Security

My Reading List Q3 2017

Some interesting stuffs (blogs/articles/papers and useful resources) that I’ve read in Q3 2017.

Continue reading

Advertisements
Forensics

DFIR Case Study: วิเคราะห์เครื่องเซิร์ฟเวอร์ติด Ransomware

ได้รับเคสตรวจพิสูจน์เครื่องเซิร์ฟเวอร์ติด ransomware ที่ encrypt ข้อมูลแล้วเปลี่ยนนามสกุลไฟล์เป็น .xtbl โดยจุดประสงค์ของการตรวจไม่ได้ต้องการให้กู้ไฟล์กลับคืนมา แต่ต้องการให้ช่วยค้นหาว่ามันติดเข้ามาที่เครื่องนี้ได้ยังไง เพื่อจะได้ป้องกันไม่ให้เกิดเหตุการณ์ลักษณะนี้กับเครื่องอื่น เพราะจากข้อมูลแล้ว ransomware ตัวนี้ (ดูเหมือนจะชื่อ Troldesh) ยังไม่เจอใครรายงานว่ามันแพร่กระจายผ่านเครือข่ายหรือเข้ามาติดในเครื่องได้โดยไม่จำเป็นต้องมี interaction อะไรจากผู้ใช้ เพราะเท่าที่เห็นส่วนใหญ่ก็บอกว่าติดผ่านเว็บไซต์ไม่ก็ไฟล์แนบในอีเมล ซึ่งเครื่องเซิร์ฟเวอร์ปกติคงไม่น่ามีใครมาเปิดอะไรพวกนี้หรอก (รึเปล่า?)

forensics-ransomware-0

เนื่องจากเคสนี้เป็นงานนอก ไม่ได้มีข้อมูล sensitive (เครื่องที่ติด ransomware เป็นเครื่องให้บริการเว็บไซต์) ไม่ได้ต้องการเอาผลตรวจไปใช้ในทางกฎหมาย และได้รับอนุญาตจากผู้เสียหายแล้วว่าสามารถเผยแพร่ analysis report เพื่อเป็น case study ได้ ก็เลยเขียนบล็อกนี้ขึ้นมาเผื่อจะมีประโยชน์กับคนที่สนใจงานด้าน Digital Forensics & Incident Response (DFIR) ครับ

Continue reading

สาระ, Travel

ประสบการณ์ทำ passport หายที่ต่างประเทศ

เมื่อช่วงสัปดาห์ที่ผ่านมาไปเที่ยวเวียดนามมาครับ เป็นทริปที่สนุกและตื่นเต้นดี ที่สำคัญกว่านั้นคือเป็นครั้งแรกที่ทำ passport หายตอนอยู่ต่างประเทศจนหวุดหวิดเกือบจะไม่ได้กลับไทย

จริงๆ มันก็ไม่ควรจะหล่นหายหรอก เพราะตอนไปต่างประเทศรอบที่ผ่านๆ มาก็ยัด passport ไว้ในกระเป๋าสะพาย แต่รอบนี้ดันทะลึ่งเอา passport ไปใส่ไว้ในกระเป๋ากางเกง แถมในทริปนี้มีนั่งรถกับเดินเที่ยวไปมานู่นนี่นั่นหลายที่มาก ซึ่งพอรู้ตัวว่า passport หายขึ้นมาปุ๊บเนี่ยมันแทบเดาไม่ออกเลยว่าเผลอทำหล่นหายที่ไหนยังไง

passport.jpg
ที่มาภาพ: http://www.interprogram.ku.ac.th

พอรู้ตัวว่า passport หาย ค้นหาในกระเป๋าหรือที่ไหนๆ แล้วก็ไม่มี สิ่งแรกที่ทำคือโทรแจ้งทัวร์ให้เค้าช่วยประสานให้เผื่อไปหล่นอยู่ในรถที่เราขึ้นมา (ซึ่งทัวร์ลองติดต่อถามให้แล้วก็พบว่าไม่มี) แต่ระหว่างที่รอทัวร์ติดต่อกลับมา ทางญาติๆ ก็เข้ามาช่วยหาข้อมูลช่วยวางแผนให้ว่าจะทำยังไงต่อไปเพราะถ้าไม่มี passport มันจะกลับไทยไม่ได้ Continue reading

