ทำความเข้าใจ LM, NTLM, NTLMv2 [Part2]

ต่อจากตอนที่ 1 ที่ว่าด้วยเรื่องการทำงานของ LM กับตัวอย่างของ Application สำหรับการ crack LM hash กันไปแล้ว มาวันนี้เป็น NTLM และ NTLMv2 กันบ้างครับ NTLM และ NTLMv2 NTHash สำหรับ LM นั้นเป็น Format ของการเก็บ password ใน Windows ก่อนรุ่น Windows…
View Post

ทำความเข้าใจ LM, NTLM, NTLMv2 [Part1]

วันนี้เราจะมาทำความเข้าใจเกี่ยวกับรูปแบบการเก็บ password ของ Windows โดยแต่ก่อนจนถึงปัจจุบันก็มีพัฒนาการมาเรื่อยๆครับ ซึ่งจะเริ่มจาก LM (Lan Manager) hash โดย LM นั้นเป็นรูปแบบดั้งเดิมในการเก็บ password ของ Windows ตั้งแต่ยุค 1980 ซึ่งในช่วงนั้นยังมีจำนวน charset ที่ยังจำกัดอยู่(16-bits characters) ซึ่งทำให้การ crack password นั้นทำได้ง่ายมากโดยดึงจาก SAM database บน Windows…
View Post

Microsoft ออก patch tuesday ประจำเดือนกรกฏาคม 2018

Microsoft ออก patch Tuesday ประจำเดือน กรกฎาคม 2018 ซึ่งมีการปล่อย update ที่ใหญ่มากมีทั้ง นอกเหนือจากนั้น Windows 10 ก็ออก update version ใหม่ออกมา Windows 10 Version 1803 Updates (April 2018 Update) Windows 10 Fall Creators…
View Post

พบวิธีการรันคำสั่งผ่านไฟล์นามสกุล SettingContent.ms และเริ่มถูกรันใน Malicious Doc แล้ว

เมื่อประมาณเดือนก่อนทาง Matt Nelson จาก SpecterOps ซึ่งเป็น security researcher ได้พบวิธีการใช้งานไฟล์สกุล .SettingContent.ms ซึ่งเป็นไฟล์ shortcut สำหรับ Control Panel ซึ่งสามาถใช้ได้ใน Windows 10 พบว่าสามารถนำมา execute command ได้โดยใช้ feature ที่ชื่อว่า DeepLink เมื่อ user  ทำการเปิดไฟล์ดังกล่าว ไฟล์ .SettingContent.ms นั้นเป็นไฟล์ xml ก็จะกลายเป็นการรันคำสั่งใดๆ จากการเปิดเผยของทาง…
View Post

User ที่ใช้ Intel และ Toshiba SSD จำนวนมากเครื่องแฮงค์หลังจาก update Windows 10

ยังคงเป็นการยืนยันว่าการ test patch Windows ก่อนที่จะถูกนำไปใช้จริงเป็นส่วนที่สำคัญเสมอ เพราะแม้ว่าจะเป็นปี 2018 แล้วก็ยังคงพบปัญหาที่เกิดจาก patch ของ Windows อยู่ดี Microsoft ได้ออก patch Tuesday ประจำเดือนเมษายน 2018 แล้วมี user จำนวนมากที่ใช้ Intel และ Toshiba SSD ที่ update patch ดังกล่าวแล้วทำให้เครื่องแฮงค์และ restart…
View Post

ขโมย NTLMv2 Hash ด้วย Bad PDF

ก่อนหน้านี้เคยพูดถึงข่าวที่ทาง Checkpoint พบช่องโหวที่ทำให้ Hacker สามารถขโมย NTLMv2 hash ได้หาก user เปิด malicious pdf ซึ่งก็มีคนทำตัวสร้าง pdf นั้นขึ้นมา ก็เลยเอามาเล่นดูครับ  
View Post

รายละเอียดและลักษณะการทำงานของ process ทั่วไปใน Windows

Windows จะมี process พื้นฐานอยู่หลายตัวด้วยกัน วันนี้เราจะมาดูว่า Process ที่ว่ามีอะไรบ้าง แล้วทำหน้าที่อะไรครับ 1. Session Manager Subsystem/SMSS.EXE SMSS เป็น component หนึ่งของ Windows NT เป็นต้นมา มีหน้าที่ในการสร้างค่า environment variable, DOS Device Mapping, สร้าง page ที่เป็น Virtual Memory, Run…
View Post

Microsoft ออกมาตรการโหด!!! ถ้า Antivirus ยังไม่ compat ก็จะยังไม่ patch ให้

สืบเนื่องด้วยกรณีของช่องโหว่ Meltdown และ Spectre, Microsoft ได้ออก patch ให้อย่างรวดเร็ว แต่ประเด็นคือ patch เหล่านั้นกลับมีปัญหากับ Antivirus ดังนั้น Microsoft เลยตัดปัญหาด้วยการที่ Windows นั้นๆจะไม่ได้รับการ patch แต่อย่างใด หากว่า Antivirus นั้นไม่ได้รับการ update (รวมถึง Patch Tuesday ด้วย)ให้ compatible ก่อน สิ่งที่…
View Post

F*CKWIT, Spectre, Meltdown – หลากหลายชื่อช่องโหว่ใน CPU

ในช่วงสัปดาห์ที่ผ่านมาต่างมีคนพูดถึงเรื่องช่องโหว่ที่หลากหลายมากไม่ว่าจะเป็น F*CKWIT(Forcefully Unmap Complete Kernel With Interrupt Trampolines) Intel CPU flaw (หรือที่รู้จักกันในนาม KPTI หรือ KAISER) และ Spectre, Meltdown เรามาดูกันว่ามันคืออะไรยังไง กลุ่ม security ระดับโลกอย่าง Project Zero ของ Google ได้เปิดเผยช่องโหว่รุนแรงใน CPU ซึ่งทำให้ user สามารถเข้าถึง memory…
View Post

วิธีการ mount APFS drive ใน Windows

หลังจาก MacOS รุ่นล่าสุดออกมา Apple ก็ได้ออกมาประกาศเรื่อง File System ใหม่ที่ชื่อว่า APFS ซึ่งมันก็คือ Apple File System นั่นเอง โดยเราสามารถ mount ได้โดยการติดตั้ง Application ของ APFS for Windows from Paragon นั่นเอง โดยเมื่อทำการ download และติดตั้งเรียบร้อยแล้ว เมื่อทำการเสียบ HDD ที่เป็น…
View Post