Posts by tag
Incident Response
เผื่อใครยังไม่ทราบ ณ ตอนนี้มี framework หนึ่งที่กำลังมาแรงสำหรับฝั่ง Blueteam นั่นคือ MITRE’s ATT&CK framework โดยภายใน framework นั้นจะมีการแบ่งหมวดหมู่การโจมตีแต่ละแบบไว้ พร้อมกับยกตัวอย่างการโจมตีที่เกิดขึ้นจริงและมีการถูกนำมาใช้งานจริงเข้าไปในหมวดต่างๆ (เช่น psexec, wmic, powershell, wevtutil เป็นต้น (ว่างๆเดี๋ยวจะเอามาเขียนรายละเอียดอีกที) ทีนี้บริษัท Endgame เห็นด้วยกับ framework ดังกล่าว ก็เลยออก script สำหรับการ “จำลอง” การโจมตีหลายๆประเภทตามรูปแบบของ ATT&CK เพื่อให้ฝั่ง…
หลายๆครั้งที่เครื่อง Windows Server นั้นถูกแฮ็คแต่ผู้ดูแลนั้นรู้ตัวช้าเกินไป จนทำให้เกิดปัญหาบานปลายมากมาย ดังนั้นหากเรายิ่ง detect การถูกเจาะหรือการถูกแฮ็คได้เร็วเท่าไหร่ก็จะยิ่งเป็นผลดีต่อการทำ incident response ครับ มาดูกันว่าตัวอย่างวันนี้จะมีอะไรบ้างครับ Event Event ID Detail New Process Start 4688 เมื่อมีการ execute หรือ run process ใหม่ User Logon Success 4624…
บริษัท Verelox เป็นบริษัทให้บริการเกี่ยวกับ KVM และ VPS Server ใน Hague, Netherland ต้องเจ็บอย่างแสนสาหัสหลังจากอดีตพนักงาน administrator เข้าไปลบข้อมูลของลูกค้าทั้งหมดและลบ server เกือบทั้งหมดของบริษัทอีกด้วย สิ่งที่เกิดขึ้นคือเมื่อวันที่ 8/06/2017 ที่ผ่านมาลูกค้าไม่สามารถเข้าใช้งาน server และเว็บไซด์ของบริษัทได้ ซึ่งทางบริษัทได้ประกาศไว้ทางหน้าเว็บว่า “เนื่องด้วย อดีต administrator ของเราได้ทำการลบข้อมูลของลูกค้าทั้งหมด และไล่ลบ server ต่างๆ นั่นทำให้เราจำเป็นต้องนำการให้บริการเราลงก่อน เรากำลังพยายามอย่างหนักที่จะกู้คืนข้อมูลกลับมาแต่ไม่มีทางที่เราจะกู้ข้อมูลทั้งหมดกลับมาได้เลย network…
Yeti เป็น Platform ที่เป็น Open Source ซึ่งเกิดมาเพื่อสำหรับการจัดเก็บและจัดการ IoC(Indicator of Compromise) ในเชิงของภายในองค์กรเอง และการแชร์ระหว่างทีมงานด้วยกันเอง รวมถึงการกระจายความรู้หรือ note ที่เราต้องการของแต่ละข้อมูลอีกด้วย ซึ่ง Yeti เป็น platform ที่ค่อนข้างใช้งานง่ายและหน้าตาสวยงาม แต่สำคัญคือการกรอกข้อมูลของเราซะมากกว่า โดย Yeti รองรับการกรอกข้อมูลที่เป็นแบบ STIX, TAXII อีกด้วย วิธีการติดตั้ง Yeti สามารถทำได้ง่ายมาก…
ทาง Hexacorn.com ได้ทำการสร้างตารางเปรียบเทียบความสามารถของ Endpoint Solution แต่ละยี่ห้อสำหรับการทำ Incident Response ซึ่งตารางดังกล่าวมีการเปรียบเทียบความสามารถในการทำ Incident Response แบบชัดเจนมาก แนะนำให้ทางบริษัทต่างๆที่กำลังหา Endpoint Solution อยู่ ลองดูตารางนี้แล้วเอาไปช่างใจดูครับว่าจะเลือกเป็นตัวไหน หรือตัวไหนสนับสนุน feature ที่เราต้องการบ้าง เพื่อประหยัดเวลาและเพื่อให้หา product ที่เหมาะสมกับองค์กรจริงๆกันครับ Link:
หลังจากที่ช่วงวันที่ 28 กุมภาพันธ์ 2017(เวลาประเทศไทยคือเช้าวันที่ 1 มีนาคม 2017) ที่ผ่านมา Amazon Simple Storage Service(S3) ล่มถึง 4 ชม. ทำให้เว็บไซด์ใหญ่ๆต่างๆพากันไม่สามารถให้บริการไปด้วย ล่าสุดหลังจากมีการตรวจสอบทาง Amazon สรุปออกมาแล้วครับว่าเกิดจากการ’ใส่คำสั่งผิด’ ขณะที่ทาง Amazon กำลังวิเคราะห์ว่า ทำไมเครื่องระบบคิดเงินของ S3 ทำไมถึงทำงานได้ช้ากว่าที่ควรจะเป็น จากนั้นในเวลา 09:37 AM EST มี S3 user ได้ใช้คำสั่งเพื่อที่จะเอา…
เราทราบกันดีว่าในแต่ละองค์กรจำเป็นต้องเตรียมแผนรับมือหากเกิดเหตุการณ์ถูกแฮ็คหรือเหตุการณ์ที่ไม่คาดฝันเกิดขึ้น ซึ่งแน่นอนว่าสิ่งเหล่านั้นกระทบกับการให้บริการธุรกิจต่างๆขององค์กรแน่นอน บริษัท Rapid7 ได้ออกหนังสือรายละเอียดการทำ Incident Response Process ทั้งหมดออกมา โดยตั้งแต่เริ่มเตรียมรับมือ จนกระทั่งไปถึงนำเหตุการณ์ที่เกิดขึ้นมาปรับใช้กับองค์กรให้ราบรื่นมากขึ้น (Lesson Learn) สามารถ Download ไปอ่านได้เลยฟรีๆครับ ปล. เท่าที่ผมอ่านดูจะคล้ายๆกับของ NIST Computer Security Incident Handling Guide ครับ Source:: https://information.rapid7.com/rs/495-KNT-277/images/intelligence-driven-incident-response-preview-edition-1-31-17.pdf
วันนี้ไปเจอเอกสารการทำ Incident Response แบบละเอียดมากครับ เขียนโดย Mary Ellen Kennel มีการแนะนำและอธิบายถึงขั้นตอนแต่ละขั้นตอนแบบสรุปในเชิงคนทำงาน (Technical) ไม่เยิ่นเย้อ แถมในแต่ละขั้นตอนมีการเขียนด้วยว่าใช้เครื่องมืออะไร แนะนำให้ใช้คำสั่งอะไร หรือ option อะไรในการหาข้อมูลอีกด้วย เหมาะสำหรับคนทำงาน Security เชิง Defensive มาก (Blue Team) แนะนำให้ download ลองไปอ่านดูครับ 🙂 Source:: https://drive.google.com/file/d/0B0CinYp-Pe4-cHNlU1J4TXVUeUU/view
LINE@Techsuii.com
Recent Comments