คลังเก็บป้ายกำกับ: ENDPOINT_SECURITY

Sophos เผยวิธีการหลีกเลี่ยงการตรวจจับของแรนซัมแวร์ WastedLocker โดยใช้ฟีเจอร์ปกติใน Windows

Sophos ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอรืได้ออกมาเปิดเผยเผยถึง วิธีการที่แรนซัมแวร์อย่าง WastedLocker ใช้หลีกเลี่ยงการตรวจจับของโซลูชันป้องกัน โดยใช้ฟีเจอร์ใน Windows ที่มีอยู่แล้ว

WastedLocker คือแรนซัมแวร์ตัวหนึ่ง ซึ่งล่าสุดก็ถูกใช้ในเหตุการณ์โจมตี Garmin จนให้บริการไม่ได้ไปหลายวันเช่นกัน วันนี้มีการเปิดเผยรายละเอียดจาก Sophos ว่ามัลแวร์ตัวนี้สามารถหลบเลี่ยงการตรวจจับได้อย่างไร

ก่อนจะเข้าใจวิธีการโจมตีเราต้องทราบถึงกลยุทธ์ที่โซลูชันฝั่งป้องกันทำเสียก่อน ไอเดียก็คือโซลูชันป้องกันแรนซัมแวร์จะไปติดตามการเรียก System Call ที่เกี่ยวกับ File Operation ก็คือหากมีโปรเซสที่ไม่รู้จักเรียกเปิด เขียนและปิดไฟล์จำนวนมาก ตัวป้องกันก็จะทำการปิดโปรเซสนั้น นั่นหมายความว่าเราอาจจะสูญเสียไฟล์ไปบางส่วนก่อนที่การป้องกันจะทำงาน แต่ก็ดีกว่าถูกโจมตีทั้งเครื่อง

อย่างไรก็ดีเพื่อเพิ่มประสิทธิภาพใน Windows จะมีการใช้งาน Cache Manager ซึ่งคอนเซปต์ก็ทั่วไปคือการเขียน อ่าน จากหน่วยความจำทำได้เร็วกว่าจากดิสก์ ด้วยเหตุนี้เองทางแทนที่ WastedLocker จะไปจัดการไฟล์โดยตรง ก็เลยเข้าไปเข้ารหัสไฟล์ในแคชแทน ซึ่งเมื่อมีการอัปเดตจำนวนมากระบบ Cache Manager ซึ่งมีสิทธิ์ระดับ SYSTEM ก็จะไปเขียนไฟล์ที่ถูกเข้ารหัสทับไฟล์กลับในระบบ (อัปเดตจาก Cache ไปยังดิสก์นั่นเอง) ทั้งนี้ด้วยสิทธิ์ที่ถูกต้องทางฝั่งการป้องกันเลยปล่อยผ่านการเรียก System Call นี้ไปนั่นเอง

หากใครต้องการศึกษาในเชิงลึกสามารถติดตามเพิ่มเติมได้จากบล็อกของ Sophos ครับ 

ที่มา :  https://www.bleepingcomputer.com/news/security/wastedlocker-ransomware-abuses-windows-feature-to-evade-detection/

from:https://www.techtalkthai.com/sophos-explains-how-wastedlocker-ransomware-can-evade-the-detection-solution-by-windows-feature/

พบช่องโหว่ ‘BootHole’ ในการใช้งาน GRUB2 คาดกระทบ Linux เกือบทุกเวอร์ชัน

นักวิจัยจาก Eclypsium ผู้เชี่ยวชาญด้าน Cybersecurity ได้เปิดเผยช่องโหว่ที่เกิดขึ้นในส่วนประกอบของ GRUB2 ซึ่งเป็น Boot Loader ที่นิยมใช้กันใน Linux  

GRand Unified Bootloader version 2 (GRUB2) เป็น Boot Loader ที่นิยมใช้กันในระบบปฏิบัติการ Linux ซึ่งยังรองรับกับ Windows, macOS ไปจนถึง BSD ได้ด้วย (ศึกษาเพิ่มเติมได้ที่นี่

