คลังเก็บป้ายกำกับ: WEB_SECURITY

สถิติเผย มีเว็บ Phishing กว่า 46,000 ไซต์เกิดขึ้นในแต่ละวัน

Webroot ผู้ให้บริการโซลูชัน Endpoint Protection แบบ All-in-one ได้ทำการเก็บข้อมูลการโจมตีแบบ Phishing ตั้งแต่ตั้นปี 2017 พบโดยเฉลี่ยแต่ละวันมีเว็บ Phishing ใหม่ปรากฏออกมามากถึง 46,000 ไซต์ และปัจจุบันรูปแบบของ Phishing ก็ถูกพัฒนาให้มีความแยบยล ตรวจจับได้ลำบาก และหลีกเลี่ยงได้ยาก

Webroot ระบุว่า การโจมตีแบบ Phishing เป็นหนึ่งในภัยคุกคามที่พบได้อย่างแพร่หลายมาหที่สุดทั้งในฝั่งธุรกิจและฝั่งผู้ใช้งานทั่วไป และเป็นต้นเหตุอันดับหนึ่งที่ก่อให้เกิด Data Breach โดยเฉลี่ยแล้ว พบว่ามีเว็บ Phishing ใหม่เกิดขึ้นโดยเฉลี่ยไม่น้อยกว่า 1,385,000 ไซต์ในแต่ละเดือน โดยเฉพาะอย่างยิ่งเดือนพฤษภาคมที่ผ่านมาที่มีปริมาณมาเป็นพิเศษ คือ 2,300,000 ไซต์

แนวโน้มของเว็บ Phishing ในปี 2017 ยังคงเป็นแบบอายุใช้งานสั้น แต่เน้นการสร้างไซต์ใหม่โผล่ออกมาเรื่อยๆ โดยส่วนใหญ่แล้วเว็บ Phishing จะคงอยู่ประมาณ 4 – 8 ชั่วโมงเท่านั้น เนื่องจากแฮ็คเกอร์ต้องการหลบเลี่ยงระบบตรวจจับของโปรแกรม Antivirus แบบดั้งเดิมที่ใช้เทคนิค Blacklists ถึงแม้ว่าลิสต์ดังกล่าวจะมีการอัปเดตโดยเจ้าของซอฟต์แวร์ทุกๆ ชั่วโมง แต่กว่าที่อัปเดตนั้นจะถูกส่งมายังโปรแกรมที่ติดตั้งบนเครื่องก็กินเวลา 3 – 5 วัน ส่งผลให้ระหว่างนั้นแฮ็คเกอร์มีเวลาหาเหยื่อได้

นอกจากนี้ การโจมตีแบบ Phishing ในปัจจุบันก็เริ่มเน้นที่เป้าหมายที่ต้องการโจมตีมากขึ้น หรือเป็นการโจมตีที่เรียกว่า Spear-phishing โดยแฮ็คเกอร์จะเก็บรวบรวมข้อมูของเหยื่อและใช้เทคนิค Social Engineering พุ่งตรงไปยังเป้าหมายเพื่อขโมยข้อมูลความลับต่างๆ แทนที่จะเป็นการโจมตีแบบหว่านหาเหยื่อไปทั่ว ที่สำคัญคือ เว็บ Phishing จำนวนมากในปัจจุบันถูกซ่อนอยู่ภายใต้โดเมนที่ถูกต้อง ยากต่อการตรวจจับ และมี Payload ที่อันตรายกว่าเว็บ Phishing ในอดีตมาก

Webroot ได้จัดกลุ่มประเภทของเว็บไซต์ที่เว็บ Phishing มักใช้ในการปลอมเป็นเว็บเหล่านั้น พบว่าส่วนใหญ่มักเป็นไซต์ของบริษัททางด้าน IT ชั้นนำหรือไม่ก็สถาบันการเงิน โดย 10 อันดับบริษัทที่มักถูกใช้เพื่อปลอมเป็นเว็บ Phishing ในช่วงครึ่งปีแรกของ 2017 มีดังนี้

  • Google – 35%
  • Chase – 15%
  • Dropbox – 13%
  • PayPal – 10%
  • Facebook – 7%
  • Apple – 6%
  • Yahoo – 4%
  • Wells Fargo – 4%
  • Citi – 3%
  • Adobe – 3%