Android, Tech

[Android] Systemless root คืออะไร ทำงานยังไง

ก่อนอื่นขอแจ้งไว้หน่อยว่าเอนทรี่นี้เป็นแค่การจดบันทึกในเรื่องที่ได้ศึกษามา เกี่ยวกับหลักการทำงานของ systemless root ใน Android ว่ามันคืออะไร ทำงานยังไง แต่อาจจะไม่ได้ลงรายละเอียดแบบลึกมาก และคงไม่ได้เขียนในลักษณะเป็นบทความที่เป็นทางการมากนัก เพราะหลายอย่างยังต้องใช้เวลาศึกษาเพิ่มเติมต่ออีก แต่ก็จะแปะลิงก์ไว้เผื่อใครสนใจก็ตามไปอ่านต่อได้ อีกอย่างตอนนี้ผมยังไม่มีอุปกรณ์ Android 6.0 ให้ลองใช้เลยไม่สามารถ proof บางอย่างได้ ก็คงเอาแค่หลักการทำงานแบบ overview ไปก่อนละกัน

root คืออะไร

เนื่องจากหัวข้อนี้มีคนเขียนไว้เยอะแล้ว งั้นก็ขอข้ามไปเลยดีกว่า เอาเป็นว่าใครที่เข้ามาอ่านบล็อกนี้คงมีความรู้พื้นฐานเรื่องการ root Android อยู่แล้ว แต่ถ้ายังไม่รู้ว่ามันคืออะไรก็ไป Google โลด

รูปแบบและวิธีที่ใช้ในการ root

หลักๆ รูปแบบการ root มี 2 แบบคือแบบชั่วคราว (non-permanent หรือ temporary) กับแบบถาวร (permanent) ซึ่งส่วนใหญ่เมื่อพูดถึงการ root เครื่องเรามักจะหมายถึง root แบบ permanent กันมากกว่า

Continue reading

Security, Tech

เล่าประสบการณ์เสียว กับ Dropbox และ Google Authenticator

ประสบการณ์เสียววันนี้: ก่อนหน้านี้ตั้ง Dropbox ให้เวลาล็อกอินต้องใส่รหัสยืนยันจาก Google Authenticator ด้วย แต่วันก่อนไป Factory Reset มือถือแล้วดันลืมปิดระบบยืนยันของ Dropbox วันนี้พอจะล็อกอินมันก็เลยถามรหัสยืนยัน แต่พอเลือกให้มันส่งรหัสมาทาง SMS ปรากฏว่ามันไม่ส่ง!! เอาไงดีทีนี้? ก็เลยว่าจะล็อกอินด้วยรหัสสำรอง (Recovery Code) ปรากฏว่าทำรหัสหาย!!! ชิบ…

โชคดีที่ในคอมลงโปรแกรม Dropbox ไว้แล้วล็อกอินไว้แล้ว ก็เลยลองกดปุ่มที่มันบอกว่า Open Dropbox.com ดูว่ามันจะเข้าได้มั้ย ปรากฏว่ามันเปิดเบราว์เซอร์เข้าเว็บ Dropbox เห็นหน้าจัดการไฟล์ได้เลยโดยไม่ต้องล็อกอิน (เอ๊ะ?!) รวมถึงสามารถกดเข้ามาหน้า Settings เพื่อตั้งค่า Authenticator app ใหม่ได้ด้วย … รอดตายไปได้อีกหนึ่งงาน ;w;

บทเรียนจากเรื่องนี้
1. สำรองข้อมูลจาก Google Authenticator ไว้ซะก่อนที่จะ Factory Reset
2. ถ้าไม่ชัวร์ก็ปิด 2FA ของ Service ต่างๆ ก่อน ลงรอมเสร็จเมื่อไหร่ค่อยเปิดใหม่
3. การตั้งค่าให้ส่งรหัส OTP มาทาง SMS บางทีมันก็ไว้ใจไม่ค่อยได้
4. เก็บ Recovery Code ไว้ให้ดีๆ -_-”
5. เว็บ Dropbox เข้าได้โดยไม่ต้องล็อกอิน วิธีการคือคลิกขวาที่ไอคอน Dropbox แล้วกดไอคอนรูปโลก
6. เด๋วว่างๆ จะแกะไอ้ข้อ 5. นี่ออกมาดูว่ามันทำไงถึง Bypass Login + 2FA :v

open-dropbox