General

Ako Ransomware เป็น Ransomware ที่มีรูปแบบการโจมตีโดยการแนบไฟล์ Malware ผ่านช่องทาง   E-mail โดยมีการแนบไฟล์ “agreement.zip” พร้อมส่งรหัสผ่าน “2020” เอาไว้ให้ในข้อความ เพื่อเพิ่มความน่าเชื่อถือ ถ้าผู้ที่ได้รับ E-mail ทำการ Extract ไฟล์ออกมาจะพบไฟล์ที่ชื่อว่า agreement.scr เมื่อเรียกใช้งานจะทำการติดตั้ง ransomware มันจะเข้ารหัสไฟล์ของเหยื่อและทิ้งไฟล์ที่แจ้งรายละเอียดการเรียกค่าไถ่ชื่อ “ako-readme.txt” เอาไว้ คำแนะนำ : ควรมีการฝึกอบรมให้ความรู้แก่พนักงานด้าน cyber security awareness ควรมีอุปกรณ์ป้องกัน อย่างเช่น E-mail Gateways และ Antivirus ที่มา : https://www.bleepingcomputer.com/news/security/ako-ransomware-uses-spam-to-infect-its-victims/

ช่องโหว่บน Zero – Day ของ Dropobox สำหรับ Windows นั้นจะส่งผลให้ผู้โจมตีได้รับสิทธิ์ที่มีการสงวนไว้ในระบบ ซึ่งเป็นบัญชีที่มีสิทธิพิเศษที่สุดในระบบปฏิบัติการ นักวิจัยด้านความปลอดภัยนาม Decoder และ Chris Danieli เป็นผู้ค้นพบช่องโหว่และสร้าง proof-of-concept exploit code  เพื่อพิสูจน์ความถูกต้องของผลการวิจัย พวกเขาบอกว่าพวกเขาแจ้ง Dropbox เกี่ยวกับปัญหาเมื่อวันที่ 18 กันยายนและอนุญาตให้ใช้ระยะเวลา 90 วันก่อนที่จะทำการเปิดเผยต่อสาธารณะ  ในตอนนี้จนกว่า Dropbox จะมีการออกเวอร์ชั่นปรับปรุงเพื่อแก้ไขปัญหาที่เกิดขึ้น โดยตอนนี้สามารถใช้ 0Patch ซึ่งเป็นแพลตฟอร์มที่ส่งมอบ micropatches สำหรับปัญหาที่ทราบก่อนที่จะมีการแก้ไขอย่างเป็นทางการถาวร โค้ดเล็ก ๆ เหล่านี้แก้ไขเฉพาะส่วนที่มีช่องโหว่และถูกนำไปใช้ในหน่วยความจำขณะที่ระบบกำลังทำงานดังนั้นจึงสามารถทำงานได้ปกติโดยไม่ต้องรีบูตเครื่อง นักวิจัยกล่าวว่าพวกเขาทดสอบช่องโหว่การเพิ่มระดับสิทธิพิเศษในเวอร์ชัน 87.4.138 ของซอฟต์แวร์ซึ่งเป็นรุ่นล่าสุดในขณะที่เริ่มทดสอบ นักวิจัยทั้งสองพบว่า’dropboxupdate’ service  เขียนไฟล์logไปยัง ‘C: \ ProgramData \ Dropbox \ Update…

TP-Link ได้แก้ไขช่องโหว่ระดับ critical  ซึ่งส่งผลกระทบต่อเราเตอร์ Archer บางเวอร์ชั่น ทำให้ผู้โจมตีสามารถ ควบคุมอุปกรณ์ผ่าน LAN ได้จากระยะไกลผ่านการ Telnet และเชื่อมต่อกับเซิร์ฟเวอร์ File Transfer Protocol (FTP) ผ่าน LAN หรือ WAN ในการ exploit ช่องโหว่นี้ ผู้โจมตีจำเป็นต้องส่ง HTTP request ที่มี  character string ยาวกว่าจำนวนไบต์ที่อนุญาต โดยมีผลลัพธ์เป็นรหัสผ่านของผู้ใช้งานเป็นโมฆะ และแทนที่ด้วยค่าว่าง วิธีที่ใช้ exploit สามารถใช้ได้แม้จะมีการตรวจสอบภายในก็ตาม เนื่องจาก การตรวจสอบจะเช็คเฉพาะส่วน referrer’s HTTP headers ซึ่งทำให้ผู้โจมตีสามารถหลอกลวง router’s httpd service เพื่อนให้ยอมรับ request ที่ถูกต้องโดยใช้ค่า tplinkwifi.net เนื่องจากสิทธิ์ที่ใช้งานบนเราเตอร์นี้ คือ…