ที่มา: https://www.helpnetsecurity.com/2017/09/22/46000-new-phishing-sites/

from:https://www.techtalkthai.com/more-than-46000-new-phishing-websites-crested-everyday/

Advertisements

Joomla ออกแพทช์อุดช่องโหว่ LDAP Injection อายุนานกว่า 8 ปี

Joomla ระบบ CMS ชื่อดัง ได้ออกแพทช์อุดช่องโหว่ LDAP Injection ที่มีอายุนานกว่า 8 ปี ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลบัญชีและรหัสผ่านของผู้ใช้และเข้าควบคุมเว็บไซต์ทั้งหมดได้ แนะนำให้ผู้ดูแลเว็บอัปเดตแพทช์ล่าสุดทันที

Credit: Joomla

ช่องโหว่ที่ค้นพบนี้มีรหัส CVE-2017-14596 เป็นช่องโหว่บน LDAP Authentication Plugin ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลชื่อบัญชีผู้ใช้และรหัสผ่านออกจาก LDAP Server ไปได้ ถึงแม้ว่า Joomla จะให้คะแนนความรุนแรงเป็น Medium แต่นักวิจัยด้านความมั่นคงปลอดภัยจาก RIPS Technologies ระบุว่า ปัญหานี้อาจใกล้เคียงกับความรุนแรงระดับ Critical ได้เลยทีเดียว

ทีมนักวิจัยระบุใน Blog ว่า ช่องโหว่นี้เป็นช่องโหว่ LDAP Injection บน Plugin ที่คอยควบคุมการล็อกอิน ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลรหัสผ่านของ Super User โดยใช้เทคนิค Blind Injection ได้ รวมไปถึงเข้าควบคุมระบบ Joomla ได้ภายในเวลาไม่กี่วินาที ที่สำคัญคือแฮ็คเกอร์ไม่จำเป็นต้องใช้สิทธิ์ระดับสูงในการโจมตีช่องโหว่ดังกล่าว และช่องโหว่นี้มีอายุนานถึง 8 ปีโดยที่ไม่มีใครค้นพบมาก่อน

ช่องโหว่ LDAP Injection นี้ส่งผลกระทบต่อ Joomla เวอร์ชัน 1.5.0 ถึง 3.7.5 จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่ามีการโจมตีผ่านช่องโหว่ดังกล่าวแล้วหรือไม่ แนะนำใช้ผู้ดูแลเว็บอัปเดตแพทช์เวอร์ชัน 3.8 โดยเร็ว

รายละเอียดเพิ่มเติม: https://developer.joomla.org/security-centre/711-20170902-core-ldap-information-disclosure

ที่มา: http://www.zdnet.com/article/joomla-patches-eight-year-old-critical-cms-bug/

from:https://www.techtalkthai.com/joomla-patches-8-year-old-ldap-injection-vulnerability/

พบมัลแวร์ CCleaner พุ่งเป้าโจมตีบริษัท IT ขนาดใหญ่

หลังจากเมื่อต้นสัปดาห์มีข่าว CCleaner โปรแกรมสำหรับลบไฟล์ขยะยอดนิยมถูกแฮ็ค และใช้เป็นฐานในการแพร่กระจายมัลแวร์ จากการตรวจสอบล่าสุดของ Cisco Talos พบว่าแฮ็คเกอร์ได้ลอบโจมตีบริษัท IT ขนาดใหญ่ไม่ต่ำกว่า 20 บริษัทโดยใช้ Backdoor Payload ที่สองจาก C&C Server

ก่อนหน้านี้ นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco Talos ได้ออกมาแจ้งเตือนถึงกรณีที่ CCleaner เวอร์ชัน 5.33 ถูกแฮ็ค และถูกใช้เป็นฐานในการแพร่กระจายมัลแวร์ Floxif ซึ่งมีความสามารถในการดาวน์โหลดมัลแวร์อื่นจาก C&C Server เข้ามารันบนเครื่องของเหยื่อ แต่จากการตรวจสอบ ณ ขณะนั้น ยังไม่พบรายงานการดาวน์โหลดมัลแวร์อื่นมาติดตั้งบนเครื่องแต่อย่างใด และผู้ใช้ที่ดาวน์โหลดเวอร์ชันดังกล่าวไปสามารถแก้ปัญหาได้ง่ายๆ ด้วยการอัปเดตเป็นเวอร์ชัน 5.34 ล่าสุด

