Posts by tag
forensic
หลายๆครั้งที่มีการส่งเมล์ไปมาหากันแล้วเราต้องการตรวจสอบว่า Mail หรือ Message นั้นถูกส่งมาจากที่ไหน จากใครและส่งต่อไปยังจุดไหนอะไรยังไงกันแน่ ซึ่งจริงๆเราจะอ่านเองก็ได้ แต่มันก็จะเสียเวลาไง ใช้เครื่องมืออาจจะเร็วกว่าและมีความชัดเจน ไม่อ่านผิด และไม่พลาดอะไรไป เครื่องมือที่ว่าคือ “Message Header Analyzer” (https://testconnectivity.microsoft.com/MHA/Pages/mha.aspx) ของทาง Microsoft นั่นเองครับ เป็นเว็บไซด์ที่เราสามารถเอา Mail Header ไป analyzer ได้เลยครับ จากตัวอย่าง
จะกลายเป็น
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
From: Media Temple user (mt.kb.user@gmail.com) Subject: article: How to Trace a Email Date: January 25, 2011 3:30:58 PM PDT To: user@example.com Return-Path: <mt.kb.user@gmail.com> Envelope-To: user@example.com Delivery-Date: Tue, 25 Jan 2011 15:31:01 -0700 Received: from po-out-1718.google.com ([72.14.252.155]:54907) by cl35.gs01.gridserver.com with esmtp (Exim 4.63) (envelope-from <mt.kb.user@gmail.com>) id 1KDoNH-0000f0-RL for user@example.com; Tue, 25 Jan 2011 15:31:01 -0700 Received: by po-out-1718.google.com with SMTP id y22so795146pof.4 for <user@example.com>; Tue, 25 Jan 2011 15:30:58 -0700 (PDT) Received: by 10.141.116.17 with SMTP id t17mr3929916rvm.251.1214951458741; Tue, 25 Jan 2011 15:30:58 -0700 (PDT) Received: by 10.140.188.3 with HTTP; Tue, 25 Jan 2011 15:30:58 -0700 (PDT) Dkim-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from:to :subject:mime-version:content-type; bh=+JqkmVt+sHDFIGX5jKp3oP18LQf10VQjAmZAKl1lspY=; b=F87jySDZnMayyitVxLdHcQNL073DytKRyrRh84GNsI24IRNakn0oOfrC2luliNvdea LGTk3adIrzt+N96GyMseWz8T9xE6O/sAI16db48q4Iqkd7uOiDvFsvS3CUQlNhybNw8m CH/o8eELTN0zbSbn5Trp0dkRYXhMX8FTAwrH0= Domainkey-Signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:to:subject:mime-version:content-type; b=wkbBj0M8NCUlboI6idKooejg0sL2ms7fDPe1tHUkR9Ht0qr5lAJX4q9PMVJeyjWalH 36n4qGLtC2euBJY070bVra8IBB9FeDEW9C35BC1vuPT5XyucCm0hulbE86+uiUTXCkaB 6ykquzQGCer7xPAcMJqVfXDkHo3H61HM9oCQM= Message-Id: <c8f49cec0807011530k11196ad4p7cb4b9420f2ae752@mail.gmail.com> Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_Part_3927_12044027.1214951458678" X-Spam-Status: score=3.7 tests=DNS_FROM_RFC_POST, HTML_00_10, HTML_MESSAGE, HTML_SHORT_LENGTH version=3.1.7 X-Spam-Level: *** |
ช่วงก่อนหน้านี้ การจะทำ forensic Office365 เพื่อดูว่า Hacker เมื่อแฮ็คเข้าไปได้แล้วไปทำอะไรบ้าง ไปอ่านอะไรบ้าง เข้าถึงอะไรบ้าง เป็นไปได้ยาก เพราะปกติจะไม่มี audit log อะไรให้เหล่าคนทำ forensic ได้สืบค้น แต่ดันมีข่าวลือออกมาว่า ‘Microsoft นั้นมีการเก็บ audit log เหล่านั้นไว้ แต่จะต้องเข้าถึงได้แค่ผ่าน “secret tool” อันหนึ่งเท่านั้น โดยเครื่องมือดังกล่าวจะถูกเก็บไว้ขายเฉพาะบริษัทในราคา premium เท่านั้น’ นั่นคือเสียงลือเสียงเล่าอ้างที่มีมาแต่อดีต…
