ทำความเข้าใจกับ IPTABLES

iptables เป็นระบบ packet filtering ใน Linux ทุกๆตัว เป็นตัวที่ใช้ในการจัดการ traffic ใดๆที่เกิดขึ้น โดยใช้สำหรับกรองข้อมูลเข้าและออกจากเครื่อง รวมถึงการกำหนด routing ของ network โดยใช้ forwarding packet องค์ประกอบของ rule ที่สร้างจะมี tables, chains และ targets ซึ่งโดยปกติการใช้งานจะเป็น filter table แต่เราสามารถกำหนด chain มาร่วมการตัดสินใจของ packet ไปยัง…
View Post

หมองูตายเพราะงู!!! แฮ็คเกอร์โดนแฮ็คเพราะ RAT ที่ใช้มีช่องโหว่

RAT (Remote Administration Tools) ซึ่งเป็นเครื่องมือยอดนิยมที่ Hacker มักจะใช้ในการควบคุมเครื่องเหยื่อที่อยู่ปลายทาง โดยการควบคุมดังกล่าวทำได้หลายทางไม่ว่าจะเป็นการสั่งให้เครื่องเหยื่อไปโจมตีเครื่องอื่น, การ capture หน้าจอเหยื่อ, การทำ keylogger และอื่นๆอีกมากมาย RAT ที่นิยมนั้นมีมากมายไม่ว่าจะเป็น  Gh0stRAT, DarkComet, PoisonIvy, Korplug/Plug-X, XTreamRAT และอื่นๆ แต่ล่าสุดมันอาจจะกลายเป็นเครื่องมือที่ทำให้แฮ็คเกอร์คนนั้นโดนจับหรือว่าโดนแฮ็คซะเองได้ด้วย ทาง Security Researcher ของ Symantec ชื่อว่า Waylon…
View Post

พบช่องโหว่ Buffer Overflow ใน CISCO IOS, IOS XE

CISCO ประกาศข่าวน่าตกใจว่าพบช่องโหว่ Buffer Overflow ในส่วน Simple Network Management Protocol (SNMP) Service ในทุกๆ version ที่ให้บริการใน CISCO IOS, IOS XE CISCO กล่าวว่า SNMP ทุกๆ version (v1,v2c,v3) ที่ให้บริการใน CISCO IOS, IOS XE นั้นมีช่องโหว่…
View Post

พบช่องโหว่ Remote Code Execution ใน Systemd

ทาง Ubuntu ประกาศว่ามีการพบช่องโหว่ Remote Code Execcution ใน Systemd ซึ่งทำให้ client นั้นอาจถูกแฮ็คได้ทันที เมื่อได้รับ DNS Response ที่ถูกสร้างขึ้นมาโดยเฉพาะ Ubuntu ประกาศเมื่อวันที่ 27/06/2017 ที่ผ่านมาว่าพบช่องโหว่ Denial of Service และ Remote Code Execution จากการรับ DNS Response ที่ถูกสร้างขึ้นมาเฉพาะใน…
View Post

เครื่องมือป้องกันการเขียน MBR โดย CISCO

เนื่องด้วยช่วงนี้กระแสของ Petya มาแรง ซึ่ง Petya มันมีการไปเขียน Master Boot Record เพื่อจะเรียกค่าไถ่ แล้วพอดีผมไปเจอเครื่องป้องกันการเขียน MBR มาเลยเอามาบอกต่อครับ นั่นคือเครื่องมือของ CISCO Talos นั่นเอง CISCO Talos ได้ทำการพัฒนา application สำหรับการป้องกันการเขียนที่ Master Boot Record มาตั้งแต่ช่วง Petya รุ่นแรกๆระบาด นั่นคือการป้องกันการเขียน MBR…
View Post

