หน้าหลัก > ประเทศไทย > Amphoe Si Racha > บริการคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์ > Senic It Knowledge Security

Senic It Knowledge Security

Senic It Knowledge Security

แชร์

การทำงานใด ๆ นั้นถือเป็นกฎว่าจะต้องมีแผนงาน หากไม่มีแผนงานก็ไม่รู้ว่าจะทำอะไร จะทำไปถึงไหน ทำให้ไม่มีทางที่จะไปถึงเป้าหมายที่ต้องการได้ เมื่อพูดถึงเป้าหมายก็เป็นของแน่อยู่แล้วว่าเรารู้ว่าเราจะไปไหน แต่เราต้องรู้ด้วยว่าเราอยู่ตรงไหน แล้วเราก็ขีดเส้นจากจุดที่ยืนอยู่ไปถึงจุดที่ต้องการจะไป เส้นนี้จะตรงหรือจะคดเคี้ยวอย่างไรนั่นก็คือแผน เมื่อมีแผนแล้ว การตรวจสอบว่าจะไปถึงเป้าหมายได้หรือไม่ก็เป็นเรื่องง่าย

ฟรี eBook: 5 แนวทางปฏิบัติที่ดีที่สุดในการรับมือกับ DDoS Attacks 13/11/2020

ฟรี eBook: 5 แนวทางปฏิบัติที่ดีที่สุดในการรับมือกับ DDoS Attacks Distributed Denial-of-Service (DDoS) ยังคงเป็นหนึ่งในภัยคุกคามที่สร้างความสูญเสียให้แก่องค์กรมากที่สุด ไม่ว่าจะเป็นด้านการเงิ....

06/10/2020

📌 โรงพยาบาลในนิวเจอร์ซีย์จ่ายค่าไถ่กว่า 20 ล้านบาท ให้กับแรนซั่มแวร์เพื่อปกป้องข้อมูลที่รั่วไหล

โรงพยาบาลมหาวิทยาลัยนิวเจอร์ซีย์ จ่าย 670,000 ดอลลาร์ (ราว 20 ล้านบาท) สำหรับค่าไถ่ของแรนซั่มแวร์เพื่อป้องกันการเผยแพร่ข้อมูลผู้ป่วย รวมถึงข้อมูลอื่นๆ ที่ถูกโจรกรรมกว่า 240 GB

การโจมตีโรงพยาบาลจากแรนซั่มแวร์ เกิดขึ้นตั้งแต่ก่อนเดือนกันยายน โดยได้แทรกซึมไปในเครือข่าย และทำการโจรกรรมแฟ้มข้อมูลก่อนที่จะเข้ารหัสข้อมูลทั้งหมด ซึ่งหลังจากที่ผู้โจมตีได้เผยเอกสารกว่า 48,000 รายการของ UHNJ ก็ได้มีตัวแทนของโรงพยาบาลติดต่อกลับไปผ่านช่องทางการชำระเงินใน Dark Web เพื่อเจรจาให้ยุติการเผยแพร่ข้อมูลผู้ป่วยที่ยังคงเหลืออยู่

🔸 ยอม ‘จ่าย’ เพื่อปกป้องข้อมูลของผู้ป่วย

ในบทสนทนาระหว่างโรงพยาบาลและผู้โจมตี พบว่า ได้มีการเจรจาเกี่ยวกับการเรียกค่าไถ่ หลังจากได้มีการเผยแพร่ตัวอย่างข้อมูลส่วนบุคคลของโรงพยาบาลที่ถูกขโมยไปบนเว็บไซต์ Data Leak ของ SunCrypt โดยเรียกค่าไถ่จำนวน 1.7 ล้านดอลลาร์ และเปิดโอกาสให้เจรจาต่อรองได้เนื่องจากสถานการณ์โควิด 19 😤

UHNJ มี Server ที่ได้รับผลกระทบถูกเข้ารหัสเพียง 2 เครื่อง ซึ่งโรงพยาบาลกังวงอย่างมากหากเกิดการเปิดเผยข้อมูลของผู้ป่วยจึงยืนยันที่จะจ่ายค่าไถ่เพื่อป้องกันไม่ให้เกิดการเผยแพร่ต่อไป ทั้งนี้ ยังไม่ชัดเจนว่าข้อมูลใดบ้างที่ถูกขโมยไป แต่ผู้โจมตี Ransomware อ้างว่า มี "การสแกน ID, DOB, SSN, ประเภทของการเจ็บป่วย"

