แสดงบทความที่มีป้ายกำกับ key แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ key แสดงบทความทั้งหมด

12/07/2567

Avast ปล่อยเครื่องมือถอดรหัสฟรีสำหรับ Ransomware DoNex และเวอร์ชันก่อนหน้า


    Antivirus Avast ได้ค้นพบช่องโหว่ในโครงสร้างเข้ารหัสของ Ransomware DoNex และได้ปล่อยเครื่องมือถอดรหัสเพื่อให้เหยื่อสามารถกู้คืนไฟล์ได้ฟรี บริษัทระบุว่าได้ทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายในการให้เครื่องมือถอดรหัสแก่เหยื่อของ Ransomware DoNex ตั้งแต่เดือนมีนาคม 2024 โดยบริษัทความปลอดภัยไซเบอร์จะแจกจ่ายเครื่องมือถอดรหัสในลักษณะนี้(ไม่บอกรายละเอียดของช่องโหว่) เพื่อป้องกันไม่ให้ผู้โจมตีทราบเกี่ยวกับช่องโหว่
    ช่องโหว่นี้ถูกเปิดเผยในงานประชุม Recon 2024 เมื่อเดือน มิถุนายน 2024 ดังนั้น Avast ตัดสินใจปล่อยเครื่องมือถอดรหัสออกมาเพื่อเป็นประโยชน์ต่อสาธารณะ

การถอดรหัส DoNex
 DoNex เป็นการรีแบรนด์ในปี 2024 ของกลุ่ม "DarkRace" ซึ่งเป็นการรีแบรนด์ในปี 2023 ของ Ransomware Muse ที่ถูกปล่อยออกมาในเดือนเมษายน 2022
    ช่องโหว่ที่ค้นพบโดย Avast มีอยู่ใน Ransomware ตระกูล DoNex และเวอร์ชันก่อนหน้าทั้งหมด รวมถึงเวอร์ชันปลอมที่ใช้แบรนด์ Lockbit 3.0 ที่ใช้จากกลุ่ม 'Muse' ในเดือนพฤศจิกายน 2022


    Avast ระบุว่าจากการตรวจสอบพบว่าการโจมตีล่าสุดของ DoNex มีเป้าหมายในสหรัฐอเมริกา, อิตาลี และเบลเยียม แต่ก็พบการแพร่กระจายไปทั่วโลกอีกเช่นกัน


ช่องโหว่ในระบบการเข้ารหัส
    ในระหว่างการดำเนินการของ DoNex Ransomware encryption key จะถูกสร้างขึ้นโดยใช้ฟังก์ชัน 'CryptGenRandom()' ซึ่งเป็นการเริ่มต้น ChaCha20 symmetric key ที่ใช้ในการเข้ารหัสไฟล์เป้าหมาย
หลังจากขั้นตอนการเข้ารหัสไฟล์ ChaCha20 key จะถูกเข้ารหัสโดยใช้ RSA-4096 และถูกเพิ่มลงในส่วนท้ายของแต่ละไฟล์
    Avast ยังไม่ได้อธิบายว่าช่องโหว่อยู่ที่ใด ดังนั้นอาจเป็นเรื่องของ key reuse, การสร้าง key ที่สามารถคาดเดาได้ หรือปัญหาอื่น ๆ
    สังเกตว่า DoNex ใช้การเข้ารหัสสลับสำหรับไฟล์ที่มีขนาดใหญ่กว่า 1MB วิธีการนี้เพิ่มความเร็วเมื่อเข้ารหัสไฟล์ แต่ทำให้เกิดช่องโหว่ที่สามารถใช้เพื่อกู้คืนข้อมูลที่เข้ารหัสได้โดยไม่ต้องจ่ายค่าไถ่
    เครื่องมือถอดรหัสของ Avast สำหรับ DoNex และเวอร์ชันก่อนหน้า สามารถดาวน์โหลดได้จาก decoded.avast.io แนะนำให้ผู้ใช้เลือกเวอร์ชัน 64-bit เนื่องจากขั้นตอนการแคร็กรหัสผ่านต้องการหน่วยความจำมากเครื่องมือถอดรหัสจำเป็นต้องดำเนินการโดยผู้ใช้ที่มีสิทธิ์เป็นผู้ดูแลระบบ โดยต้องมีไฟล์ที่เข้ารหัส และไฟล์ต้นฉบับ Avast แนะนำให้ผู้ใช้ทดสอบกับไฟล์ตัวอย่างที่มีขนาดใหญ่ที่สุดที่เป็นไปได้ เนื่องจากจะเป็นตัวกำหนดขนาดไฟล์สูงสุดที่สามารถถอดรหัสได้โดยใช้เครื่องมือดังกล่าว


    รวมถึงควรสำรองไฟล์ที่เข้ารหัสไว้ก่อนที่จะพยายามถอดรหัสโดยใช้เครื่องมือ เนื่องจากมีความเป็นไปได้ที่อาจเกิดความผิดพลาด และทำให้ไฟล์เหล่านั้นเสียหายเกินกว่าที่จะกู้คืนได้