อย่างไรก็ตาม Cisco Talos ได้ทำการตรวจสอบ C&C Server ของแฮ็คเกอร์โดยละเอียด และพบว่า Payload ชิ้นที่สอง คือ GeeSetup_x86.dll ซึ่งเป็นโมดูล Backdoor ขนาดเล็ก ได้ถูกตั้งค่าให้ลอบส่งไปยังคอมพิวเตอร์ที่ติด CCleaner เวอร์ชัน 5.33 ภายใต้โดเมนของบริษัท IT ขนาดใหญ่ไม่ต่ำกว่า 20 บริษัท เช่น Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai, VMware และอื่นๆ

นอกจากนี้ Cisco Talos ยังพบว่ามีคอมพิวเตอร์เกือบ 700,000 เครื่องติดมัลแวร์ CCleaner จากมัลแวร์ Payload แรก (Floxif) และอีกไม่น้อยกว่า 20 เครื่องที่ติด Backdoor Payload ที่สอง ซึ่งจากการพุ่งเป้าโจมตีบริษัท IT ยักษ์ใหญกว่า 20 แห่งนี้ทำให้ทีมนักวิจัยเชื่อว่าแฮ็คเกอร์มีจุดประสงค์เพื่อจารกรรมข้อมูลของบริษัทเหล่านั้น

ทีมนักวิจัยยังค้นพบอีกว่า หนึ่งใน Configuration File บนเซิร์ฟเวอร์ของแฮ็คเกอร์ถูกตั้งเวลาตามโซนของประเทศ จึงเป็นไปได้ที่ต้นกำเนิดของการโจมตีนี้จะมาจากที่ประเทศจีน สอดคล้องกับข้อมูลที่ Kaspersky Lab ค้นพบ ซึ่งระบุว่ามัลแวร์ CCleaner มีโค้ดบางส่วนหน้าตาเหมือนกับเครื่องมือแฮ็คที่กลุ่มแฮ็คเกอร์ชาวจีนนามว่า Axiom (หรือ APT17, Group 72) เคยใช้

สำหรับผู้ที่ติด Backdoor Payload ที่สอง การถอนการติดตั้งโปรแกรม CCleaner ออกจากเครื่องไม่เพียงพอต่อการกำจัดมัลแวร์ออกไปอีกต่อไป แนะนำให้ Restore ระบบคืนจากข้อมูลที่ได้สำรองไว้ก่อนที่จะติดมัลแวร์

อ่านรายละเอียดเชิงเทคนิคเพิ่มเติมได้ที่: https://blogs.cisco.com/security/talos/ccleaner-c2-concern

ที่มา: http://thehackernews.com/2017/09/ccleaner-malware-hacking.html

from:https://www.techtalkthai.com/2nd-stage-ccleaner-malware-targets-big-tech-companies/

เผย…ตลาดมืดออนไลน์ รับยิง DDoS!!

หลายท่านน่าจะพอทราบว่าในยุค Internet of Things อะไรก็เสกขึ้นมาได้ด้วยไอเดีย และกำลังสมองของมนุษย์ Cyber Attacks ก็เช่นกัน ที่หาโจมตีได้ง่ายเหลือเกิน แพคเกตมีให้เลือกหลากหลาย ราคาไม่แพง โปรโมชันก็มี แถมมีการจัดอันดับ TOP 10 ซะด้วย

เกริ่นมามากพอและเรามาเริ่มกันจาก

1. รูปแบบที่ใช้ในการโจมตี (DDoS Technique)

มีให้เลือกทั้ง Layer 4 (Volume/Bandwidth Attack) ที่จะทำให้ Firewall เดี้ยงหรือแม้กระทั่งทำให้ Bandwidth เต็ม

และ Layer 7 (Application Attack) ที่จะทำเว็บเดี้ยง หรือทำให้ CPU/Memory ใช้งานเต็ม 100%

