Forensics

DFIR Case Study: วิเคราะห์เครื่องเซิร์ฟเวอร์ติด Ransomware

ได้รับเคสตรวจพิสูจน์เครื่องเซิร์ฟเวอร์ติด ransomware ที่ encrypt ข้อมูลแล้วเปลี่ยนนามสกุลไฟล์เป็น .xtbl โดยจุดประสงค์ของการตรวจไม่ได้ต้องการให้กู้ไฟล์กลับคืนมา แต่ต้องการให้ช่วยค้นหาว่ามันติดเข้ามาที่เครื่องนี้ได้ยังไง เพื่อจะได้ป้องกันไม่ให้เกิดเหตุการณ์ลักษณะนี้กับเครื่องอื่น เพราะจากข้อมูลแล้ว ransomware ตัวนี้ (ดูเหมือนจะชื่อ Troldesh) ยังไม่เจอใครรายงานว่ามันแพร่กระจายผ่านเครือข่ายหรือเข้ามาติดในเครื่องได้โดยไม่จำเป็นต้องมี interaction อะไรจากผู้ใช้ เพราะเท่าที่เห็นส่วนใหญ่ก็บอกว่าติดผ่านเว็บไซต์ไม่ก็ไฟล์แนบในอีเมล ซึ่งเครื่องเซิร์ฟเวอร์ปกติคงไม่น่ามีใครมาเปิดอะไรพวกนี้หรอก (รึเปล่า?)

forensics-ransomware-0

เนื่องจากเคสนี้เป็นงานนอก ไม่ได้มีข้อมูล sensitive (เครื่องที่ติด ransomware เป็นเครื่องให้บริการเว็บไซต์) ไม่ได้ต้องการเอาผลตรวจไปใช้ในทางกฎหมาย และได้รับอนุญาตจากผู้เสียหายแล้วว่าสามารถเผยแพร่ analysis report เพื่อเป็น case study ได้ ก็เลยเขียนบล็อกนี้ขึ้นมาเผื่อจะมีประโยชน์กับคนที่สนใจงานด้าน Digital Forensics & Incident Response (DFIR) ครับ

Continue reading

สาระ, Travel

ประสบการณ์ทำ passport หายที่ต่างประเทศ

เมื่อช่วงสัปดาห์ที่ผ่านมาไปเที่ยวเวียดนามมาครับ เป็นทริปที่สนุกและตื่นเต้นดี ที่สำคัญกว่านั้นคือเป็นครั้งแรกที่ทำ passport หายตอนอยู่ต่างประเทศจนหวุดหวิดเกือบจะไม่ได้กลับไทย

จริงๆ มันก็ไม่ควรจะหล่นหายหรอก เพราะตอนไปต่างประเทศรอบที่ผ่านๆ มาก็ยัด passport ไว้ในกระเป๋าสะพาย แต่รอบนี้ดันทะลึ่งเอา passport ไปใส่ไว้ในกระเป๋ากางเกง แถมในทริปนี้มีนั่งรถกับเดินเที่ยวไปมานู่นนี่นั่นหลายที่มาก ซึ่งพอรู้ตัวว่า passport หายขึ้นมาปุ๊บเนี่ยมันแทบเดาไม่ออกเลยว่าเผลอทำหล่นหายที่ไหนยังไง

passport.jpg
ที่มาภาพ: http://www.interprogram.ku.ac.th

พอรู้ตัวว่า passport หาย ค้นหาในกระเป๋าหรือที่ไหนๆ แล้วก็ไม่มี สิ่งแรกที่ทำคือโทรแจ้งทัวร์ให้เค้าช่วยประสานให้เผื่อไปหล่นอยู่ในรถที่เราขึ้นมา (ซึ่งทัวร์ลองติดต่อถามให้แล้วก็พบว่าไม่มี) แต่ระหว่างที่รอทัวร์ติดต่อกลับมา ทางญาติๆ ก็เข้ามาช่วยหาข้อมูลช่วยวางแผนให้ว่าจะทำยังไงต่อไปเพราะถ้าไม่มี passport มันจะกลับไทยไม่ได้ Continue reading