ประเด็นก็คือนักวิจัยได้มีการค้นพบช่องโหว่ที่ชื่อ BootHole หรือ CVE-2020-10713 ที่ช่วยให้ผู้โจมตีสามารถใช้เพื่อเปลี่ยนแปลงส่วนประกอบของ GRUB2 ให้สามารถไป Execute Code อันตรายในระหว่างขั้นตอน Boot Loading ได้ โดยเจาะลึกกว่านั้นคือผู้โจมตีสามารถเข้าไปแก้ไขไฟล์คอนฟิคตัวหนึ่งที่ชื่อ grub.cfg เพื่อทำ Buffer Overflow ได้ ตามรูปประกอบด้านบน

นอกจากเรื่อง Boot Loader ในระบบ Linux ที่ได้รับผลกระทบแล้ว BootHole ยังส่งผลกระทบกับเซิร์ฟเวอร์ที่ใช้งาน Secure Boot ด้วย เพราะแม้จะมีการ Signed ตัว Firmware เอาไว้ แต่บางอุปกรณ์หรือการตั้งค่าในแต่ละระบบปฏิบัติการไม่ได้ตรวจสอบไฟล์ grub.cfg หมายความว่าผู้โจมตีก็ยังใช้ช่องโหว่นี้ได้อยู่ดี

อย่างไรก็ดีการใช้งานช่องโหว่นี้ก็จำเป็นต้องมีสิทธิระดับแอดมินที่สามารถเข้าไปแก้ไขไฟล์ grub.cfg ได้ และถึงแม้นว่าจะเหมือนยากแต่เอาเข้าจริงคนร้ายก็อาจใช้ช่องโหว่อื่นๆ เพื่อยกระดับสิทธิ์ก่อนได้

ปัจจุบันผู้เชี่ยวชาญได้แจ้งเตือน Vendor ไปหลายรายแล้ว ซึ่งก็มีแพตช์ทยอยออกมาจาก Microsoft, Oracle, Red Hat, Canonical, SUSE, Debian, Citrix, VMware, HP และ Vendor ด้านซอฟต์แวร์อื่นๆ ออกมา ท่านใดสนใจศึกษาเนื้อหาโดยละเอียดสามารถเข้าไปชมได้ที่เว็บของ Eclypsium 

ที่มา :  https://www.zdnet.com/article/boothole-attack-impacts-windows-and-linux-systems-using-grub2-and-secure-boot/ และ  https://www.securityweek.com/boothole-flaw-allows-installation-stealthy-malware-affects-billions-devices

from:https://www.techtalkthai.com/boothole-vulnerability-impacts-most-all-linux-boot-loader/

ผู้เชี่ยวชาญเผยโค้ดสาธิตโจมตี SharePoint ด้วยช่องโหว่ในเดือนนี้ แนะผู้ใช้เร่งอัปเดต

Steven Seeley ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเปิดเผยโค้ดสาธิตการโจมตี SharePoint Server โดยใช้ช่องโหว่ร้ายแรงหมายเลข CVE-2020-1147 ที่ Microsoft เพิ่งจะถูกออกแพตช์แก้ไขเมื่อสัปดาห์ก่อน ด้วยเหตุนี้เองก่อนแฮ็กเกอร์จะประยุกต์แนวทางเพื่อลงมือจริง จึงแนะนำให้ผู้ดูแลเร่งอัปเดตกันครับ

Credit: ShutterStock.com

CVE-2020-1147 เป็นช่องโหว่ระดับร้ายแรง เนื่องจากมีบั๊กในซอฟต์แวร์ที่ไม่ได้เช็ค Source Markup ในไฟล์ XML ซึ่งส่งผลให้ทำ Deserialization จนนำไปสู่การลอบรันโค้ดได้ โดยเพียงแค่ผู้โจมตีอัปโหลดไฟล์ที่ตนสร้างขึ้นให้เซิร์ฟเวอร์ประมวลผล