ในบางผู้ให้บริการก็อำนวยความสะดวกสบายให้แก่ผู้ใช้บริการโดยทำในรูปแบบ Application/Responsive กันเลยทีเดียว ดูๆไปผู้เขียนก็คิดว่าไอเดียแบบนี้ก็เข้าใจคิดกันดีนะครับ

 

2. ราคา (Price)

ค่าบริการโจมตีก็ถูกมาก กินข้าวมือค่ำบางครั้งยังแพงกว่าอีก และยิ่งเมื่อเทียบกับความสูญเสียของเป้าหมายล่ะก็ ไม่แปลกใจเลยว่าทำไม ขยันยิง DDoS กันจริง

 

มีให้เลือกแบบ Dynamic ด้วยนะ ไม่ธรรมดาจริงๆ และที่ขาดไม่ได้เนี่ยมีการทดลองฟรีด้วยนะท่าน!!!

3. บริการหลังการขายและ SLA (After Sale service)

เห็นแล้วค่อนข้างอึ้งนะ อึ้งมากกกกกกกกก ทำออกมาค่อนข้างดีเลยไม่ว่าจะเป็นเรื่อง Guarantee Dedicated Server, Support 24×7 และสุดท้ายมี Ticket system ซะด้วย

 

สุดท้ายก็จะมีคำถามมาเยอะว่าทำไมกลุ่มธุรกิจนี้ยังไม่ห่างหายไป มีแต่จะเพิ่มขึ้น

ก็เนื่องจากมีวิธีหลบเลี่ยง และซ่อนตัวตนไม่ให้เป็นที่รู้จักในที่สาธารณะด้วยบริการ CDN+CloudFlare แล้วสุดท้ายการโอนเงินก็ยากในการ Track ซึ่งก็คือการใช้ BitCoin ลองดูตัวอย่างได้จากด้านล่างได้เลยครับ

สำหรับผู้ที่สนใจโซลูชันสำหรับปกป้ององค์กรจากการโจมตีแบบ DDoS สามารถดูรายละเอียดเพิ่มเติมได้ที่ SNOC 3.0

บทความเรื่อง “เผย…ตลาดมืดออนไลน์ รับยิง DDoS!!” นี้ ต้นฉบับถูกเผยแพร่ที่ SNOC

from:https://www.techtalkthai.com/ddos-dark-market/

Elasticsearch Servers นับพันเครื่องถูกยึด เพื่อกระจาย PoS Malware

นักวิจัยด้านความปลอดภัยพบว่า Elasticsearch Servers มากกว่า 4,000 เครื่องถูกบุกรุกเพื่อกระจายและควบคุม PoS Malware โดยกว่า 99% ของ Servers ทั้งหมด รันอยู่บน Amazon AWS

Credit: helpnetsecurity

 

เมื่อสัปดาห์ที่ผ่านมา นักวิจัยด้านความปลอดภัยค้นพบว่ามี Elasticsearch Servers ที่ไม่ปลอดภัยมากกว่า 15,000 เครื่อง มีประมาณ 27% หรือกว่า 4,000 เครื่อง ถูกฝัง Malware ประเภท PoS (Point-of-Sales) ไว้ โดยพบว่าเป็น Malware ตระกูล AlinaPOS และ JackPOS แต่ที่น่าตกใจไปกว่านั้นคือ กว่า 99% ของเครื่องที่ถูกฝัง Malware รันอยู่บน Amazon Web Service

Bob Diachenko นักวิจัยจาก Kromtech Security Center กล่าวไว้ว่า Amazon Web Service (AWS) มี Free Tier ให้บริการสำหรับลูกค้า คือ T2 Micro ซึ่งเป็น Instance ขนาดเล็ก 1vCPU, 1GB Memory และพื้นที่ 10GB โดย T2 Micro ถูกออกแบบมาสำหรับ operation ที่ไม่ต้องการ workload สูงมากนัก เช่น Web Server, Dev Server และ Database Server ขนาดเล็ก โดยปัญหาของ T2 Micro Instance คือสามารถติดตั้ง Elasticsearch ได้เฉพาะเวอร์ชั่น 1.5.2 และ 2.3.2 เท่านั้น

