6 EventID ที่ใช้สำหรับการ track incident

พอดีไปอ่านเจอเรื่อง incident analysis จากงาน Splunk Conf2015 เลยมาทำสรุปในนี้ เผื่อลืมจะได้หยิบมาใช้ได้อีกง่ายๆไม่ต้องหาอะไรมากมาย รวมถึงเพื่อให้ผู้อ่านได้รับทราบเผื่อเอาไปค้นหาเหตุการณ์ที่ผิดปกติในองค์กรด้วยครับ (แต่เหนือสิ่งอื่นใดบทความนี้จะใช้ได้หรือไม่ได้ขึ้นอยู่กับ visibility หรือก็คือการ logging ที่ครบถ้วนด้วยครับ ไม่งั้นก็จบครับ สืบหา root cause ได้ยากเลยครับ) EventCode 4624/528/540 สำหรับการ logon EventCode 4688/592 เพื่อดูเรื่องการใช้ command ต่างๆ (สร้าง…
View Post

สรุป Kerberos Authentication Protocol

พอดีได้อ่าน post เกี่ยวกับสรุปการทำงานของ Kerberos Authentication Protocol แล้วเห็นว่ามันเข้าใจง่ายดีเลยเอามาโพสต์ดูครับ Active Directory (AD) ก่อนที่จะทำไปถึง Kerberos เรามาทำความเข้าใจเรื่อง Active Directory กันซักหน่อย Active Directory คือ Enterprise Server ที่คอย control คนทั้งองค์กร หรือก็คือ “Domain Controller” (DC) โดยมีการจัดการโครงสร้างของผู้ใช้งานและหน่วยงานต่างๆเป็นแบบ hierarchcical…
View Post

ทำไมต้องมี Web Application Firewall (WAF)

คงพูดไม่ผิดนักหากจะบอกว่าในรอบ 10 ปีที่ผ่านว็ว็บไซด์คือสิ่งหนึ่งที่ทำให้มนุษย์เรานั้นใช้ชีวิตได้อย่างสะดวกสบายมากขึ้นที่สุดสิ่งหนึ่ง เพราะไม่ว่าเราจะต้องการทำอะไรเว็บไซต์ก็สามารถที่จะตอบโจทย์เราไปได้เสียทุกอย่างเช่น หากเราต้องการไปยังสถานที่หนึ่งแต่ไม่เคยไปมาก่อนและไม่มีคนรู้จักเคยไปมาก่อน เราก็สามารถไปสถานที่นั้นได้ด้วยตนเองโดยใช้เว็บไซต์ท่องเที่ยวหรือเว็บไซต์อย่าง Google Map เพื่อค้นหาเส้นทางไปยังเป้าหมายดังกล่าว หรือหากเราต้องการนัดเพื่อนฝูงไปกินข้าวด้วยกันก็ไม่จำเป็นต้องโทรศัพท์หากันอีกต่อไป เราสามารถนัดเพื่อนๆผ่าน Social Network ต่างๆได้เลย เป็นต้น ซึ่งบ่งบอกถึงการที่เว็บไซต์เข้ามามีบทบาทในชีวิตประจำวันของคนเรามากขึ้นนั่นเอง เมื่อชีวิตขึ้นไปอยู่ใน www เว็บไซต์มีการวิวัฒนาการณ์อย่างต่อเนื่องในรอบ 10 ปีที่ผ่านมา จากแต่ก่อนในเว็บ1.0 (Web1.0) ที่จะมีแค่ไว้ใช้เพื่อนำข้อมูลที่ต้องการมาใส่ไว้ในเว็บเพจให้คนอื่นดูและไม่มีการตอบโต้กับผู้ใช้งานแต่อย่างใด ก้าวข้าวสู่โลกการใช้งานที่หลากหลายมากขึ้นในรูปแบบของเว็บ2.0 (Web2.0) เช่น การจ่ายเงินค่าน้ำค่าไฟผ่านเว็บไซต์ การประชุมงานออนไลน์ผ่านเว็บ รวมไปถึงการสั่งซื้อสิ่งของเครื่องใช้ต่างๆผ่านเว็บก็ทำได้เช่นกัน…
View Post

ทำความเข้าใจกับ IPTABLES

iptables เป็นระบบ packet filtering ใน Linux ทุกๆตัว เป็นตัวที่ใช้ในการจัดการ traffic ใดๆที่เกิดขึ้น โดยใช้สำหรับกรองข้อมูลเข้าและออกจากเครื่อง รวมถึงการกำหนด routing ของ network โดยใช้ forwarding packet องค์ประกอบของ rule ที่สร้างจะมี tables, chains และ targets ซึ่งโดยปกติการใช้งานจะเป็น filter table แต่เราสามารถกำหนด chain มาร่วมการตัดสินใจของ packet ไปยัง…
View Post