ทั้งนี้ช่องโหว่จะส่งผลกระทบกับ  .NET Core 2.1, .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 และ 4.8 (ขึ้นกับเวอร์ชันของ Windows ), SharePoint Enterprise Server 2013 Service Pack 1, SharePoint Enterprise Server 2016 , SharePoint Server 2010 Service Pack 2, SharePoint Server 2019, Visual Studio 2017 version 15.9, and Visual Studio 2019 versions 16.0, 16.4 และ 16.6

ปัจจุบัน Seeley ได้สาธิตและให้รายละเอียดของการโจมตีกับ SharePoint Server ไปแล้ว แต่ก็ยังเตือนว่าช่องโหว่นี้อาจถูกดัดแปลงเพื่อโจมตีแอปพลิเคชัน .net ในบริบทอื่นได้ ด้วยเหตุนี้เองผู้ดูแลจึงควรเร่งมืออัปเดตครับ 

ที่มา :  https://www.securityweek.com/poc-released-critical-vulnerability-exposing-sharepoint-servers-attacks

from:https://www.techtalkthai.com/security-expert-details-poc-code-about-cve-2020-1147-to-exploit-sharepoint/

โปรโมชันพิเศษจาก Fortinet: PDPA Starter Kit & Secure SD-Branch เริ่มต้นที่ 14,500 บาท

Fortinet ออก 2 โปรโมชันพิเศษสำหรับธุรกิจ SMB ที่ต้องการเตรียมความพร้อมเพื่อรองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคล และองค์กรที่เพิ่งเปิดสำนักงานสาขาใหม่หรือต้องการยกระดับการเชื่อมต่ออย่างมั่นคงปลอดภัยผ่าน Secure SD-WAN ในราคาเริ่มต้นเพียงเดือนละ 14,500 บาท

โปรโมชันที่ 1: Fortinet PDPA Starter Kit

สำหรับองค์กรและบริษัทที่ต้องการปรับปรุง/อัปเกรดระบบรักษาความมั่นคงปลอดภัยเพื่อให้สอดคล้องกับข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลปี 2562 ที่จะบังคับใช้ในปีหน้า สามารถเลือกใช้บริการ Fortinet PDPA Start Kit ได้ในราคาเริ่มต้นเดือนละ 14,500 บาท โดยมีรายละเอียดดังนี้

ชุดที่ 1: Mini Set ประกอบด้วย

  • FortiGate 200 E Series
  • FortiGate Cloud
  • FortiMail Cloud จำนวน 100 Accounts
  • FortiToken Mobile จำนวน 10 Users

ราคาเริ่มต้นที่ 14,500 บาทต่อเดือน

ชุดที่ 2: Medium Set ประกอบด้วย

  •  FortiGate 400 E Series
  • FortiGate Cloud
  • FortiMail Cloud จำนวน 200 Accounts
  • FortiToken Mobile จำนวน 20 Users

ราคาเริ่มต้นที่ 26,500 บาทต่อเดือน

ประโยชน์ที่ท่านจะได้รับ

  • ลดการลงทุน CapEx สามารถบริหารค่าใช้จ่ายรายเดือนได้
  • ควบคุมการเข้าใช้งานในเครือข่าย (Access Control) ได้อย่างครอบคลุม
  • ป้องกันข้อมูลสำคัญขององค์กร ข้อมูลพนักงาน และข้อมูลลูกค้ารั่วไหลสู่สาธารณะ
  • ควบคุมให้ข้อมูลถูกต้องอยู่เสมอ (Data Integrity)
  • ป้องกัน Email Phishing และมัลแวร์ที่แฝงมากับไฟล์แนบอีเมลด้วย FortiMail Cloud
  • 2-Factor Authentication เพื่อเพิ่มความมั่นคงปลอดภัยในการใช้งาน VPN จากผู้ใช้งานภายนอกด้วย FortiToken Mobile
  • เชื่อมต่อสำนักงานแต่ละสาขาอย่างมั่นคงปลอดภัยด้วย Fortinet Secure SD-WAN
  • ใช้งานง่าย สามารถบริหารจัดการ เก็บ Log และจัดทำรายงานสรุปการใช้งานผ่าน FortiCloud ย้อนหลังได้ 365 วัน