Amazon เพิ่มความสะดวกสบายให้กับผู้ใช้งานโดยการสามารถติดตั้ง Elasticsearch บน Platform ของ Amazon ได้เพียงไม่กี่คลิก แต่โดยปกติแล้วผู้ใช้งานจะข้ามการตั้งค่าที่เกี่ยวกับความปลอดภัยเกือบทั้งหมดระหว่าง Quick Installation Process ด้วยช่องโหว่ตรงนี้ ทำให้เครื่องที่ติดตั้ง Elasticsearch สามารถถูกบุกรุกได้อย่างง่ายดาย กลายเป็น PoS Botnet จำนวนมาก ที่มาพร้อมกับฟังก์ชัน command-and-control (C&C) สำหรับ PoS malware client

Diachenko แนะนำว่าเจ้าของเครื่อง Server ที่ติดตั้ง Elasticsearch ควรตรวจสอบว่าถูกฝัง Malware ไว้หรือไม่ หากพบควรรีบทำการแก้ไขทันที รวมไปถึงการเพิ่มมาตรการด้านความปลอดภัยมากขึ้น เช่น

  • ติดตั้ง Elasticsearch Patch เวอร์ชั่นล่าสุด
  • ปิดพอร์ตที่ไม่จำเป็นจากการเข้าถึงจากภายนอก
  • ทำ White-list สำหรับ Trusted-IPs เพื่อเข้าถึง Elasticsearch Server

ที่มา: https://www.helpnetsecurity.com/2017/09/14/unsecured-elasticsearch-servers/

from:https://www.techtalkthai.com/elasticsearch-servers-hijacked-to-post-pos-malware/

Chrome เตรียมแจ้งเตือน FTP Sites ว่า “ไม่ปลอดภัย (Not Secure)”

Google Chrome เวอร์ชั่น 63 ที่มีกำหนดการจะ Release ในช่วงเดือนธันวาคมนี้ เตรียมเพิ่มระดับการแจ้งเตือน (Warning) ผู้ใช้งาน เมื่อมีการเรียกใช้งาน browser ไปยัง FTP Sites ต่างๆ ว่าไม่ปลอดภัย (Not Secure)

Credit: helpnetsecurity

 

หนึ่งในสมาชิกทีม Google Chrome Security ประกาศถึงแผนที่จะเพิ่มการแจ้งเตือนผู้ใช้งานเมื่อมีการเรียกใช้ FTP ผ่าน Status Bar ของ Chrome โดยแสดงผล “ไม่ปลอดภัย (Not Secure)” เมื่อมีการเรียกใช้งาน ftp://<url>  ซึ่งในแผนเดิมจะทำการแจ้งเตือนเฉพาะ HTTP เท่านั้น แต่เนื่องจากในปัจจุบันการใช้งาน FTP Sites มีน้อยลงมากและไม่เข้ารหัสข้อมูล อาจเป็นช่องโหว่และทำให้ถูกโจมตีได้ง่าย ทำให้ Google ตัดสินใจเพิ่ม FTP เข้าไปในแผนนี้ด้วย

File Transfer Protocol (FTP) เป็นเน็ตเวิร์คโปรโตคอลที่ใช้สำหรับรับส่งข้อมูลระหว่าง client และ server ที่ถูกพัฒนามานานกว่า 40 ปี ตั้งแต่ปี 1971 – เป็นโปรโตคอลที่ไม่ได้ทำการเข้ารหัสของข้อมูลระหว่างทำการรับส่ง ตรงนี้เองที่เป็นจุดอ่อนของ FTP ผู้ไม่หวังดีสามารถดักอ่านข้อมูลได้ระหว่างทำการรับส่ง เทคนิคที่นิยมใช้กันอย่างแพร่หลายเช่น การทำ Man-in-the-middle

ในขณะที่เราสามารถใช้ FTPS (FTP Secure) แทนได้ แต่ Chrome และ browser อื่นๆ เองไม่ได้รองรับโปรโตคอลนี้