Android, Tech

[Android] Systemless root คืออะไร ทำงานยังไง

ก่อนอื่นขอแจ้งไว้หน่อยว่าเอนทรี่นี้เป็นแค่การจดบันทึกในเรื่องที่ได้ศึกษามา เกี่ยวกับหลักการทำงานของ systemless root ใน Android ว่ามันคืออะไร ทำงานยังไง แต่อาจจะไม่ได้ลงรายละเอียดแบบลึกมาก และคงไม่ได้เขียนในลักษณะเป็นบทความที่เป็นทางการมากนัก เพราะหลายอย่างยังต้องใช้เวลาศึกษาเพิ่มเติมต่ออีก แต่ก็จะแปะลิงก์ไว้เผื่อใครสนใจก็ตามไปอ่านต่อได้ อีกอย่างตอนนี้ผมยังไม่มีอุปกรณ์ Android 6.0 ให้ลองใช้เลยไม่สามารถ proof บางอย่างได้ ก็คงเอาแค่หลักการทำงานแบบ overview ไปก่อนละกัน

root คืออะไร

เนื่องจากหัวข้อนี้มีคนเขียนไว้เยอะแล้ว งั้นก็ขอข้ามไปเลยดีกว่า เอาเป็นว่าใครที่เข้ามาอ่านบล็อกนี้คงมีความรู้พื้นฐานเรื่องการ root Android อยู่แล้ว แต่ถ้ายังไม่รู้ว่ามันคืออะไรก็ไป Google โลด

รูปแบบและวิธีที่ใช้ในการ root

หลักๆ รูปแบบการ root มี 2 แบบคือแบบชั่วคราว (non-permanent หรือ temporary) กับแบบถาวร (permanent) ซึ่งส่วนใหญ่เมื่อพูดถึงการ root เครื่องเรามักจะหมายถึง root แบบ permanent กันมากกว่า

Continue reading

Security, Tech

เล่าประสบการณ์เสียว กับ Dropbox และ Google Authenticator

ประสบการณ์เสียววันนี้: ก่อนหน้านี้ตั้ง Dropbox ให้เวลาล็อกอินต้องใส่รหัสยืนยันจาก Google Authenticator ด้วย แต่วันก่อนไป Factory Reset มือถือแล้วดันลืมปิดระบบยืนยันของ Dropbox วันนี้พอจะล็อกอินมันก็เลยถามรหัสยืนยัน แต่พอเลือกให้มันส่งรหัสมาทาง SMS ปรากฏว่ามันไม่ส่ง!! เอาไงดีทีนี้? ก็เลยว่าจะล็อกอินด้วยรหัสสำรอง (Recovery Code) ปรากฏว่าทำรหัสหาย!!! ชิบ…

โชคดีที่ในคอมลงโปรแกรม Dropbox ไว้แล้วล็อกอินไว้แล้ว ก็เลยลองกดปุ่มที่มันบอกว่า Open Dropbox.com ดูว่ามันจะเข้าได้มั้ย ปรากฏว่ามันเปิดเบราว์เซอร์เข้าเว็บ Dropbox เห็นหน้าจัดการไฟล์ได้เลยโดยไม่ต้องล็อกอิน (เอ๊ะ?!) รวมถึงสามารถกดเข้ามาหน้า Settings เพื่อตั้งค่า Authenticator app ใหม่ได้ด้วย … รอดตายไปได้อีกหนึ่งงาน ;w;

