DFIR Case Study: วิเคราะห์การใช้มัลแวร์ RAT ขโมยเงินคริปโต

เมื่อช่วงเดือนกุมภาพันธ์ 2024 ที่ผ่านมา หลายคนน่าจะเคยได้ยินเคสของผู้เสียหายที่ถูกคนร้าย remote เข้ามาควบคุมเครื่องคอมพิวเตอร์แล้วโอนเงินคริปโตออกจากบัญชี ซึ่งหลังจากที่คุณอ้ำ (ผู้เสียหาย) ได้เขียนบล็อกเพื่อแชร์ประสบการณ์เรื่องนี้ไป ก็มีผู้เสียหายรายที่ 2 ติดต่อเข้ามา แจ้งว่าโดนเคสแบบเดียวกัน โดยเครื่องคอมพิวเตอร์ของผู้เสียหายรายที่ 2 นั้นยังไม่ได้ถูก format จึงน่าจะพอมีร่องรอยอะไรบางอย่างเพื่อให้พอวิเคราะห์ได้ว่าถูกโจมตีได้ยังไง ผมได้รับการประสานจากคุณอ้ำ เพื่อขอให้ช่วยวิเคราะห์เคสของผู้เสียหายรายที่ 2 เนื่องจากสอบถามข้อมูลเบื้องต้นแล้วพบว่าทั้ง 2 เหตุการณ์นี้มีลักษณะร่วมกันคือทั้งวันเวลาที่เกิดเหตุ รูปแบบการโจมตี รวมถึงไฟล์ที่ผู้โจมตีทิ้งไว้ในเครื่อง ก็มีลักษณะคล้ายๆ กัน จึงอาจเป็นไปได้ว่าผู้โจมตีน่าจะเป็นกลุ่มเดียวกันหรือมีความเกี่ยวข้องกัน ซึ่งถ้าสามารถวิเคราะห์สาเหตุที่ทั้ง 2 เคสนี้ถูกโจมตีได้ ก็น่าจะมีประโยชน์กับคนอื่นๆ ด้วย สรุปผลการวิเคราะห์ (ทั้งสิ่งที่พอจะมีหลักฐานให้ยืนยันได้ และสิ่งที่ยังไม่มีข้อมูลเพียงพอให้ตอบ) ทางคุณอ้ำได้เขียนเล่าไว้ในบล็อกตอนที่ 2 แล้ว ซึ่งใครที่สนใจเกี่ยวกับการทำ digital forensics ก็สามารถตามไปอ่านจากบล็อกนั้นได้เลย โดยในโพสต์นี้ผมจะขอแยกเฉพาะประเด็นทางเทคนิคบางส่วนออกมาขยายต่อ ซึ่งเนื้อหาหลักๆ จะมี 3 หัวข้อ คือ การทำ disk imaging, การทำ investigation,Continue reading “DFIR Case Study: วิเคราะห์การใช้มัลแวร์ RAT ขโมยเงินคริปโต”

DFIR Case Study: แฮกมือถือ Jeff Bezos สรุปข่าวและวิเคราะห์ความเป็นไปได้ในเชิงเทคนิค

เมื่อวันที่ 22 มกราคม 2020 สำนักข่าว The Guardian รายงานว่าโทรศัพท์มือถือของ Jeff Bezos ประธานบริษัท Amazon ถูกแฮกโดยมกุฎราชกุมารของซาอุดิอาระเบีย (Mohammed bin Salman หรือ MBS) ตั้งแต่ช่วงปี 2018 ช่องทางการแฮกคือส่งไฟล์วิดีโอมาทาง WhatsApps เพื่อฝังมัลแวร์ลงในโทรศัพท์มือถือ จุดประสงค์ของการแฮกคือต้องการข้อมูลโดยเฉพาะรูปภาพที่อยู่ในนั้น [1] รายละเอียดในประเด็นอื่นๆ ขอละไว้เพราะไม่ได้เกี่ยวกับเนื้อหาของโพสต์นี้เท่าไหร่ ข้อมูลที่ปรากฏในสื่ออื่นๆ เช่น The Hacker News นั้นมีการระบุถึงความเป็นไปได้ว่าการแฮกมือถือในครั้งนี้อาจเป็นการใช้มัลแวร์ที่ถูกพัฒนาขึ้นมาเป็นพิเศษซึ่งคาดว่ามีการโจมตีช่องโหว่ของระบบปฏิบัติการ iOS ร่วมด้วย ลักษณะของตัวมัลแวร์และการโจมตีในครั้งนี้ใกล้เคียงกับกรณีมัลแวร์ Pegasus ที่เคยถูกใช้งานจริงมาแล้วเมื่อปี 2016 [2] ซึ่งหากข้อมูลที่ระบุในข่าวนี้เป็นจริง ก็หมายความว่ามีการค้นพบช่องโหว่ใหม่ใน iOS และมีการโจมตีช่องโหว่นี้จริงแล้ว ซึ่งก็ถือเป็นเรื่องที่น่าสนใจโดยเฉพาะอย่างยิ่งในฝั่งคนที่ทำงานด้าน digital forensics และ malware analysis อย่างไรก็ตาม ในวันต่อมา (23 มกราคม 2020)Continue reading “DFIR Case Study: แฮกมือถือ Jeff Bezos สรุปข่าวและวิเคราะห์ความเป็นไปได้ในเชิงเทคนิค”

DFIR Case Study: วิเคราะห์เครื่องเซิร์ฟเวอร์ติด Ransomware

ได้รับเคสตรวจพิสูจน์เครื่องเซิร์ฟเวอร์ติด ransomware ที่ encrypt ข้อมูลแล้วเปลี่ยนนามสกุลไฟล์เป็น .xtbl โดยจุดประสงค์ของการตรวจไม่ได้ต้องการให้กู้ไฟล์กลับคืนมา แต่ต้องการให้ช่วยค้นหาว่ามันติดเข้ามาที่เครื่องนี้ได้ยังไง เพื่อจะได้ป้องกันไม่ให้เกิดเหตุการณ์ลักษณะนี้กับเครื่องอื่น เพราะจากข้อมูลแล้ว ransomware ตัวนี้ (ดูเหมือนจะชื่อ Troldesh) ยังไม่เจอใครรายงานว่ามันแพร่กระจายผ่านเครือข่ายหรือเข้ามาติดในเครื่องได้โดยไม่จำเป็นต้องมี interaction อะไรจากผู้ใช้ เพราะเท่าที่เห็นส่วนใหญ่ก็บอกว่าติดผ่านเว็บไซต์ไม่ก็ไฟล์แนบในอีเมล ซึ่งเครื่องเซิร์ฟเวอร์ปกติคงไม่น่ามีใครมาเปิดอะไรพวกนี้หรอก (รึเปล่า?) เนื่องจากเคสนี้เป็นงานนอก ไม่ได้มีข้อมูล sensitive (เครื่องที่ติด ransomware เป็นเครื่องให้บริการเว็บไซต์) ไม่ได้ต้องการเอาผลตรวจไปใช้ในทางกฎหมาย และได้รับอนุญาตจากผู้เสียหายแล้วว่าสามารถเผยแพร่ analysis report เพื่อเป็น case study ได้ ก็เลยเขียนบล็อกนี้ขึ้นมาเผื่อจะมีประโยชน์กับคนที่สนใจงานด้าน Digital Forensics & Incident Response (DFIR) ครับ