่ยงที่อาจจะถูกขโมยข้อมูลความเป็นส่วนตัวอยู่ดี หากมีการถ่ายภาพหน้าจอของสเปรดชีตที่มีความสำคัญ เช่น เอกสารลับ หรือแม้แต่ภาพเปลือย ซึ่งถึงแม้จะไม่สามารถกู้คืนรูปภาพต้นฉบับได้ทั้งหมด แต่ก็อาจจะเห็นข้อมูลที่มีความสำคัญที่ไม่ต้องการเปิดเผยต่อสาธารณะได้

    นอกจากนี้ BleepingComputer ยังพบว่าหากทำเปิดไฟล์ PNG ที่ไม่ถูกตัดทอนในโปรแกรมแก้ไขรูปภาพ เช่น Photoshop แล้วทำการบันทึกลงในไฟล์อื่น ข้อมูลที่ถูกแก้ไขออกไปจะถูกตัดออก ทำให้ไม่สามารถกู้คืนได้อีกต่อไป

bleepingcomputer

วิธีการติดตั้ง Grafana และเชื่อมต่อ Grafana กับ Prometheus

 

        วันนี้เราจะมาสอนติดตั้ง Grafana ซึ่ง Grafana คือ Dashboard tools ที่จะแสดงผลออกมาเป็นกราฟหรือแผนภูมิ และมีฟังก์ชั่นการแจ้งเตือนสำหรับเว็บ ในการที่จะใช้งาน Grafana จะต้องมี Data source เช่น prometheus, postgreSQL ในบทความนี้เราจะใช้ prometheus ซึ่งได้เคยสอนติดตั้งไปแล้วในบทความ ทดลองใช้ Plugin ใน Konga สำหรับใครที่ยังไม่ได้ติดตั้งสามารถเข้าไปดูได้ในลิ้งค์

        ในการติดตั้ง Grafana เริ่มจากการเปิด Ubuntu ขึ้นมาแล้วใช้คำสั่งด้านล่างในการดึง grafana/grafana มาที่ image ใน Docker

 docker pull grafana/grafana-oss

         จากนั้นใช้คำสั่งด้านล่างเพื่อสร้างและเริ่มต้นการทำงานของ container 

docker run -d --name=grafana -p 3000:3000 grafana/grafana-oss

         เมื่อทำการติดตั้งเสร็จให้เข้าไปที่ localhost:3000 จะได้ผลลัพธ์ตามรูปด้านล่าง username และ password เริ่มต้นคือ admin เมื่อทำการ login เสร็จจะมีให้ตั้งค่า password

        เมื่อตั้งค่า password เสร็จจะเข้ามาที่หน้าหลักให้เลือก Data Source จากนั้นเลือก Time series database เป็น Prometheus ทำการใส่ url ของ prometheus ซึ่งสามารถใส่ตามรูปด้านล่างได้เลย หลังจากที่ใส่ url เสร็จให้กดปุ่ม save & test ที่อยู่ด้านล่างถ้าเชื่อมต่อสำเร็จจะขึ้นว่า Data source is working

        หลังจากที่ทำการเพิ่ม data source เสร็จให้ลองไปที่เมนู Dashboards แล้วเลือกไปที่ new จะมี drop down ลงมาให้เลือก import แล้วใส่โค้ด 7242 ซึ่งเป็น Dashboards official ของ Kong

        เมื่อทำการ import เสร็จจะมีกราฟต่างๆขึ้นมา

ผู้ไม่ประสงค์ดีจีนเริ่มใช้ช่องโหว่ของ Fortinet ในการโจมตีทางไซเบอร์

    มีการเปิดเผยรายงานการพบกลุ่มผู้ไม่ประสงค์ดีจีนกำลังใช้ประโยชน์จากช่องโหว่ของระบบปฏิบัติการ Fortinet FortiOS ที่มีความรุนแรงระดับกลาง ซึ่งปัจจุบันมีการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ไปเรียบร้อยแล้ว

