Forensics

DFIR Case Study: วิเคราะห์เครื่องเซิร์ฟเวอร์ติด Ransomware

ได้รับเคสตรวจพิสูจน์เครื่องเซิร์ฟเวอร์ติด ransomware ที่ encrypt ข้อมูลแล้วเปลี่ยนนามสกุลไฟล์เป็น .xtbl โดยจุดประสงค์ของการตรวจไม่ได้ต้องการให้กู้ไฟล์กลับคืนมา แต่ต้องการให้ช่วยค้นหาว่ามันติดเข้ามาที่เครื่องนี้ได้ยังไง เพื่อจะได้ป้องกันไม่ให้เกิดเหตุการณ์ลักษณะนี้กับเครื่องอื่น เพราะจากข้อมูลแล้ว ransomware ตัวนี้ (ดูเหมือนจะชื่อ Troldesh) ยังไม่เจอใครรายงานว่ามันแพร่กระจายผ่านเครือข่ายหรือเข้ามาติดในเครื่องได้โดยไม่จำเป็นต้องมี interaction อะไรจากผู้ใช้ เพราะเท่าที่เห็นส่วนใหญ่ก็บอกว่าติดผ่านเว็บไซต์ไม่ก็ไฟล์แนบในอีเมล ซึ่งเครื่องเซิร์ฟเวอร์ปกติคงไม่น่ามีใครมาเปิดอะไรพวกนี้หรอก (รึเปล่า?)

forensics-ransomware-0

เนื่องจากเคสนี้เป็นงานนอก ไม่ได้มีข้อมูล sensitive (เครื่องที่ติด ransomware เป็นเครื่องให้บริการเว็บไซต์) ไม่ได้ต้องการเอาผลตรวจไปใช้ในทางกฎหมาย และได้รับอนุญาตจากผู้เสียหายแล้วว่าสามารถเผยแพร่ analysis report เพื่อเป็น case study ได้ ก็เลยเขียนบล็อกนี้ขึ้นมาเผื่อจะมีประโยชน์กับคนที่สนใจงานด้าน Digital Forensics & Incident Response (DFIR) ครับ

Continue reading

Travel

ประสบการณ์ทำ passport หายที่ต่างประเทศ

เมื่อช่วงสัปดาห์ที่ผ่านมาไปเที่ยวเวียดนามมาครับ เป็นทริปที่สนุกและตื่นเต้นดี ที่สำคัญกว่านั้นคือเป็นครั้งแรกที่ทำ passport หายตอนอยู่ต่างประเทศจนหวุดหวิดเกือบจะไม่ได้กลับไทย

จริงๆ มันก็ไม่ควรจะหล่นหายหรอก เพราะตอนไปต่างประเทศรอบที่ผ่านๆ มาก็ยัด passport ไว้ในกระเป๋าสะพาย แต่รอบนี้ดันทะลึ่งเอา passport ไปใส่ไว้ในกระเป๋ากางเกง แถมในทริปนี้มีนั่งรถกับเดินเที่ยวไปมานู่นนี่นั่นหลายที่มาก ซึ่งพอรู้ตัวว่า passport หายขึ้นมาปุ๊บเนี่ยมันแทบเดาไม่ออกเลยว่าเผลอทำหล่นหายที่ไหนยังไง

passport.jpg
ที่มาภาพ: http://www.interprogram.ku.ac.th

พอรู้ตัวว่า passport หาย ค้นหาในกระเป๋าหรือที่ไหนๆ แล้วก็ไม่มี สิ่งแรกที่ทำคือโทรแจ้งทัวร์ให้เค้าช่วยประสานให้เผื่อไปหล่นอยู่ในรถที่เราขึ้นมา (ซึ่งทัวร์ลองติดต่อถามให้แล้วก็พบว่าไม่มี) แต่ระหว่างที่รอทัวร์ติดต่อกลับมา ทางญาติๆ ก็เข้ามาช่วยหาข้อมูลช่วยวางแผนให้ว่าจะทำยังไงต่อไปเพราะถ้าไม่มี passport มันจะกลับไทยไม่ได้ Continue reading