** แถมฟรี Advanced Replacement ตลอดการใช้งาน **

โปรโมชันที่ 2: Fortinet Secure SD-Branch

ตอบโจทย์ครบทั้งโซลูชัน WAN Edge (SD-WAN), Wired & Wireless และ Network Firewall ไปกับ Fortinet ที่จะช่วยปกป้องสำนักงานสาขาให้มีความมั่นคงปลอดภัย ลดค่าใช้จ่ายและความซับซ้อนในการบริหารจัดการ รวมไปถึงเพิ่มประสิทธิภาพการใช้งานแอปพลิเคชันผ่าน WAN Links ประเภทต่างๆ ไม่ว่าจะเป็น Internet, MPLS หรือ LTE ในราคาเพียง 58,000 บาท

  • FortiGate-60F UTP Bundle
  • FortiGate Cloud
  • FortiClient Security Fabric Agent with EMS จำนวน 50 Accounts
  • FortiAP-221e Wireless AP
  • FortiSwitch-124E Secure L2 Switch 24 GE Ports + 4 SFP Slots

ประโยชน์ที่ท่านจะได้รับ

  • เหมาะสำหรับสาขาที่ต้องการประสิทธิภาพสูง รองรับความเร็วสูงสุดถึง 700 Mbps เมื่อเปิดใช้งานฟีเจอร์ทั้ง SD-WAN, Firewall, IPS, Application Control และ Malware Protection
  • ปกป้องอุปกรณ์ของผู้ใช้ให้มีความมั่นคงปลอดภัยด้วย FortiClient Security Fabric Agent จำนวน 50 เครื่อง
  • เครือข่าย Wi-Fi ความเร็วสูง รองรับมาตรฐาน 802.11AC wave2 ด้วย FortiAP
  • เชื่อมต่อเครือข่าย LAN ด้วย FortiSwitch ที่รองรับพอร์ตการใช้งานระดับ Gigabit มากถึง 24 Ports
  • ใช้งานง่าย สามารถบริหารจัดการ เก็บ Log และจัดทำรายงานสรุปการใช้งานผ่าน FortiCloud ย้อนหลังได้ 365 วัน

** ทั้งสองโปรโมชันนี้หมดเขตวันที่ 31 ธันวาคม 2020 นี้ **

ผู้ที่สนใจสามารถสอบถามรายละเอียดเพิ่มเติมและสั่งซื้อผลิตภัณฑ์ได้ที่ https://secure.fortinet.com/LP=8803

from:https://www.techtalkthai.com/fortinet-promotion-pdpa-starter-kit-and-secure-sd-branch/

Microsoft ออกบริการคลาวด์ช่วยค้นหามัลแวร์จาก Memory Snapshots ของ Linux

Microsoft ได้เปิดตัวบริการ Cloud หรือโปรเจ็ค Freta ที่ช่วยผู้ใช้งานค้นหา Rootkit หรือมัลแวร์ที่ทำงานซับซ้อนบน Linux ได้ฟรี โดยอาศัยการวิเคราะห์จาก Image ที่อัปโหลดขึ้นไป

credit : Securityweek

Freta เป็นบริการบนคลาวด์ที่ผู้ใช้งานสามารถอัปโหลด Image ของ Linux ขึ้นไป แม้อาจจะฟังดูแปลกๆ ว่าบริการจาก Microsoft แน่หรือ แต่ใช่ครับถึงยังไงก็จะมีการรองรับ Windows ได้ในอนาคต ซึ่งจุดประสงค์ก็คือการให้บริการแบบ Agentless เพื่อทำการพิสูจน์ทราบการมีอยู่ของมัลแวร์ใน VM ไม่ว่าจะเป็น Rootkit หรือ Cryptominer โดยการวิเคราะห์ข้อมูลใน image ที่ได้รับมา