ภายหลังการเจรจาจึงตกลงเงินค่าไถ่เป็นจำนวน 672,744 ดอลลาร์ หรือ 61.90 บิตคอยน์ (ราว 20 ล้านบาท) ซึ่งโรงพยาบาลก็ได้ชำระเงินไปยังที่อยู่บิตคอยน์ตามที่ระบุไว้เมื่อวันที่ 19 กันยายน โดยผู้โจมตี Ransomware ได้จัดหาตัวถอดรหัสของข้อมูลที่ถูกขโมยทั้งหมด, รายงานความปลอดภัย และข้อตกลงที่จะไม่เปิดเผยข้อมูลที่ขโมยไป หรือกลับมาโจมตี UHNJ อีก

ตามรายงานความปลอดภัยที่ได้รับจาก UHNJ พบว่า เครือข่ายของโรงพยาบาลถูกยึดครอง (Compromise) หลังจากที่พนักงานได้รับ Phishing Mail และให้ข้อมูล Network Credentials โดยผู้โจมตีได้ใช้ข้อมูลดังกล่าวในการ Login ไปที่ Citrix Server ของ UHNJ และเข้าถึงระบบเครือข่าย

Ref : https://www.bleepingcomputer.com/news/security/new-jersey-hospital-paid-ransomware-gang-670k-to-prevent-data-leak/

==========
📌 ไซเบอร์ตรอน ผู้ให้บริการ เพื่อเตรียมความพร้อมต่อการรับมือกับภัยทางไซเบอร์ แบบ 24x7
✉️ [email protected]📱087 718 2270

