System & Network & CyberSecurity

25/08/2025

ขออนุญาตโปรโมท Service ขายของนะฮะ!!!!!
🔒 Phishing Simulation Service
คุณเคยสงสัยไหมว่า… พนักงานในองค์กรของคุณจะ “คลิก” อีเมลฟิชชิ่งหรือไม่?

บริการ Phishing Simulation ของเรา จะช่วยให้องค์กรของคุณ:
✔️ จำลองการโจมตีด้วยอีเมลฟิชชิ่งเสมือนจริง
✔️ ประเมินระดับความเสี่ยงจากพฤติกรรมของผู้ใช้งาน
✔️ สร้างรายงานเชิงลึก เพื่อให้คุณปรับปรุงการอบรม Security Awareness
✔️ ลดโอกาสที่องค์กรจะตกเป็นเหยื่อการโจมตีทางไซเบอร์

Methodology:
1. Planning
2. Campaign Design and Development
3. Ex*****on Phishing Campaign
4. Monitoring and Data Collection
5. Analysis and Reporting

Simulation:
1. Message/Mail
2. Attachment
3. Fake Website
4. Forms
5. Downlaods

🚀 ป้องกันได้ เริ่มจาก “การรู้ทัน”
สามารถติดต่อเข้ามาทาง Page ได้เลยครับ
#งานคุณภาพในราคาประหยัด

28/06/2025

-ir


Script IR POC: จากที่เคยทำข้อมูลไว้นานแหละตอนไปเก็บข้อมูลเกี่ยวกับการทำ Incident Reponse ในแบบ Live IR หรือ ไปเก็บข้อมูลเครื่องที่ถูกโจมตีทาง Cyber Attack ก็เลยจะเอามา Share Script ที่ผมใช้ -- สำหรับ Script นี้ไม่ใช้จะเก็บแค่นี้นะ ...Script Live IR ตรงนี้ จะทำตอน เก็บข้อมูลในส่วนของ อื่น ๆ เสร็จหมดแล้ว เช่น

1. Volatile (หน่วยความจำไม่ถาวร Network Connection ที่เปิดอยู่ หรือ Running Process กำลังทำงานอยู่) หรือ RAM นั้นเอง คือ เอาง่าย ๆ คือ Dump Memory แหละ 555

2. Non-Volatile (หน่วยความจำถาวร) คือ ข้อมูลที่ยังอยู่แม้เครื่องจะถูกปิด อยู่ใน Hard disk, SSD, USB drive, ROM เป็นต้น คือ เอาง่าย ๆ คือ Dump Disk to Image นั้นเอง

หลังจากที่ได้พวกนี้แล้ว... ก็จะมา Run Script Live IR เพื่อให้เก็บข้อมูลได้อย่างครบถ้วน และจะเอามาวิเคราะห์ง่าย ประติดประต่อ ภาพได้ง่าย

เนื้อหาในบทความนี้ ผมสรุปแนวทางและ Script ที่ใช้ในสถานการณ์ Live IR เพื่อให้เพื่อน ๆ สาย Blue Team, SOC Analyst หรือ Incident Responder ได้นำไปปรับใช้ในองค์กรหรือฝึกซ้อมใน Lab มันดีเลยนะ แบบว่า ลอง ไป Download Script Automate Attack มาดู และก็ มาลอง Run Script Live IR เพื่อ Investigate & Analysis Aritifacts & Evidence อะ มันเห็นภาพได้มากขึ้นว่า ก่อน Run & หลัง Run มันแตกต่างกันไหม แบบว่า เอา Result มา Compare กัน จะรู้ว่า อะไรเปลี่ยนแปลงไปมั่ง ฮะ!!!!

👉 ผมเขียนบทความไว้ที่นี่--วิธีการ Run Script: ซึ่งผมก็ไปหา Download จาก Github มาลองเล่น แหละครับ และเห็นหน้าสนใจเลยนำมาทดสอบ และ จัดทำเป็นการ Share ฮะ!!!
🔗 https://so-sonajaa.medium.com/powershell-live-ir-poc-a87d5aeb8197

Ref:
https://github.com/Bert-JanP/Incident-Response-Powershell
https://github.com/archanchoudhury/IR-Flash