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

25/07/2566

Microsoft key ที่ถูกขโมยทำให้ผู้ไม่ประสงค์ดี สามารถเข้าถึง Microsoft cloud service ได้


    Microsoft เปิดเผยเมื่อวันที่ 12 กรกฎาคม 2023 ที่ผ่านมาว่า พบการโจมตีไปยังบัญชี Exchange Online และ Azure Active Directory (AD) ขององค์กรต่าง ๆ ประมาณ 24 องค์กร โดยกลุ่ม ผู้ไม่ประสงค์ดี ชาวจีนในชื่อ Storm-0558 ซึ่งได้ขโมย Microsoft consumer signing key ทำให้สามารถเข้าถึงบัญชี Exchange Online และ Outlook.com ของเป้าหมาย ผ่านการโจมตีช่องโหว่ Zero-day ที่ถูกแก้ไขไปแล้วในชื่อ GetAccessTokenForResourceAPI ที่ทำให้สามารถปลอมแปลง Token การเข้าถึงที่ลงชื่อแล้ว และปลอมแปลงบัญชีภายในองค์กรเป้าหมายได้โดยหน่วยงานที่ตกเป็นเป้าหมายของการโจมตีในครั้งนี้คือหน่วยงานรัฐบาลในสหรัฐอเมริกา และภูมิภาคยุโรปตะวันตก ซึ่งมีหน่วยงานของรัฐ และกระทรวงพาณิชย์ของสหรัฐอเมริการวมอยู่ด้วย
    ต่อมาในวันที่ 14 กรกฎาคม 2023 ที่ผ่านมา นักวิจัยด้านความปลอดภัยของ Wiz พบว่าการโจมตีดังกล่าวได้ส่งผลกระทบไปยังแอปพลิเคชัน Azure AD ทั้งหมดที่ทำงานด้วย OpenID v2.0 ของ Microsoft อีกด้วย เนื่องจากความสามารถของคีย์ที่ถูกขโมยในการใช้ Token เพื่อเข้าถึง OpenID v2.0 สำหรับบัญชีส่วนบุคคล (เช่น Xbox, Skype) และ multi-tenant AAD app รวมถึง Microsoft ระบุว่าการโจมตีดังกล่าวส่งผลต่อ Exchange Online และ Outlook ซึ่งมี app ที่ใช้ในการจัดการของ Microsoft เช่น Outlook, SharePoint, OneDrive และ Team รวมไปถึงแอปพลิเคชันของผู้ใช้งานที่เข้าสู่ระบบด้วย Microsoft ซึ่งใช้ Azure Active Directory auth (AAD) token ในการตรวจสอบยืนยันตัวตน โดยเหตุการณ์นี้ส่งผลกระทบเป็นอย่างมาก เนื่องจาก ผู้ไม่ประสงค์ดี ที่มี AAD signing key สามารถเข้าถึงแอปพลิเคชันได้เกือบทุกชนิด ในฐานะผู้ใช้งานคนใดก็ได้ในการเข้าสู่ระบบ


    เพื่อป้องกันผลกระทบที่จะเกิดขึ้น ทาง Microsoft ได้ทำการยกเลิก MSA signing key ทั้งหมด เพื่อป้องกันไม่ให้ ผู้ไม่ประสงค์ดี สามารถใช้ Key อื่น ๆ ที่ขโมยมาได้ รวมถึงป้องกันการสร้าง Token เพื่อใช้เข้าถึงระบบใหม่อีกครั้ง และได้ย้าย Token
    เข้าถึงระบบที่ถูกสร้างขึ้นใหม่ไปไว้ยังที่เก็บคีย์สำหรับระบบองค์กรของบริษัท จากการตรวจสอบเพิ่มของ Microsoft ยังไม่พบว่ามีการโจมตีเพื่อเข้าถึงบัญชีของลูกค้าด้วยวิธีปลอมแปลง Token เพื่อเข้าถึงระบบภายหลังจากนั้น รวมถึงพบการเปลี่ยนแปลงวิธีการโจมตีของ Storm-0558 ที่แสดงให้เห็นว่า ผู้ไม่ประสงค์ดี ไม่สามารถเข้าถึงคีย์ใด ๆ ได้อีกต่อไปโดยในขณะนี้ทาง Microsoft ยังไม่ได้ออกมารายงานว่า ผู้ไม่ประสงค์ดี สามารถโจมตีเพื่อเข้าถึงบัญชีของลูกค้าด้วยวิธีปลอมแปลง Token ได้อย่างไร รวมถึงยังได้เปิดให้ใช้ฟีเจอร์ Expand access to cloud logging data เพื่อเฝ้าระวัง และติดตามการโจมตีในลักษณะดังกล่าวได้ฟรีอีกด้วย หลังจากที่ CISA ได้ทำการร้องขอไปยัง Microsoft เนื่องจากฟีเจอร์ดังกล่าว ผู้ใช้งานจำเป็นต้องจ่ายเงินเพื่อใช้งาน Purview Audit (Premium) logging license เท่านั้นถึงจะมีสิทธิใช้งาน

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , , ,
สมัครสมาชิก: บทความ (Atom)