16 posts
Defensive
พอดีไปอ่านเจอเรื่อง incident analysis จากงาน Splunk Conf2015 เลยมาทำสรุปในนี้ เผื่อลืมจะได้หยิบมาใช้ได้อีกง่ายๆไม่ต้องหาอะไรมากมาย รวมถึงเพื่อให้ผู้อ่านได้รับทราบเผื่อเอาไปค้นหาเหตุการณ์ที่ผิดปกติในองค์กรด้วยครับ (แต่เหนือสิ่งอื่นใดบทความนี้จะใช้ได้หรือไม่ได้ขึ้นอยู่กับ visibility หรือก็คือการ logging ที่ครบถ้วนด้วยครับ ไม่งั้นก็จบครับ สืบหา root cause ได้ยากเลยครับ) EventCode 4624/528/540 สำหรับการ logon
EventCode 4688/592 เพื่อดูเรื่องการใช้ command ต่างๆ (สร้าง…
1 |
index=windows LogName=Security EventCode=4624 NOT (host=“DC1" OR host=“DC2" OR host=“DC...”) NOT (Account_Name="*$" OR Account_Name="ANONYMOUS LOGON") NOT (Account_Name=“Service_Account") | eval Account_Domain=(mvindex(Account_Domain,1)) | eval Account_Name=if(Account_Name="-",(mvindex(Account_Name,1)), Account_Name) | eval Account_Name=if(Account_Name="*$",(mvindex(Account_Name,1)), Account_Name) | eval Time=strWime(_Ome,"%Y/%m/%d %T") | stats count values(Account_Domain) AS Domain, values(host) AS Host, dc(host) AS Host_Count, values(Logon_Type) AS Logon_Type, values(WorkstaOon_Name) AS WS_Name, values(Source_Network_Address) AS Source_IP, values(Process_Name) AS Process_Name by Account_Name | where Host_Count > 2 |
พอดีได้อ่าน post เกี่ยวกับสรุปการทำงานของ Kerberos Authentication Protocol แล้วเห็นว่ามันเข้าใจง่ายดีเลยเอามาโพสต์ดูครับ Active Directory (AD) ก่อนที่จะทำไปถึง Kerberos เรามาทำความเข้าใจเรื่อง Active Directory กันซักหน่อย Active Directory คือ Enterprise Server ที่คอย control คนทั้งองค์กร หรือก็คือ “Domain Controller” (DC) โดยมีการจัดการโครงสร้างของผู้ใช้งานและหน่วยงานต่างๆเป็นแบบ hierarchcical…
คงพูดไม่ผิดนักหากจะบอกว่าในรอบ 10 ปีที่ผ่านว็ว็บไซด์คือสิ่งหนึ่งที่ทำให้มนุษย์เรานั้นใช้ชีวิตได้อย่างสะดวกสบายมากขึ้นที่สุดสิ่งหนึ่ง เพราะไม่ว่าเราจะต้องการทำอะไรเว็บไซต์ก็สามารถที่จะตอบโจทย์เราไปได้เสียทุกอย่างเช่น หากเราต้องการไปยังสถานที่หนึ่งแต่ไม่เคยไปมาก่อนและไม่มีคนรู้จักเคยไปมาก่อน เราก็สามารถไปสถานที่นั้นได้ด้วยตนเองโดยใช้เว็บไซต์ท่องเที่ยวหรือเว็บไซต์อย่าง Google Map เพื่อค้นหาเส้นทางไปยังเป้าหมายดังกล่าว หรือหากเราต้องการนัดเพื่อนฝูงไปกินข้าวด้วยกันก็ไม่จำเป็นต้องโทรศัพท์หากันอีกต่อไป เราสามารถนัดเพื่อนๆผ่าน Social Network ต่างๆได้เลย เป็นต้น ซึ่งบ่งบอกถึงการที่เว็บไซต์เข้ามามีบทบาทในชีวิตประจำวันของคนเรามากขึ้นนั่นเอง เมื่อชีวิตขึ้นไปอยู่ใน www เว็บไซต์มีการวิวัฒนาการณ์อย่างต่อเนื่องในรอบ 10 ปีที่ผ่านมา จากแต่ก่อนในเว็บ1.0 (Web1.0) ที่จะมีแค่ไว้ใช้เพื่อนำข้อมูลที่ต้องการมาใส่ไว้ในเว็บเพจให้คนอื่นดูและไม่มีการตอบโต้กับผู้ใช้งานแต่อย่างใด ก้าวข้าวสู่โลกการใช้งานที่หลากหลายมากขึ้นในรูปแบบของเว็บ2.0 (Web2.0) เช่น การจ่ายเงินค่าน้ำค่าไฟผ่านเว็บไซต์ การประชุมงานออนไลน์ผ่านเว็บ รวมไปถึงการสั่งซื้อสิ่งของเครื่องใช้ต่างๆผ่านเว็บก็ทำได้เช่นกัน…
iptables เป็นระบบ packet filtering ใน Linux ทุกๆตัว เป็นตัวที่ใช้ในการจัดการ traffic ใดๆที่เกิดขึ้น โดยใช้สำหรับกรองข้อมูลเข้าและออกจากเครื่อง รวมถึงการกำหนด routing ของ network โดยใช้ forwarding packet องค์ประกอบของ rule ที่สร้างจะมี tables, chains และ targets ซึ่งโดยปกติการใช้งานจะเป็น filter table แต่เราสามารถกำหนด chain มาร่วมการตัดสินใจของ packet ไปยัง…
โพสต์นี้จะเน้นเนื้อหาง่ายๆให้กับคนทั่วไปได้ทราบถึงภัยคุกคามที่เครื่องอาจถูกยึดได้โดยไม่รู้ตัวนะครับ เรามาดูกันว่าเป็นอะไรได้บ้างครับ 1. การไม่ update OS, Application ที่ยกเหตุผลนี้ขึ้นมาอันแรกเพราะเนื่องด้วยการแพร่กระจายของ WannaCry เมื่อ 2 สัปดาห์ก่อนที่ผ่าน(เริ่มวันแรกคือวันศุกร์ที่ 12/05/2017) นั่นเอง ทุกๆท่านทราบดีว่า WannaCry แพร่กระจายผ่านการโจมตีช่องโหว่ MS17-010 ซึ่งหากเราได้อัพเดต OS และ software ต่างๆอย่างสม่ำเสมอล่ะก็ WannaCry ก็ WannaCry เหอะ ต่อให้มันดังแค่ไหนก็ทำอะไรเราไม่ได้ครับ 2. การใช้ OS หรือ…