    Mandiant ผู้เชี่ยวชาญทางด้าน Threat intelligence ระบุว่า การโจมตีดังกล่าวเป็นส่วนหนึ่งของการโจมตีขนาดใหญ่ที่ออกแบบมาเพื่อติดตั้ง backdoor ลงบนอุปกรณ์ Fortinet และ VMware เพื่อสร้างช่องทางสำหรับการแฝงตัวอยู่ภายในระบบของเป้าหมาย และกำลังติดตามการดำเนินการของกลุ่มดังกล่าวภายใต้ชื่อ UNC3886 ซึ่งคาดว่ามีความเกี่ยวข้องกับประเทศจีน "UNC3886" เป็นกลุ่มผู้ไม่ประสงค์ดีที่มีความสามารถเฉพาะตัวในการดำเนินการโจมตีอุปกรณ์บนเครือข่าย สังเกตได้จากเครื่องมือที่ใช้ในการโจมตี UNC3886 มุ่งเป้าหมายไปที่ Firewall และเทคโนโลยี virtualization ที่ยังไม่รองรับจากอุปกรณ์ EDR โดยมีความสามารถในการจัดการ Firmware ของ Firewall และใช้ประโยชน์จากช่องโหว่ที่ถูกพบ แสดงให้เห็นว่ากลุ่มผู้โจมตีมีความเชี่ยวชาญในเทคโนโลยีดังกล่าว

    ก่อนหน้านี้กลุ่มผู้ไม่ประสงค์ดีกลุ่มนี้ เกี่ยวข้องกับการโจมตีที่มุ่งเป้าหมายเป็นเซิร์ฟเวอร์ VMware ESXi และ เซิร์ฟเวอร์ Linux vCenter ซึ่งเป็นส่วนหนึ่งของแคมเปญ hyperjacking ที่ออกแบบมาเพื่อฝัง backdoor เช่น VIRTUALPITA และ VIRTUALPIE

    Mandiant เกิดขึ้นภายหลังจากที่ Fortinet เปิดเผยว่าหน่วยงานของภาครัฐ และองค์กรขนาดใหญ่ ได้รับผลกระทบจากการถูกโจมตีโดยการใช้ช่องโหว่บน Fortinet FortiOS ซึ่งอาจส่งผลให้ข้อมูลสูญหาย และเกิดความเสียหายในระบบปฏิบัติการได้

    โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-41328 (CVSS score: 6.5) เป็นช่องโหว่ path traversal บน FortiOS ซึ่งมีการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ไปแล้วเมื่อวันที่ 7 มีนาคม 2023 ที่ผ่านมา

ตามรายงานจาก Mandiant ระบุว่าการโจมตีที่ UNC3886 ได้มุ่งเป้าไปที่อุปกรณ์ FortiGaet, FortiManager, และ FortiAnalyzer ของ Fortinert เพื่อติดตั้ง backdoor THINCRUST และ CASTLETAP ซึ่งจะสามารถทำได้หากอุปกรณ์ FortiManager ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต

    THINCRUST เป็น backdoor ที่เขียนด้วยภาษา Python และสามารถรันคำสั่ง รวมถึงอ่าน และเขียนไฟล์บนดิสก์ได้ รวมถึงเพย์โหลดที่เพิ่มเข้ามาใหม่ เรียกว่า "/bin/fgfm" (หรือเรียกว่า CASTLETAP) ซึ่งจะทำการเชื่อมต่อออกไปยังเซิร์ฟเวอร์ภายนอกที่ถูกควบคุมโดยผู้โจมตี เพื่อรับคำสั่ง, ติดตั้งเพย์โหลด และส่งข้อมูลที่ขโมยออกมาไปที่ C2 Server

    นักวิจัยระบุว่า "เมื่อ CASTLETAP ถูกติดตั้งบนไฟร์วอลล์ FortiGate แล้ว ผู้โจมตีจะเชื่อมต่อกับเครื่อง ESXi และ vCenter เพื่อสร้างช่องทางการแฝงตัวบนระบบ ซึ่งทำให้สามารถเข้าถึง hypervisors และเครื่อง guest อื่น ๆ"

    ในกรณีที่อุปกรณ์ FortiManager มีการจำกัดการเข้าถึงจากอินเทอร์เน็ต ผู้ไม่หวังดีจะใช้เทคนิค Pivoting โดยการเชื่อมต่อจาก FortiGate Firewall ที่โจมตีด้วย CASTLETAP เพื่อฝัง reverse shell backdoor ชื่อ REPTILE ("/bin/klogd") บนระบบจัดการเครือข่ายเพื่อให้สามารถกลับเข้าถึงระบบได้อีกครั้ง