พอดีไปอ่านเจอเรื่อง incident analysis จากงาน Splunk Conf2015 เลยมาทำสรุปในนี้ เผื่อลืมจะได้หยิบมาใช้ได้อีกง่ายๆไม่ต้องหาอะไรมากมาย รวมถึงเพื่อให้ผู้อ่านได้รับทราบเผื่อเอาไปค้นหาเหตุการณ์ที่ผิดปกติในองค์กรด้วยครับ (แต่เหนือสิ่งอื่นใดบทความนี้จะใช้ได้หรือไม่ได้ขึ้นอยู่กับ visibility หรือก็คือการ logging ที่ครบถ้วนด้วยครับ ไม่งั้นก็จบครับ สืบหา root cause ได้ยากเลยครับ) EventCode 4624/528/540 สำหรับการ logon
EventCode 4688/592 เพื่อดูเรื่องการใช้ command ต่างๆ (สร้าง…
|
1 |
index=windows LogName=Security EventCode=4624 NOT (host=“DC1" OR host=“DC2" OR host=“DC...”) NOT (Account_Name="*$" OR Account_Name="ANONYMOUS LOGON") NOT (Account_Name=“Service_Account") | eval Account_Domain=(mvindex(Account_Domain,1)) | eval Account_Name=if(Account_Name="-",(mvindex(Account_Name,1)), Account_Name) | eval Account_Name=if(Account_Name="*$",(mvindex(Account_Name,1)), Account_Name) | eval Time=strWime(_Ome,"%Y/%m/%d %T") | stats count values(Account_Domain) AS Domain, values(host) AS Host, dc(host) AS Host_Count, values(Logon_Type) AS Logon_Type, values(WorkstaOon_Name) AS WS_Name, values(Source_Network_Address) AS Source_IP, values(Process_Name) AS Process_Name by Account_Name | where Host_Count > 2 |
อันนี้เผื่อในกรณีการหาข้อมูลในการสร้างหรือแก้ไข Scheduled Task ของ Windows ครับ โดยปกติการสร้าง Scheduled Task จะใช้คำสั่งเป็น
Event ID Task Category 100 Task Started 101 Task Start Failed 102 Task completed 103 Action start failed 106…
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
Create ‘My Task’ to run C:RunMe.bat at 9 AM everyday: SchTasks /Create /SC DAILY /TN “My Task” /TR “C:RunMe.bat” /ST 09:00 Modify ‘My Task’ to run at 2 PM: SchTasks /Change /TN “My Task” /ST 14:00: Create ‘My Task’ to run C:RunMe.bat on the first of every month: SchTasks /Create /SC MONTHLY /D 1 /TN “My Task” /TR “C:RunMe.bat” /ST 14:00 Create ‘My Task’ to run C:RunMe.bat every weekday at 2 PM: SchTasks /Create /SC WEEKLY /D MON,TUE,WED,THU,FRI /TN “My Task” /TR “C:RunMe.bat” /ST 14:00 Delete the task named ‘My Task’: SchTasks /Delete /TN “My Task” โดยถ้าเป็น Task ที่กำหนดด้วย /RU "System" จะทำให้ scheduled task กลายเป็น Hidden Scheduled Task ทันที Schtasks /create /ru "System" /s localhost /tn "My Task" /tr "<path to my script>" /sc once /st %TaskTime% /F /V1 /Z |
Linux มีการจัดการระบบเป็นลักษณะของ file base ดังนั้นการจะทำการ dump memory ก็สามารถทำโดยการ copy ไฟล์ได้ด้วยเช่นกัน ซึ่งโดยปกติไฟล์ที่จะทำการ copy จะเป็นไฟล์ /dev/mem, /dev/fmem, /dev/crash และ swap ไฟล์ต่างๆ แต่เนื่องด้วยเมื่อมีการพัฒนาต่อมาเรื่อยๆ ก็ได้มีการป้องกันการ copy ไฟล์ memory เหล่านั้น ทำให้เราไม่สามารถ copy file เหล่านั้นได้ตรงๆ สิ่งที่เราสามารถทำได้คือการใช้เครื่องมืออย่าง…
LINE@Techsuii.com
Recent Comments