โดยหลักการก็คือ Freta มีการติดตามข้อมูลจาก โปรเซส, Global Value และ Address, in-memory file, Debugged Process, Kernel Component, Networks, ARP Table, การเปิดไฟล์, การเปิด Socket และ Unix Socket เป็นต้น ซึ่ง Microsoft คุยว่าบริการสามารถช่วยค้นหามัลแวร์ได้อย่างไม่ให้มัลแวร์จับได้ง่ายๆ รวมถึงมัลแวร์จะไม่สามารถหลบซ่อนตัวเองจากเซ็นเซอร์หรือไม่สามารถตรวจพบเซ็นเซอร์และตอบสนองการตรวจจับได้

ปัจจุบัน Freta ให้บริการแล้วที่นี่ ซึ่งสามารถให้บริการได้ผ่านทั้ง Portal หรือ REST Python API ก็ได้ นอกจากนี้ในอนาคตก็อาจมีการเพิ่มกลไกด้าน AI เพื่อช่วยตรวจจับมัลแวร์ใหม่ๆ ได้ต่อไปในอนาคต

ที่มา :  https://www.securityweek.com/free-microsoft-service-looks-os-memory-snapshots-find-malware

from:https://www.techtalkthai.com/microsoft-preject-freta-a-cloud-service-for-detect-linux-malware/

แจกฟรีตัวถอดรหัสแรนซัมแวร์ ThiefQuest

ThiefQuest หรือ EvilQuest เป็นแรนซัมแวร์ฝั่ง macOS ตัวหนึ่งที่มีการเคลื่อนไหวเมื่อไม่นานนี้ ล่าสุดผู้เชี่ยวชาญจาก SentinelOne ไว้หาทางสร้างเครื่องมือแก้ไขออกมาได้แล้ว

ThiefQuest เป็นแรนซัมแวร์ที่มีความฉกาจตัวหนึ่ง เนื่องจากมีฟังก์ชันหลายหลายทั้ง Keglogger, Reverse Shell, Backdoor และการขโมยเงินดิจิทัล รวมถึงเป้าหลักอย่างการเข้ารหัสไฟล์ โดยกระจายผ่านทางซอฟต์แวร์เถื่อนเป็นหลัก 

อย่างไรก็ตามมัลแวร์ยังไม่สมบูรณ์แบบนัก ทำให้ท้ายที่สุดแล้ว SentinelOne ได้วิเคราะห์การทำงานของ ThiefQuest พบว่ามีการใช้ Symmetric Encryption ด้วยอัลกิริทึม RC2 และมีการเก็บคีย์ไว้ในแต่ละไฟล์ที่ถูกเข้ารหัส ด้วยเหตุนี้เองจึงทำโปรแกรมถอดรหัสซึ่งสามารถดาวน์โหลดได้จากเว็บไซต์ที่นี่ รวมถึงบริษัทยังได้ทำวีดีโอสอนวิธีการใช้งานด้วย

ที่มา :  https://www.zdnet.com/article/free-decryptor-available-for-thiefquest-ransomware-victims/

from:https://www.techtalkthai.com/free-thieftquest-ransomware-decryptor/

NetONE Webinar: Rapidly Secure Your Workforce for the New Normal 16 ก.ค. 2020 10.00

NetONE ร่วมกับ Cisco ขอเชิญท่านร่วมงานสัมมนาออนไลน์เพื่ออัพเดท Cisco Security Solution ซึ่งจะติดตามป้องกันให้กับคนในองค์กรของทุกท่าน ปลอดภัยจากภัยคุกคามในยุค New Normal ที่ทุกคนสามารถทำงานได้ทุกที่ไม่ว่าจะอยู่ที่ไหน (Work Secure from Anywhere, Any Devices.)

มาร่วมเพิ่มประสิทธิภาพในด้านการป้องกันระบบเครือข่ายและลดความซับซ้อนด้านการบริหารจัดการด้วย NetONE MSSP พร้อมทั้งร่วมตอบคำถามเพื่อลุ้นรับรางวัลอีกมากมาย

Webinar: Rapidly Secure Your Workforce for the New Normal

Date & Time: Thu 16 July 2020 at 10:00 a.m – 12:00 p.m.