📌 หวังว่าจะเป็นประโยชน์ครับ ใครมีเทคนิคเสริมอะไรเพิ่มเติม แลกเปลี่ยนกันได้เลย 🙌
#ใครเห็นด้วยหรือมีความคิดเห็นยังไงมาแชร์กันได้นะครับขอบคุณทุกคนที่เข้ามาอ่านครับ!
#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

Script Live Incident Reponse and Check Process for Investigate & Analysis

26/06/2025

#เป็นเพียงแนวคิดหรือความเห็นส่วนตัวของผู้เขียนตัวของผู้เขียนผิดพลาดประการใดขออภัยด้วยครับจัดทำเพื่อแชร์ความรู้เท่านั้นครับ 🙏

มีของดีมาให้เล่น___ต้องเล่นซะหน่อย ละ -- >"BAS" เจาะลึกในแต่ละ ขั้นตอนไปเลย ฮะ ฉบับ สงสัยแบบคนสาย Investigate & Analysis or DFIR

🔍 Breach and Attack Simulation (BAS)
ช่วงนี้ Tools แนวอัตโนมัติ (Automate) กำลังมาแรงมากครับ ผมเองก็ได้มีโอกาสทดสอบ หรือทำ POC (Proof of Concept)
กับ Solution BAS หรือชื่อเต็ม ๆ ว่า Breach and Attack Simulation แต่ด้วยนิสัย "ซน ๆ" อยากรู้อยากเห็น เลยต้องลองให้สุดครับ 555 😆

🧪 โซลูชัน BAS ที่ผมได้ทดลอง
มี 2 ตัวหลัก ๆ ที่ได้ลองใช้:
✅ Cymulate
✅ Picus

ทั้งสองตัวนี้ถือว่าเป็นแบรนด์ดังด้าน BAS อยู่แล้ว มี Feature ที่คล้ายกัน โดยจะมีการจำลองการโจมตี (Simulate Attack) ผ่านช่องทางต่าง ๆ ที่เรียกว่า Modules หรือ Vector เช่น

📦 Modules ที่ใช้จำลองการโจมตี (Simulation)
Modules Solution
1. Network: IPS / IDS / NAPT
2. Endpoint: AV / EDR
3. WAF: Web Application Firewall
4. Email: Mail Gateway / Email Security
5. DLP: Data Loss Prevention
6. Proxy: Proxy / Secure Web Gateway (SWG)

🤔 ความอยากรู้อยากเห็นเริ่มทำงาน
ตอนที่ผมเริ่ม Simulate Attack ในแต่ละ Module
ก็เกิดคำถามขึ้นว่า... “เฮ้ย! ขณะที่ระบบกำลัง Simulate มันไปทำอะไรกับเครื่อง Target บ้างหรือเปล่า?”

เลยเริ่มสงสัยแบบคนสาย DFIR ที่ยังไม่อยากลืม Skill 🔍 ผมเลยตั้งใจจะ Focus ทดสอบใน Module: Endpoint/DLP/Network
เพื่อดูว่าเกิด Behavior อะไรบ้าง เช่น:
** มีไฟล์อะไร Drop ลงมาไหม?
** มี Malicious Activity หรือเปล่า?
** ใช้ TTP (Technique, Tactic, Procedure) แบบไหน?
** ทำอะไร, ที่ไหน, และอย่างไร?

🎯 เป้าหมายของผม
ผมอยากเห็นจริง ๆ ว่า "เวลา Simulate กับเครื่องเรา มันแค่ยิง Packet หรือมันมีไฟล์หรือ Script แปลก ๆ มารันบนเครื่องเป้าหมายเลยหรือเปล่า?"
(จะได้ไม่โดนหลอกว่าแค่ "จำลอง" แต่จริง ๆ เล่นของจริง 🤣)

📢 โปรดติดตาม EP ถัดไป...
ตอนต่อไป ผมจะ ลงมือทดสอบแบบเจาะลึกใน Module: Endpoint/DLP/Network ในรูปแบบ Host Forensics and Network Forensics นะครับ และจะมาแชร์ว่า... “ระหว่าง Simulation นั้น มันทำอะไรกับเครื่องของเราบ้าง?” มี Log / Process / Behavior / Malicious Activity อะไรเกิดขึ้นหรือเปล่า?