UNC3886 ใช้เครื่องมือชื่อ TABLEFLIP เพื่อเชื่อมต่อโดยตรงกับอุปกรณ์ FortiManager โดยไม่สนใจ ACL (access-control list) ที่กำหนดไว้ในอุปกรณ์ FortiGate

    การโจมตีนี้ไม่ใช่ครั้งแรกที่กลุ่มผู้ไม่หวังดีจากจีน มุ่งเป้าหมายไปยังอุปกรณ์เครือข่ายเพื่อแพร่กระจายมัลแวร์ โดยก่อนหน้านี้ก็พบการโจมตีโดยการใช้ช่องโหว่อื่น ๆ ในอุปกรณ์ Fortinet และ SonicWall

Rapid7 พบว่าผู้ไม่หวังดีกำลังพัฒนา และเผยแพร่เครื่องมือที่ใช้ในการโจมตีได้รวดเร็วขึ้นกว่าที่ผ่านมา โดยมีช่องโหว่มากถึง 28 รายการ ที่ถูกนำมาใช้ในการโจมตีเพียง 7 วัน ภายหลังจากมีการเปิดเผยข้อมูลออกสู่สาธารณะ ซึ่งเพิ่มขึ้น 12% จากปี 2021 และเพิ่มขึ้น 87% จากปี 2020

    กลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับประเทศจีนได้กลายเป็นผู้เชี่ยวชาญเฉพาะด้านในการใช้ช่องโหว่ zero-day และการแพร่กระจายมัลแวร์ที่ปรับแต่งให้เหมาะสม เพื่อขโมยข้อมูลประจำตัวผู้ใช้งาน และแฝงตัวบนระบบเครือข่ายของเป้าหมาย

    Mandiant ระบุว่า "การโจมตีนี้เป็นหลักฐานที่ชี้ให้เห็นว่าผู้โจมตีที่มีความเชี่ยวชาญ กำลังใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึง และค้นหาข้อมูลของเป้าหมาย โดยเฉพาะเทคโนโลยีที่ไม่รองรับการป้องกันจากอุปกรณ์ EDR"

Ref : thehackernews

ทดลองใช้ Plugin ใน KONGA

 

        วันนี้เราจะมาลองใช้ Plugin ใน Konga กัน โดยในเมนู plugin ของ konga จะมีหัวข้อหลัก 7 หัวข้อคือ Authentication, Security, Traffic Control, Serverless, Analytics & Monitoring, Transformations, Logging ถ้าหากใครยังไม่ได้ติดตั้ง Konga สามารถเข้าไปดูวิธีการติดตั้งตามลิ้งค์นี้ได้เลย Konga

        โดยเราจะเริ่มจาก Authentication ซึ่ง plugin ที่จะเลือกมาใช้ในบทความนี้คือ Jwt 

        ในการใช้ plugin Jwt ให้กดเข้าไปใน route ที่ต้องการจะติดตั้ง plugin จากนั้นเลือก add plugin ที่เราต้องการจะติดตั้งซึ่งในที่นี้คือ Jwt เมื่อกดเข้าไปแล้วให้กดที่ add plugin ได้เลยโดยที่ไม่ต้องไปตั้งค่าอะไรทั้งสิ้น เมื่อกดเสร็จจะแสดงรายการ plugin ที่ติดตั้งใน route นี้

        หลังจากนั้นก็ไปที่ consumers เลือก user ที่ต้องการเมื่อเข้ามาแล้วจะมีแถบเมนูด้านบนให้กดไปที่ credentials แล้วเลือกไปที่ JWT กด create JWT แล้วใส่ข้อมูลในช่อง secret ในช่องนี้จะใส่อะไรก็ได้ แล้วกด submit ได้เลย