ยืนยันโดย Microsoft – Petya Ransomware มาจาก MEDoc Application จริง

เป็นเรื่องต่อเนื่องของ Petya เมื่อล่าสุดทาง Microsoft ออกผลวิเคราะห์การแพร่กระจาย Petya เพิ่มเติม รวมถึงการยืนยันการแพร่กระจายจาก application บัญชีที่ชื่อว่า MeDoc ของบริษัทในประเทศ Ukrain อีกด้วย Microsoft กล่าวว่าเมื่อมีการแพร่กระจายเกิดขึ้นทางทีมงานของ Microsoft เองก็ได้ออก signature แล้ว update ผ่าน Antimalware ทันที นั่นหมายความว่า “Windows Defender Antivirus” และ “Microsoft…
View Post

Attack & Defense กับ PSEXEC

อันนี้เป็นอีกโพสต์หนึ่งที่ผมพยายามจะนำกลับมาอ่าน เพราะ Petya เช่นกัน โดยโพสต์นี้เราจะพูดถึง psexec ซึ่งเป็นช่องทางในการแพร่กระจายอีกช่องทางหนึ่งของ Petya Ransomware Psexec เป็นเครื่องมือที่มากับ Sysinternal Suite ซึ่งเป็นชุดเครื่องมือสำหรับ admin ที่  Microsoft ทำขึ้น โดยสามารถนำมาใช้สั่งการคำสั่งต่างๆผ่านระบบ network ได้ ทำให้ psexec สามารถใช้ได้ทั้งสำหรับงาน admin เองและงานของ hacker ด้วยเช่นกัน และปกติการใช้งาน psexec…
View Post

ย้อนความหลังกับ WMI

โพสต์นี้จริงๆแล้วสร้างขึ้นมาจากการแพร่กระจายของ Petya ทำให้อยากกลับไปทบทวนการใช้งาน WMI (ซึ่งไม่ได้ใช้บ่อยนัก) ผมเลยไปไล่อ่านในบทความต่างๆว่า WMI นั้นมันคืออะไรแล้วสามารถทำอะไรได้บ้างครับ WMI (WINDOWS MANAGEMENT INSTRUMENTATION) คือ framework ที่ใช้ในการจัดการ windows การสั่งงานจะเป็นการสั่งแบบใช้งาน query เราสามารถสั่งงานเครื่องให้กระทำการใดๆได้โดยใช้ WMI ซึ่งตัว WMI เองมีมาตั้งแต่ Windows 95 นู่นครับ โดยการสั่งการดังกล่าวจะกระทำผ่าน resource ซึ่งเราสามารถหาได้ว่า resource…
View Post

Petya – Malware ที่เปรียบเสมือน upgrade version ของ wannacry

เมื่อช่วงคืนวันที่ 27/06/2017 ที่ผ่านมา พบการแพร่กระจายไปในวงกว้างของ Ransomware ตัวเก่าในร่างใหม่ (version ใหม่) นั่นคือ Petya Ransomware โดยมีวิธีการกระจายเบื้องต้นของ WannaCry Petya หรือรู้จักกันในชื่อ NotPetya, PetWrap, Goldeneye, และ Pnyetya Ransomware เริ่มเจอจริงๆครั้งแรกเมื่อช่วงเดือนมีนาคม 2016 โดยแตกต่างกับ ransomware ทั่วไปนั่นคือการเข้ารหัส Master Boot Record (MBR) ซึ่งเป็นจุดเก็บ Master…
View Post

Hack เพื่อเรียน ไม่ใช่เรียนเพื่อ Hack – List Application สำหรับการเรียนรู้ security

แหล่งเรียนรู้ Security เป็นเรื่องที่หาได้ยากในประเทศไทย ทั้งแหล่งเนื้อหาการเรียนรู้(แต่เว็บไซด์นี้มีสอนนะ อิอิ แอบขายของ)และการหา lab เพื่อทดสอบด้วยเช่นกัน ทีนี้ก็เลย list เอา web application ที่ถูกสร้างให้มีช่องโหว่เพื่อให้ทดสอบและเรียนรู้เกี่ยวกับช่องโหว่ทางด้าน Web Application ครับ 1. OWASP WebGoat WebGoat เป็น web application ที่ให้มีช่องโหว่โดยองค์กร OWASP เพื่อสอน เพราะในนั้นจะมีทั้งคำอธิบายและคำแนะนำในการแก้ไขช่องโหว่ดังกล่าว 2. DVWA…
View Post