Agenda

10:00 Opening by NetONE โดย คุณสุรพงษ์ ปวีณอภิชาต – President, NetONE NetworkSolution
10:10 Simplify Cyber Protection by NetONE MSSP โดย คุณจารุ สถิตานุชิต – Senior Network Engineer
11:00 Enhance your endpoint detection and response with Cisco SecureX โดย คุณพีรวัธน์ กิตติวัชราพงษ์ – Technical Solutions Architect, Cisco SecureX
11:30 Q&A
11:45 ร่วมกิจกรรมลุ้นรับรางวัลจากการตอบแบบสอบถาม **

** ขอสงวนสิทธิ์ผู้มีสิทธิ์เข้าร่วมจับรางวัล หูฟัง XIAOMI TRUE WIRELESS EARBUDS BASIC BLACK สำหรับผู้ที่ลงทะเบียนออนไลน์ล่วงหน้า และ Log in เข้าร่วมงาน 50 ท่านแรก และอยู่ร่วมฟังสัมมนาจนจบงาน แล้วกรอกแบบสอบถามออนไลน์เรียบร้อย ต้องเป็นลูกค้าผู้ใช้งาน (End user) และลงทะเบียนเข้าร่วมงานด้วย email ขององค์กรเท่านั้น

from:https://www.techtalkthai.com/netone-webinar-rapidly-secure-your-workforce-for-the-new-normal/

[Video Webinar] Maintaining Business Continuity During Times of Uncertainty by CrowdStrike

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Vintcom | CrowdStrink Webinar เรื่อง “Maintaining Business Continuity During Times of Uncertainty” เพื่อเรียนรู้การปกป้องอุปกรณ์ต่างๆ ทั้ง PC, ระบบ VDI/Desktop as a Service รวมไปถึง Cloud Workload และ Container ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

ผู้บรรยาย: คุณธัชพล บุญดำเนิน Security Consultant จาก Vintcom Technology

ในสถานการณ์ปัจจุบันที่มีการเปลี่ยนแปลงอย่างรวดเร็วในยุค Digital Transformation และการระบาดของไวรัส Covid-19 ส่งผลต่อการปรับเปลี่ยนรูปแบบการทำงานขององค์กรและคนทั่วทั้งโลก ตัวอย่างเช่น การทำงานจากระยะไกล การใช้งานบนระบบ Cloud และการประชุมออนไลน์ ซึ่งเปิดโอกาสให้ผู้ไม่ประสงค์ดีทำการโจมตีได้มากขึ้น ดังนั้นเราจึงต้องการการป้องกันบนอุปกรณ์ต่างๆ ไม่ว่าจะเป็นเครื่องคอมพิวเตอร์ของผู้ใช้งาน การใช้งานระบบ VDI หรือ Desktop as a Service และการใช้งาน Cloud Workload หรือ Container

CrowdStrike มีโซลูชันในการป้องกันปัญหาดังกล่าวได้ ด้วย Cloud Threat Intelligence และ Single Lightweight Agent ซึ่งสามารถตรวจสอบการทำงานของระบบได้ในเชิงลึก ป้องกันการโจมตีแบบ Real-time ด้วยความสามารถของ AI, ML, IOAs และ Threat Hunting Service ที่มีเฉพาะในโซลูชันของ CrowdStrike เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างมั่นคงปลอดภัย

หัวข้อการบรรยาย

  • วิถีการทำงานใหม่ (New Normal) หลังยุค Covid-19
  • การนำเทคโนโลยีมาปรับใช้ในธุรกิจเพื่อรองรับการทำงานจากภายนอกสถานที่
  • ความท้าทายในการรับมือกับภัยคุกคามไซเบอร์รูปแบบใหม่
  • แนะนำโซลูชันจาก CrowdStrike เพื่อรักษาความต่อเนื่องในการดำเนินธุรกิจ
  • สาธิตการใช้ CrowdStrike

from:https://www.techtalkthai.com/video-webinar-maintaining-business-continuity-during-times-of-uncertainty-by-crowdstrike/