        เมื่อกด submit เสร็จจะได้ข้อมูลออกมาเป็นรูปแบบ json ตามภาพ

        ในการสร้าง token เพื่อที่จะนำไปใช้ต่อให้เข้าไปที่เว็บ jwt.io ในส่วนของ header ให้เพิ่ม iss เข้าไปและ verify signature ก็ใส่ secret ที่เราตั้งเอาไว้เมื่อใส่เสร็จแล้วทางด้านซ้ายจะมี token ให้นำ token ที่ได้ไปใส่ใน authorization โดย type ให้เลือกเป็น Bearer Token แล้วใส่ token เข้าไป จะได้ผลลัพธ์ตามภาพที่ 2 แต่ถ้าไม่มี token จะได้ผลลัพธ์ตามภาพที่ 1 

jwt.io

ภาพที่ 1

ภาพที่ 2

        Plugin ที่จะใช้ถัดมาคือ Acl ซึ่งจะอยู่ในเมนู Security ก็กด add plugin แล้วจะมีเมนูขึ้นมาให้ใส่ซึ่งในช่อง allow และ deny ให้ใส่ข้อมูลช่องใดช่องหนึ่ง

        จากนั้นให้เข้าไปที่ consumers แล้วเลือก user  ที่ต้องการแล้วเลือกไปที่ groups กด add group แล้วตั้งชื่อตามที่เราเพิ่มไว้ใน Acl หาก group ตรงกับ Acl ที่ได้เพิ่มไว้จะแสดงดังรูปที่ 2 หากไม่ตรงจะแสดงดังรูปที่ 1

add group

ภาพที่ 1

ภาพที่ 2

        Plugin Traffic Control ที่จะเลือกใช้คือ Rate Limiting เมื่อกด add plugin จะมีหน้าให้ config ตัวของ Rate Limiting ในตัวอย่างจะใส่ที่ช่อง second และ hour

        เมื่อทดลองส่ง request ไปแล้วดูในส่วนของ header ที่ response กลับมาจะพบว่ามี header เพิ่มขึ้นมาคือ X-RateLimit-Remaining และ X-RateLimit-Limit ที่ได้ตั้งเอาไว้จะมีส่วนของวินาทีและชั่วโมง

        

         Plugin Analytics & Monitoring ที่จะเลือกใช้คือ prometheus เริ่มต้นจากการเข้าไปที่ consumers เลือก user ที่ต้องการจะติดตั้ง plugin แล้วเลือก prometheus จากนั้นกด add plugin 

         เมื่อทำการ add plugin เสร็จให้เปิด ubuntu ขึ้นมาและใช้คำสั่งตามด้านล่างเพื่อดึง prom/prometheus มาที่ image

 docker pull prom/prometheus

        จากนั้นใช้คำสั่งด้านล่างเพื่อสร้าง container ของ prometheus

 docker run -d -p 9090:9090 prom/prometheus

         เมื่อสร้าง container เสร็จแล้วให้ทำตามรูปด้านล่างทีละคำสั่งเพื่อที่จะเข้าไปแก้ไฟล์ prometheus.yml ในการแก้ไขไฟล์ให้เพิ่มบรรทัดที่ทำกรอบสีแดงเอาไว้แล้วกดปุ่ม esc พิมพ์คำสั่ง :wq จะออกมาจากไฟล์จากนั้นทำการ restart container

        เมื่อเข้าไปที่ localhost:9090 แล้วกดไปที่ status และเลือก targets จะพบกับหน้าจอตามรูปด้านล่าง

        เมื่อเลือกเมนู Graph แล้วพิมพ์คำว่า kong จะมีคำสั่งต่างๆขึ้นมาให้เลือกเพื่อแสดงข้อมูล

        Plugin Tranformations ที่เลือกใช้คือ ResponseTranformer เมื่อกด add config จะมีหน้าต่างขึ้นมาให้กรอกในตัวอย่างได้ลองเพิ่ม header เข้าไปจากนั้นก็ลองเรียกใช้ route นั้นอีกครั้งแล้วลองไปดูที่ response ในส่วนของ header จะพบว่ามีส่วนที่เราเพิ่มเข้ามา

        Plugin Logging ที่เลือกใช้คือ file logs เมื่อกด add plugin ให้ใส่ path ที่ต้องการจะเก็บ log หากต้องการจะดู log ให้ใช้คำสั่งตามรูปด้านล่าง