ที่มา: https://www.helpnetsecurity.com/2017/09/15/chrome-ftp-insecure/

from:https://www.techtalkthai.com/chrome-will-tag-ftp-sites-as-not-secure/

แนะนำ Ichidan เครื่องมือค้นหาแบบ Shodan บน Dark Web

เว็บไซต์ Bleeping Computer ได้ออกมาแนะนำเครื่องมือบน Dark Web ซึ่งช่วยให้ผู้ใช้สามารถสแกน Onion Site บนเครือข่าย Tor ได้ว่ามีการเปิดเซอร์วิสอะไรที่สามารถเข้าถึงจากสาธารณะได้บ้าง คล้ายกับการใช้ Shonan ในการค้นหาอุปกรณ์/เซิร์ฟเวอร์ที่มีช่องโหว่บนอินเทอร์เน็ต โดยเครื่องมือดังกล่าวมีชื่อเรียกว่า Ichidan

Ichidan เป็นศัพท์ภาษาญี่ปุ่นที่มีความหมายว่า ขั้นแรก ซึ่งบริการดังกล่าวสามารถเรียกใช้งานได้ที่ ichidanv34wrx7m7.onion โดยนักวิจัยด้านความมั่นคงปลอดภัยหลายคนออกมาให้ความเห็นว่าเป็นเครื่องมือที่เป็นประโยชน์ต่อการศึกษาบริการบน Dark Web

“โปรแกรมค้นหานี้อย่างกับขุมทอง มีอะไรหลายอย่างที่เราไม่รู้เกี่ยวกับเว็บไซต์ .onion ผมรู้สึกตื่นเต้นมากกับสิ่งที่ได้เห็น” — Victor Gever ผู้ก่อตั้ง GDI.foundation และผู้เชี่ยวชาญจาก SANS Institute ให้ความเห็น

Ichidan ช่วยให้ผู้ใช้สามารถระบุประเด็นด้านความมั่นคงปลอดภัยของ Onion Site บน Dark Web ได้ภายในเวลาไม่กี่นาที ยกตัวอย่างผลสแกน Onion Site ตามรูปด้านล่าง ซึ่งเป็นไซต์สำหรับโฮสต์ Email Server จะเห็นว่าไซต์ดังกล่าวมีการเปิดเซอร์วิสให้เชื่อมต่อจากภายนอกเป็นจำนวนมาก ไม่ว่าจะเป็น Telnet, SSH, vsftpd ซึ่งเสี่ยงถูกโจมตีแบบ Brute Force หรือ Dictionary Attack ได้

นอกจากนี้ยังค้นพบอีกว่า ไซต์ดังกล่าวมีการเปิดพอร์ตที่เชื่อมโยงกับ Web Server ของ Fritzbox Router นั่นหมายความว่า บางคนอาจตั้งใจโฮสต์ Onion Site ดังกล่าวไว้บน Web Server ของ Router หรืออาจจะเข้าควบคุม Router ของคนอื่นเพื่อโฮสต์ Onion Site ไว้ก็ได้

เรียกได้ว่า Ichidan จะเป็นบริการที่ช่วยให้สามารถติดตามอาชญากรไซเบอร์ที่แฝงตัวอยู่ใน Dark Web ได้ง่ายยิ่งขึ้น แทนที่จะต้องเสียเวลารันคำสั่งผ่าน CLI หรือใช้เครื่องมือสำหรับเจาะระบบ การใช้ Ichidan ผ่าน Web UI ย่อมเป็นตัวเลือกที่สะดวกและรวดเร็วกว่า

นอกจากนี้ จากการใช้ Ichidan ยังทำให้สามารถยืนยันได้ว่า Dark Web มีขนาดเล็กลง กล่าวคือ ปีที่ผ่านมา OnionScan ได้ออกรายงานระบุว่า Dark Web มีขนาดเล็กลง 85% จากประมาณ 30,000 เว็บไซต์ เหลือเพียง 4,400 เว็บไซต์เท่านั้น ซึ่งค่อนข้างสอดคล้องกับผลสแกนของ Ichidan ซึ่งค้นพบไซต์ทั้งหมด 5,635 ไซต์

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/ichidan-is-a-shodan-like-search-engine-for-the-dark-web/

from:https://www.techtalkthai.com/ichidan-shodan-like-search-engine-for-dark-web/