พบแรนซัมแวร์ตัวใหม่มุ่งโจมตีผู้ใช้งาน macOS ‘EvilQuest’

ผู้เชี่ยวชาญหลายฝ่ายได้เตือนถึงแรนซัมแวร์ตัวใหม่ที่ชื่อ ‘EvilQuest’ โดยเน้นการโจมตีไปที่ macOS นอกจากนี้ยังมีความสามารถอื่นๆ แฝงมาเช่นติดตั้ง Keylogger หรือควานหาไฟล์กระเป๋าเงินดิจิทัล

EvilQuest เป็นแรนซัมแวร์ตัวใหม่ที่มีพฤติกรรมมากกว่าแรนซัมแวร์ทั่วไป คือหลังจากที่เข้าไปได้จะทำการเข้ารหัสทันที แต่หลังจากนั้นจะไปติดตั้ง Keylogger, Reverse Shell และพยายามหาไฟล์ที่เกี่ยวกับกระเป๋าเงินดิจิทัลด้วย โดยผู้เชี่ยวชาญพบว่ามัลแวร์ได้แฝงตัวมากับซอฟต์แวร์เถื่อนหลายช่องทางตาม Torrent หรือเว็บกระทู้ต่างๆ 

สำหรับเหยื่อจะมีการเข้ารหัสไฟล์นามสกุลเหล่านี้ประกอบด้วย .pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat นอกจากนี้ยังพบความพยายามปรับแต่งไฟล์ของ Google Chrome Update ซึ่งยังไม่ทราบแน่ชัดว่าทำไปทำไม เพราะ Google ก็ไม่อนุญาตใครมาแก้ไขไฟล์ตัวเองได้อยู่ดี ปัจจุบันจากแหล่งที่น่าเชื่อถือที่สุดคือ Malwarebytes for Mac น่าจะมีการอัปเดตให้ป้องกัน EvilQuest ได้ แต่ทางที่ดีอย่าให้หลุดเข้ามาได้แต่แรกเลยจะดีกว่า…

ที่มา :  https://www.zdnet.com/article/new-evilquest-ransomware-discovered-targeting-macos-users/

from:https://www.techtalkthai.com/new-macos-ransomware-evilquest/

Microsoft ออกแพตช์ฉุกเฉินอุดช่องโหว่ร้ายแรงให้ Windows 10 และ Server 2019

Microsoft ได้ออกแพตช์นอกรอบเพื่อแก้ไขปัญหาช่องโหว่ 2 รายการในไลบรารี Windows Codecs ซึ่งกระทบกับ Windows Server 2019 / Core และ Windows 10 1709 ขึ้นไป

Credit: alexmillos/ShutterStock

ช่องโหว่ 2 รายการคือ CVE-2020-1425 และ CVE-2020-1457 โดยรายการแรกถูกจัดเป็นช่องโหว่ร้ายแรง ที่ทำให้คนร้ายสามารถได้รับข้อมูลเพื่อแทรกแซงระบบได้ ในขณะที่ช่องโหว่หลังมีความรุนแรงระดับสำคัญ ที่ทำให้คนร้ายสามารถลอบรันโค้ดได้ อย่างไรก็ดีการใช้งานทั้งสองช่องโหว่จะต้องมีโปรแกรมไปรันไฟล์รูปที่สร้างขึ้นมาแบบพิเศษเสียก่อน 

สำหรับผู้ใช้งานจะได้รับการอัปเดตอัตโนมัติหรือสามารถอัปเดตด้วยตัวเองได้ที่นี่ นอกจากนี้ยังไม่มีวิธีการบรรเทาปัญหาหรือกล่าวคือต้องอัปเดตเท่านั้น

ที่มา :  https://www.bleepingcomputer.com/news/security/microsoft-releases-oob-security-updates-for-windows-10-rce-bugs/

from:https://www.techtalkthai.com/ms-out-of-band-patch-for-cve-2020-1425-and-cve-2020-1457/