Microsoft มีการอัพเดตแพตช์ความปลอดภัยของ Microsoft Office เดือน ธันวาคม 2019 รวมรายการปรับปรุงความปลอดภัยทั้งหมด 16 รายการ และอัพเดทสะสมอีก 5 รายการ สำหรับ 5 product ที่แตกต่างกัน  3 ช่องโหว่ที่ได้รับการแก้ไขในเดือนนี้เป็นช่องโหว่ที่ส่งผลให้ผู้โจมตีสามารถ remote code execution. โจมตีเป้าหมายได้จากระยะไกล ช่องโหว่ Microsoft Office ที่ได้รับการแก้ไขใน เดือน ธันวาคม 2562 เป็นการแก้ไขช่องโหว่ remote code execution  CVE ID คือ CVE-2019-1462  ส่งผลกระทบต่อ PowerPoint 2010, 2013 และ 2016 เมื่อซอฟแวร์ไม่สามารถจัดการกับ objects ภายในหน่วยความจำได้อย่างเหมาะสม หากผู้โจมตีสามารถ exploit ช่องโหว่นี้สำเร็จจะสามารถ รัน…

Microsoft มีการอัพเดตซอฟต์แวร์โดยในส่วนของ Patch Tuesday ประจำเดือนนี้ ได้มีการแก้ไขปรับปรุงสำหรับช่องโหว่ทั้งหมด 36 ช่องโหว่  โดยมี 7  ช่องโหว่ที่อยู่ในระดับ รุนแรง ( Critical  )   สำหรับแพตช์ของเดือน ธันวาคม 2019  มีหนึ่งในช่องโหว่สำคัญที่ได้รับการแก้ไขในเดือนนี้คือ  ช่องโหว่ zero-day  CVE – ID คือ CVE-2019-1458 | Win32k Elevation of Privilege Vulnerability” ช่องโหว่นี้ส่งผลให้ ผู้โจมตีสามารถ execute commands ได้ใน kernel mode ทำให้สามารถ ติดตั้งโปรแกรม , ดูข้อมูล , เปลี่ยนแปลง หรือ ลบ ข้อมูล ,…

Google ได้เผยแพร่ security updates สำหรับ ระบบปฏิบัติการ Android สำหรับแก้ไขช่องโหว่ระดับ Critical 15 รายการ และช่องโหว่ระดับ moderate อื่น ๆ อีก 22 รายการช่องโหว่ที่น่าสนใจมีดังนี้ : CVE-2019-2232 ช่วยให้ผู้โจมตีสามารถ โจมตีได้จากระยะไกล ส่งผลให้เกิด denial of service ซึ่งผู้โจมตีจะใช้ message ที่ออกแบบมาเป็นพิเศษ โดยไม่จำเป็นต้องให้ผู้ใช้ดำเนินการใด ๆ   จากการตรวจสอบ เวอร์ชั่นของ Android ที่ได้รับผลกระทบจากช่องโหว่นี้คือ เวอร์ชั่น 8.0/8.1/9.0/10.0.  CVE-2019-2222 ช่องโหว่ระดับ Critical ส่งผลกระทบต่อ  ihevcd_parse_slice_data ของฟังก์ชัน ihevcd_parse_slice.c ถูกเขียนนอกขอบเขตของ หน่วยความจำ ที่ได้จัดสรรไว้เนื่องจากขาดการตรวจสอบขอบเขต อาจส่งผลให้สามารถ  remote code execution…