การกระทำเชิง Incident Response ในส่วน Investigation นั้นเป็นการหา event ใดๆที่มันผิดปกติขึ้นในระบบของเรา เราสามารถใช้ command และเครื่องมือต่างๆมากมายที่จะสืบค้นหาข้อมูลในเครื่องที่ “คาดว่า” จะเกิด incident ซึ่งนั่นคือสิ่งที่เราจะพูดกันในโพสต์นี้ Event คือสิ่งที่เกิดขึ้นกับระบบใดๆ ไม่ว่าจะเป็นทางใดๆก็แล้วแต่ ปกติหรือไม่ปกติ ก็ถือเป็น event ทั้งนั้น ส่วน Incident เป็นเหตุการณ์ที่ทำให้ระบบนั้นเสียหาย ไม่เพียงแค่เป็นการกระทำที่ถูก hack เท่านั้น อะไรก็แล้วแต่ที่ทำให้เกิดผลกระทบกับธุรกิจก็ถือว่าเป็น Incident ทั้งสิ้น…
โพสต์นี้จะเป็นการรวบรวมข้อมูล Link ที่เอาไว้จัดการกับ WannaCry รวมถึงเอาข้อมูลการป้องกัน Ransomware มารวมไว้ด้วย เพราะยังไงก็อย่าลืมว่า WannaCry มันคือหนึ่งใน Ransomware นะครับ เพียงแต่ WannaCry มันแพร่กระจายแตกต่างจากตัวอื่นเค้าเท่านั้นเอง อ่ะมาดูกัน 1. การตรวจสอบว่า patch แล้วหรือยัง และแหล่ง download patch – https://www.techsuii.com/…/how-to-check-and-download-patch…/ – https://www.facebook.com/comfix0899221681/posts/1375189462565138 2. การตรวจสอบว่าเครื่อง Server ใดมีช่องโหว่ MS17-010…
หลายๆคนคงเคยใช้หนึ่งในชุดเครื่องมือ Sysinternal Tool เป็นแน่ โดย Sysinternal Tool เป็นชุดเครื่องมือที่ Microsoft สร้างขึ้นมาในจุดประสงค์ต่างๆมากมาย โดยตัวที่ได้รับความนิยมเช่น psexec, process Monitor เป็นต้น ทีนี้ผมไปเจอ post list เครื่องมือทั้งหมดว่าแต่ละตัวทำอะไรบ้างมา เลยเอามาโพสต์ไว้เผื่อใครสนใจครับ
Source:: Hacker-arise.com
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 |
AccessChk - Lets you see what type of access users and groups have to files, directories, registry keys, etc. AccessEnum - Full view of your file system and registry security settings. AdExplorer - Active Directory viewer and editor. AdInsight - LDAP real-time monitoring tool used to troubleshoot Active Directory applications. AdRestore - Ability to restore deleted Active Directory objects. Autologon - Easily configure autologon mechanism. Autoruns - Displays programs that are configured to run at startup. BgInfo - Displays relevant information about the computer on the desktop, such as computer name, IP address, etc. CacheSet - An applet to manipulate the working-set parameters of the system file cache. ClockRes - Shows the resolution of the system clock. Contig - Defragments a specified file or files. Coreinfo - Shows you the mapping between logical processors and the physical processor. Ctrl2Cap - Kernel-mode device driver that filters the system's keyboard class driver. DebugView - Monitors debug output on your local system. Desktops - Allows you to organize up to four virtual desktops. Disk2vhd - Creates VHD (virtual hard disk) versions of physical disks. DiskExt - Returns information about what disks the partition of a volume is located on. DiskMon - Logs and displays all hard disk activity. DiskView - A graphical map of your hard drive. DiskUsage (DU) - Reports the disk space usage for a specified directory. EFSDump - Allows you to see who has access to encrypted files. FindLinks - Reports the file index and hard links that exist for a specified file. Handle - Displays information about open handles for any process. Hex2dec - Converts hex to decimal and vice versa. Junction - Creates junctions (symbolic links that combine directories from multiple locations). LDMDump - Let's you examine exactly what is stored in a disks copy of the system. ListDLLs - Reports the DLLs that are loaded into processes. LiveKd - Allows you to run the Kd and Windbg kernel debuggers. LoadOrder - Shows the order in which the system loads device drivers. LogonSessions - Lists currently active logon sessions. MoveFile - Dumps the content of the pending rename/delete value. NTFSInfo - Shows you information about NTFS volumes. PageDefrag - Shows you have fragmented your paging files and registry hives are. PendMoves - Dumps the content of the pending rename/delete value. PipeList - Lists the pipes. PortMon - Monitors and displays all serial and parallel port activity. ProcDump - Monitors CPU spikes. Process Explorer - Shows information about which handles and DLL processes are loaded. Process Monitor - Shows real-time file system, registry, and process/thread activity. PsExec - Allows you to execute processes on remote systems. PsGetSid - Allows you to translate SIDs to their display name and vice versa. PsInfo - Gathers key information about the local or remote system including kernel build and the amount of memory. PsPing - Implements ping functionality. PsKill - Can kill processes on local and remote systems. PsList - Displays information about processes, memory, and threads. PsLoggedOn - This shows who is using what resources on a local or remote machine. PsLogList - Allows you to login to remote systems in situations where security credentials do not permit it. PsPasswd - Allows you to change an account password on local or remote systems. PsService - A service viewer and controller for Windows. PsShutdown - Allows you to logoff the console user or lock the console among other things. PsSuspend - Allows you to suspend processes on the local or a remote system. RAMMap - A physical memory usage analysis tool to see how Windows is assigning physical memory. RegDelNull - Allows you to search for and delete registry keys. Registry Usage (RU) - Reports the registry space usage. RegJump - Opens Regedit directly to a specified registry path. RootkitRevealer - Detects rootkits. SDelete - Allows you to delete one or more files/directories or to cleanse the free space on a drive. ShareEnum - Allows you to lock down file shares. ShellRunas - Allows you to launch programs under different accounts. SigCheck - Shows file version number, timestamp, and digital signature details. Streams - Allows you to see which NTFS files have alternate streams associated with them. Strings - Searches files for a specified string. Sync - Allows you to flush all file system data to disk. TCPView - Shows detailed listings of all TCP and UDP endpoints on your system. VMMap - A process virtual and physical memory analysis tool. VolumeID - Allows you to change the IDs of FAT and NTFS disks. WhoIs - Performs a registration record for the specified domain name or IP address. WinObj - Displays information of the NT Object Manager's name space. ZoomIt - A screen zoom and annotation tool for technical presentations. As you can see from this list, there are some very powerful tools in this suite. Let's examine one of the most useful tools in this toolkit, Process Explorer. |
ทาง Hexacorn.com ได้ทำการสร้างตารางเปรียบเทียบความสามารถของ Endpoint Solution แต่ละยี่ห้อสำหรับการทำ Incident Response ซึ่งตารางดังกล่าวมีการเปรียบเทียบความสามารถในการทำ Incident Response แบบชัดเจนมาก แนะนำให้ทางบริษัทต่างๆที่กำลังหา Endpoint Solution อยู่ ลองดูตารางนี้แล้วเอาไปช่างใจดูครับว่าจะเลือกเป็นตัวไหน หรือตัวไหนสนับสนุน feature ที่เราต้องการบ้าง เพื่อประหยัดเวลาและเพื่อให้หา product ที่เหมาะสมกับองค์กรจริงๆกันครับ Link:
เราทราบกันดีว่า malware คือไฟล์อันตรายที่พยายามจะฝังตัวเข้าไปในเครื่องของเหยื่อ โดยการไปปรับ registry ในเครื่องเพื่อให้ตัวมันเองสามารถกลับมารันได้ใหม่ในกรณีต่างๆ เช่น การ reboot เครื่อง, การรันโปรแกรมใดๆ, การตั้งเวลาให้มันรันตามเวลาที่กำหนด เป็นต้น โดยการกระทำเหล่านั้นเป็นการกระทำที่ malware พยายามจะให้ตัวเองมีคุณสมบัติ persistence หรือก็คือการฝังรากเข้าไปเครื่องก็ว่าได้ ซึ่งเมื่อเราติด malware แบบนี้แล้ว ให้เราเข้าไปตรวจสอบ registry เหล่านี้โดยการใช้คำสั่ง regedit.exe แล้วหาพวก file ที่ชื่อ random มาอย่างเช่น…
Recent Comments