5 เหตุผลที่ทำให้เครื่องโดนแฮ็ค

โพสต์นี้จะเน้นเนื้อหาง่ายๆให้กับคนทั่วไปได้ทราบถึงภัยคุกคามที่เครื่องอาจถูกยึดได้โดยไม่รู้ตัวนะครับ เรามาดูกันว่าเป็นอะไรได้บ้างครับ 1. การไม่ update OS, Application ที่ยกเหตุผลนี้ขึ้นมาอันแรกเพราะเนื่องด้วยการแพร่กระจายของ WannaCry เมื่อ 2 สัปดาห์ก่อนที่ผ่าน(เริ่มวันแรกคือวันศุกร์ที่ 12/05/2017) นั่นเอง ทุกๆท่านทราบดีว่า WannaCry แพร่กระจายผ่านการโจมตีช่องโหว่ MS17-010 ซึ่งหากเราได้อัพเดต OS และ software ต่างๆอย่างสม่ำเสมอล่ะก็ WannaCry ก็ WannaCry เหอะ ต่อให้มันดังแค่ไหนก็ทำอะไรเราไม่ได้ครับ 2. การใช้ OS หรือ…
View Post

Incident Response ส่วน Log Analysis เบื้องต้น

การกระทำเชิง Incident Response ในส่วน Investigation นั้นเป็นการหา event ใดๆที่มันผิดปกติขึ้นในระบบของเรา เราสามารถใช้ command และเครื่องมือต่างๆมากมายที่จะสืบค้นหาข้อมูลในเครื่องที่ “คาดว่า” จะเกิด incident ซึ่งนั่นคือสิ่งที่เราจะพูดกันในโพสต์นี้ Event คือสิ่งที่เกิดขึ้นกับระบบใดๆ ไม่ว่าจะเป็นทางใดๆก็แล้วแต่ ปกติหรือไม่ปกติ ก็ถือเป็น event ทั้งนั้น ส่วน Incident เป็นเหตุการณ์ที่ทำให้ระบบนั้นเสียหาย ไม่เพียงแค่เป็นการกระทำที่ถูก hack เท่านั้น อะไรก็แล้วแต่ที่ทำให้เกิดผลกระทบกับธุรกิจก็ถือว่าเป็น Incident ทั้งสิ้น…
View Post

สรุปรวม Link การจัดการกับ WannaCry

โพสต์นี้จะเป็นการรวบรวมข้อมูล Link ที่เอาไว้จัดการกับ WannaCry รวมถึงเอาข้อมูลการป้องกัน Ransomware มารวมไว้ด้วย เพราะยังไงก็อย่าลืมว่า WannaCry มันคือหนึ่งใน Ransomware นะครับ เพียงแต่ WannaCry มันแพร่กระจายแตกต่างจากตัวอื่นเค้าเท่านั้นเอง อ่ะมาดูกัน 1. การตรวจสอบว่า patch แล้วหรือยัง และแหล่ง download patch – https://www.techsuii.com/…/how-to-check-and-download-patch…/ – https://www.facebook.com/comfix0899221681/posts/1375189462565138 2. การตรวจสอบว่าเครื่อง Server ใดมีช่องโหว่ MS17-010…
View Post

List application ใน Sysinternal Tool

หลายๆคนคงเคยใช้หนึ่งในชุดเครื่องมือ Sysinternal Tool เป็นแน่ โดย Sysinternal Tool เป็นชุดเครื่องมือที่ Microsoft สร้างขึ้นมาในจุดประสงค์ต่างๆมากมาย โดยตัวที่ได้รับความนิยมเช่น psexec, process Monitor เป็นต้น ทีนี้ผมไปเจอ post list เครื่องมือทั้งหมดว่าแต่ละตัวทำอะไรบ้างมา เลยเอามาโพสต์ไว้เผื่อใครสนใจครับ Source:: Hacker-arise.com
View Post

เปรียบเทียบ Endpoint Solution สำหรับการทำ Incident Response

ทาง Hexacorn.com ได้ทำการสร้างตารางเปรียบเทียบความสามารถของ Endpoint Solution แต่ละยี่ห้อสำหรับการทำ Incident Response ซึ่งตารางดังกล่าวมีการเปรียบเทียบความสามารถในการทำ Incident Response แบบชัดเจนมาก แนะนำให้ทางบริษัทต่างๆที่กำลังหา Endpoint Solution อยู่ ลองดูตารางนี้แล้วเอาไปช่างใจดูครับว่าจะเลือกเป็นตัวไหน หรือตัวไหนสนับสนุน feature ที่เราต้องการบ้าง เพื่อประหยัดเวลาและเพื่อให้หา product ที่เหมาะสมกับองค์กรจริงๆกันครับ Link: 
View Post

List Registry ที่จำเป็นต้องเคลียร์เมื่อติด malware

เราทราบกันดีว่า malware คือไฟล์อันตรายที่พยายามจะฝังตัวเข้าไปในเครื่องของเหยื่อ โดยการไปปรับ registry ในเครื่องเพื่อให้ตัวมันเองสามารถกลับมารันได้ใหม่ในกรณีต่างๆ เช่น การ reboot เครื่อง, การรันโปรแกรมใดๆ, การตั้งเวลาให้มันรันตามเวลาที่กำหนด เป็นต้น โดยการกระทำเหล่านั้นเป็นการกระทำที่ malware พยายามจะให้ตัวเองมีคุณสมบัติ persistence หรือก็คือการฝังรากเข้าไปเครื่องก็ว่าได้ ซึ่งเมื่อเราติด malware แบบนี้แล้ว ให้เราเข้าไปตรวจสอบ registry เหล่านี้โดยการใช้คำสั่ง regedit.exe แล้วหาพวก file ที่ชื่อ random มาอย่างเช่น…
View Post