บทเรียนจากเรื่องนี้
1. สำรองข้อมูลจาก Google Authenticator ไว้ซะก่อนที่จะ Factory Reset
2. ถ้าไม่ชัวร์ก็ปิด 2FA ของ Service ต่างๆ ก่อน ลงรอมเสร็จเมื่อไหร่ค่อยเปิดใหม่
3. การตั้งค่าให้ส่งรหัส OTP มาทาง SMS บางทีมันก็ไว้ใจไม่ค่อยได้
4. เก็บ Recovery Code ไว้ให้ดีๆ -_-”
5. เว็บ Dropbox เข้าได้โดยไม่ต้องล็อกอิน วิธีการคือคลิกขวาที่ไอคอน Dropbox แล้วกดไอคอนรูปโลก
6. เด๋วว่างๆ จะแกะไอ้ข้อ 5. นี่ออกมาดูว่ามันทำไงถึง Bypass Login + 2FA :v

open-dropbox

Google

ถ้ารหัสผ่าน Google Account ของเราหลุดออกไป จะเกิดความเสียหายอะไรขึ้นบ้าง

ในบล็อกตอนที่แล้ว (Google เก็บข้อมูลอะไรเราบ้าง) ผมได้พูดถึงเรื่องข้อมูลส่วนตัวของเราที่ถูก Google เก็บไว้ ซึ่งมันก็มีประโยชน์ในแง่ของการปรับปรุงคุณภาพบริการของ Google เพื่ออำนวยความสะดวกในการใช้งานของเรา เช่น ปรับผลการค้นหาให้ตรงกับความต้องการ หรือวิเคราะห์คำที่เราพูดให้แม่นยำขึ้น เป็นต้น แต่ในอีกแง่นึงมันก็เป็นประเด็นน่าคิดว่า Google จะเอาข้อมูลส่วนนี้ไปทำอะไรมากกว่าที่บอกไว้รึเปล่า หรือถ้าเกิดวันดีคืนดี Google ถูกแฮ็ก ข้อมูลมันจะหลุดรั่วออกไปมั้ย (ซึ่ง Google ก็บอกว่าได้เก็บข้อมูลพวกนี้แบบเข้ารหัสลับไว้อย่างดี)

แต่ประเด็นอะไรต่างๆ เหล่านี่ผมก็คงละไว้ไม่พูดถึง เพราะจุดประสงค์ของบล็อกตอนนี้คือจะบอกว่าถ้าเกิดวันดีคืนดี Google Account ของเราถูกคนอื่นเข้าถึงได้ (หรือที่ภาษาชาวบ้านเรียกกันว่าถูกแฮ็ก) คนอื่นที่เข้าถึง Google Account ของเราเค้าสามารถที่จะทำอะไรได้บ้าง

แล้วอยู่ๆ คนอื่นจะเข้า Google Account ของเราได้ไง? คำตอบง่ายๆ ก็รหัสผ่านหลุด ซึ่งมันก็สามารถเกิดขึ้นได้หลายช่องทาง เช่น ตั้งรหัสผ่านที่คนอื่นเดาได้ง่ายๆ (ใครตั้งรหัสผ่านเป็นวันเดือนปีเกิด เบอร์โทรศัพท์ ยอมรับมาซะดีๆ!) ถูกหลอกให้กรอกข้อมูลในหน้า Phishing, มี Keylogger หรือมัลแวร์ขโมยข้อมูลติดตั้งอยู่ในเครื่อง ฯลฯ

ไม่ว่าจะด้วยวิธีการอะไรก็ตาม ถ้ามีคนที่รู้รหัสผ่าน แล้วสามารถเข้า Google Account ของเราได้ นอกจากจะอ่านอีเมลใน Gmail, ดูรายชื่อคนที่เราติดต่อด้วยใน Contacts, ดูภาพถ่ายทั้งหมดใน Google Photos (ที่หลายคนน่าจะตั้งให้มือถือมันอัพโหลดภาพขึ้นโดยอัตโนมัติ) หรือข้อมูลความเป็นส่วนตัวอื่นๆ (อ้างอิงจากบล็อกตอนที่แล้ว :p) มันยังมีอะไรที่น่ากลัวกว่านั้นเยอะ

Continue reading