นักวิจัยด้านความปลอดภัยของ Promon ได้พบช่องโหว่ใหม่นาม StrandHogg ซึ่งใช้งานโดยมัลแวร์ เช่น BankBot Banking Troja โดยที่ส่งผลกระทบต่อระบบปฏิบัติการ Android ทุกเวอร์ชั่นรวมถึง  Android 10ช่องโหว่นี้สามารถนำไปใช้งานได้โดยที่ไม่ต้องทำการ rooting อุปกรณ์  หลังจากใช้งานช่องโหว่ดังกล่าวจะทำให้ แอพที่เป็นอันตรายสามารถปลอมแปลงไม่ให้ตรวจจับได้เกือบทุกแอพการใช้งานช่องโหว่นี้ขึ้นอยู่กับการตั้งค่าการควบคุม ( Android control ) ที่เรียกว่า  ‘taskAffinity’ ซึ่งจะอนุญาติให้แอพใดๆ ก็ตาม สามารถรับข้อมูลส่วนบุคคล ใน multitasking system ได้อย่างอิสระ เนื่องจากผู้โจมตีสามารถเข้าถึงสิทธ์ Android ได้ จึงสามารถเข้าถึงฟังก์ชั่นต่างๆ ที่ต้องได้รับการอนุญาต และ เข้าถึงข้อมูลที่เก็บไว้ในอุปกรณ์ ดังนี้  :• Listen to the user through the microphone• Take photos through…

Steam คือ โปรแกรมสำหรับเล่นและหาซื้อเกมแบบถูกลิขสิทธิ์ มีผู้ใช้งานมากกว่า  30 ล้านคนทั่วโลก โดยครั้งนี้พบเว็บไซต์ giveavvay.comที่อ้างว่า เป็นเว็บแจก skins  ใหม่ ๆ ทุกวัน แต่ความจริงแล้วเป็นเพียงเว็บไซต์ที่ใช้ขโมย login credentials เท่านั้น  โดยการหลอกลวงเริ่มต้นจาก ความคิดเห็นบนโปรไฟล์ Steam โดยระบุว่า “Dear winner! Your SteamID is selected as a winner of Weekly giveaway. Get your Karambit | Doppler on giveavvay.com”. หากผู้ใช้งานเข้าไปยังไซต์ดังกล่าวจะได้รับโปรโมชั่น  ‘$30,000 giveaway’ ซึ่งมีการแจกฟรีสกิน 26 วันสำหรับเกม Counter-Strike: Global Offensive (CSGO)หน้า…

DeathRansom Ransomware  จากการตรวจสอบของนักวิจัยและผู้ได้รับผลกระทบ ทำให้พบว่าแม้ DeathRansom  จะทำการเข้ารหัสไฟล์เอาไว้โดยหลังจากการเข้ารหัสจะปรากฏ นามสกุลไฟล์เป็น .wctc ขั้นตอนการทำงานก็คล้ายกับ ransomeware ตัวอื่น ๆ  คือเข้ารหัสไฟล์บนเครื่องของผู้ใช้งานที่ตกเป็นเหยื่อและ pathnames ตาม strings นี้ :programdata$recycle.binprogram fileswindowsall usersappdataread_me.txtautoexec.batdesktop.iniautorun.infntuser.daticoncache.dbbootsect.bakboot.inintuser.dat.logthumbs.db ไฟล์จะถูกเข้ารหัสโดยการทำเครื่องหมาย ABEFCDAB file  ต่อท้ายไฟล์ในทุก ๆ โฟล์เดอร์ที่ถูกเข้ารหัส  จากนั้น ransomware จะสร้าง ransome note ชื่อว่า read_me.txt ซึ่งมี “LOCK-ID” ที่ไม่ซ้ำกันและมีที่อยู่อีเมลเพื่อติดต่อนักพัฒนา ransomware หรือ บริษัท ในเครือ จากการตรวจสอบพบว่า ผู้ที่ตกเป็นเหยื่อ DeathRansom มีบางส่วนเคยโดน STOP Ransomware มาก่อนจึงเกิดข้อสันนิษฐานขึ้นว่ามาDeathRansom ransom note และ STOP…