24/09/2020
Photos from Senic It Knowledge Security's post 17/09/2020

แรงข้าม Platform CVE-2020-1472 หรือที่ถูกเรียกว่า "ZeroLogon"
Tom Tervoort นั้นเจอว่าใน Netlogon นั้น Hacker สามารถทำการโจมตีที่เรียกว่า Person-in-the-Middle(PitM) ได้ โดยช่องโหว่คือ CVE-2020-1472 โดยได้รับ CVSS score อยู่ที่ 10/10 โดยผลกระทบเกิดกับ
(เครื่องทั้งหมดที่ไม่ได้ patch ของเดือนสิงหาคม 2020)
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
ผลกระทบ: เพิ่มสิทธิ์ของ user ที่อยู่ในเครือข่ายของ Domain Controller กลายเป็น Administrator ได้
วิธีตรวจจับ
ใน Log คือ eventID ที่จะเกิดขึ้นเมื่อถูกโจมตี ZeroLogon จะเป็น 4624 [Login Success] จากนั้นจะตามด้วย EventID 2 แบบคือหากในกรณีสำเร็จจะเกิด EventID 4742 [A computer account was changed] โดยระบุ Subject-Account name เป็น "Anonymous Logon" หรือไม่ก็ "Administrator" หรืออีกแบบนึงก็จะเป็น 5805 [NETLOGON] ในกรณี่ที่ไม่สำเร็จ (ตัวอย่าง log ดูได้จากใน comments)
Netlogon
Netlogon นั้นเป็น remote protocol ใน Windows Domain Controller ใช้สำหรับ user และ machine authentication โดยปกติจะใช้เป็น NTLM authentication และให้บริการที่ port 445 โดย NetLogon นั้นแตกต่างจจาก protpocol อื่น เพราะใช้ protocol ที่เข้ารหัส เพื่อให้ client ที่ join domain และ server สามารถแชร์ secret กันได้ โดย secret ที่ว่า เป็น hash ของ password ของ client ซึ่งเหตุผลที่ทำไม NetLogon ไม่ใช้ NTLM หรือ Kerberos ก็เพราะ Windows NT ซึ่งเป็นต้นแบบมาแต่ก่อนนั้นไม่ได้รองรับนั่นเอง
NetLogon session นั้นนเริ่มสร้างจากฝั่ง client โดย client และ server จะแลกเปลี่ยน random byte 8 byte ของกันและกัน จากนั้นทั้งคู่ก็คำนวณค่า session key โดยการเอา challenge ของกันและกันนมาประกอบกับ shared secret key โดยใช้ key derivation function. จากนั้น client ก็จะใช้ session key ในการสร้าง credential ขึ้นมา โดย server จะคำนวณ credential ขึ้นมาเช่นกัน โดยหากตรงกันแสดงว่า client ทราบถึง session key ก็จะกลายเป็นสามารถเข้าใช้งานระบบได้
ในส่วนของการพูดคุยและการทำการแลกเปลี่ยน secret ใดๆ จะเรียกว่า ComputeNetlogonCredential โดยมีการใช้งาน 2 version(ขึ้นอยู่กับการกำหนดจากฝั่ง client) เป็น 2DES และ AES (Default)
AES นั้นทำงานเป็น block cipher ซึ่งทำงานอยู่ที่ 16 bytes แต่ของ Windows นั้นใช้เพียงแค่ 8 byte เท่านั้น Microsoft เลยเลือกใช้งาน CFB8 (8-bit cipher feedback) mode ใน ComputeNetlogonCredential
AES-CFB8 นั้น เข้ารหัสทุก byte ของ plaintext โดยเพิ่ม IV(Initialisation Vector) 16 byte เข้าไปด้านหน้า plaintext แล้วนำเข้า AES, จากนั้นเอาผลลัพธ์ 1 ตัว ไปทำการ XOR กับ plaintext ชุดถัดไป
ความผิดพลาด
1. จากที่เห็นในการ authentication ของ NetLogon นั้นสามารถกำหนดได้จากฝั่ง client ทั้งสิ้น อีกทั้งการเดาก็สามารถทำได้ไม่ยาก เพราะขนาดของ Challenge นั้นมีขนาดเพียงแค่ 256 แบบเท่านั้น ทำให้สามารถเดา challenge ได้โดยใช้เวลาไม่นาน ซึ่งทำให้ผู้โจมตีสามารถจะปลอมเป็นใครก็ได้ รวมถึง Domain Controller เองด้วยก็ตาม
2. ในส่วนของ NetLogon นั้นไม่มีการกำหนด limitation ของการ invalid authentication ทำให้สามารถเดาได้เรื่อยๆตลอดๆ
3. เนื่องด้วยอย่างที่บอกว่า NetLogon นั้นเป็นระบบที่มีมาตั้งแต่สมัยโบราณการณ์ เพื่อให้ backward compatible ทำให้ client สามารถ downgrade communication ไปแบบที่ไม่มีการเข้ารหัสได้ ทำให้ seal และ sign signature ไม่จำเป็นนั่นเอง โดยวิธีการทำคือแค่ไม่มีการ set flag NetrServerAuthenticate3 เท่านั้นก็พอ
4. ใน NetLogon นั้นมี function NetrServerPasswordSet2 ที่ใช้ในการ set password ของ user อยู่ โดย password ดังกล่าวนั้นจะถูกเข้ารหัสลับด้วย session key ซึ่งในที่นี้คือ IV โดย CFB8 นั้นดันใช้ IV ที่เป็น 0 byte ทั้งหมดซะด้วย ซึ่งจากข้อ 1 ที่ผู้โจมตีสามารถปลอมเป็น session ของ client คนไหนก็ได้ ทำให้สามารถปลอมตัวเองเป็น admin ของ Domain Controller แล้ว set password เป็น empty password (0 ทั้งหมด) ได้นั่นเอง
กระทบ Samba ด้วย
จากการตรวจสอบ ไม่ใช่แค่ Windows Server เท่านั้นที่จะได้รับผลกระทบจาก ZeroLogon เท่านั้น Linux ที่ให้บริการเป็น Samba version < 4.8 ก็ได้รับผลกระทบจากช่องโหว่นี้เช่นเดียวกัน โดยสามารถ update เพื่อแก้ไขช่องโหว่หรือ เข้าไปแก้ configure ของ Samba เป็น
- server schannel = auto
ก็ทำให้สามารถแก้ไขช่องโหว่นี้ได้เช่นกัน
⭐️Reference⭐️
[1] https://access.redhat.com/discussions/5398921
[2] https://twitter.com/wdormann/status/1305908429664419840?s=20
[3] https://www.secura.com/blog/zero-logon
[4] https://twitter.com/joshlemon/status/1306487256480460805

อ้างสิทธิ์หรือรายงานรายการ
ต้องการให้ธุรกิจของคุณ ธุรกิจ ขึ้นเป็นอันดับหนึ่ง บริการคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์ ใน Amphoe Si Racha?
คลิกที่นี่เพื่อเป็นสมาชิก?

ประเภท

บริษัทคอมพิวเตอร์

ติดต่อ ธุรกิจของเรา

คลิกตรงนี้เพื่อว่งข้อความของคุณ ธุรกิจของเรา

เบอร์โทรศัพท์

+66627236622

เว็บไซต์

ที่อยู่


Amphoe Si Racha
20110