#หวังว่าจะเป็นประโยชน์และช่วยให้ทุกคนเห็นภาพชัดขึ้นครับ!
#ใครเห็นด้วยหรือมีความคิดเห็นยังไงมาแชร์กันได้นะครับขอบคุณทุกคนที่เข้ามาอ่านครับ!
#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

14/06/2025

#เป็นเพียงแนวคิดหรือความเห็นส่วนตัวของผู้เขียน ผิดพลาดประการใดขออภัยด้วยครับ จัดทำเพื่อแชร์ความรู้เท่านั้นครับ 🙏

Medium: https://so-sonajaa.medium.com/phishing-bypass-2fa-awareness-5bf919063d52
POC: https://www.youtube.com/watch?v=E-2Qnb5n-bg

😯 เกิดความสงสัย… ก็ต้องลองพิสูจน์ดู!
เคยคิดไหมครับว่า
“เปิดใช้ 2FA แล้ว… ก็น่าจะปลอดภัย?”

แต่เดี๋ยวก่อน!
ถ้าแฮกเกอร์ส่ง ลิงก์ปลอม (Phishing) มาให้เรา
แล้วเราดันเผลอกรอก Email + Password + 2FA ลงไปเองล่ะ?

ต่อให้เรามี Security Control แน่นแค่ไหน
Hacker ก็ ยังเข้าไปในระบบเราได้ อยู่ดีนะครับ!

🧪 ตัวอย่าง PoC — Phishing Attack Bypass 2FA
แฮกเกอร์ใช้เทคนิคหลอกลวงผ่านลิงก์ Phishing
โดยสร้างเว็บไซต์ปลอมที่หน้าตาเหมือนของจริง (เช่น Microsoft Login)

เมื่อเหยื่อหลงเชื่อและกรอกข้อมูล (Email, Password, รหัส 2FA)
แฮกเกอร์จะใช้เครื่องมือ (เช่น Evilginx) เพื่อขโมย Session Cookie
แล้วเอา Cookie นี้ไปล็อกอินเข้าระบบ โดยไม่ต้องใช้รหัส 2FA ซ้ำ

💥 วิธีการโจมตีแบบเข้าใจง่าย
🎯 เป้าหมาย: ขโมย Session ของเหยื่อ หลังจากยืนยันตัวตนแล้ว

ขั้นตอนการโจมตี:

1. Hacker สร้างเว็บปลอมหน้าตาเหมือนของจริง (เช่น Microsoft 365 , Microsoft Azure , etc)
2. ส่งลิงก์ไปทางอีเมลหรือแชท (Phishing)
3. เหยื่อเผลอกดเข้าไป แล้วกรอก Email + Password + รหัส 2FA
4. เว็บไซต์ปลอมส่งข้อมูลนี้ไปยังเว็บจริงแบบ Real-time
5. เมื่อระบบจริงยืนยันสำเร็จ จะส่ง Session Cookie กลับมา
6. Hacker ดักเอา Cookie Session นี้ไว้ แล้วนำไปใช้เข้าสู่ระบบ Microsoft
7. Hacker ไม่ต้องใส่รหัสผ่านหรือ 2FA ซ้ำ แค่มี Cookie ก็เข้าได้เลย

Reference:
https://github.com/kgretzky/evilginx2
https://www.youtube.com/watch?v=E-2Qnb5n-bg

# หวังว่าจะเป็นประโยชน์และช่วยให้ทุกคนเห็นภาพชัดขึ้นครับ!
#ใครเห็นด้วยหรือมีความคิดเห็นยังไงมาแชร์กันได้นะครับขอบคุณทุกคนที่เข้ามาอ่านครับ!
#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

02/06/2025

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

ขออนุญาต Share เกี่ยวกับความเสี่ยงใน Veeam Backup & Replication ต่อจากโพสต์ก่อนหน้านี้ เพื่อให้เห็นภาพมากขึ้นครับ

โดยปกติแล้ว ถ้าเราต้องการให้ Veeam Backup & Replication ทำการ Backup Target อะไร
✅ เราจำเป็นต้อง Add Configure Target ➜ และใส่ Credential (ชื่อผู้ใช้งาน / รหัสผ่าน) ของระบบนั้น ๆ
เช่น ➜ Vmware vCenter, Windows Physical, Linux, หรืออื่น ๆ
สิ่งที่ Add Target ทั้งหมด ➜ ก็คือระบบสำคัญ (Production Systems) ของเรา

เมื่อเราทำการ Add Configure Target เสร็จเรียบร้อย ➜ Credential ทั้งหมดที่เราใส่จะถูกเก็บลงใน Database ของ Veeam

❗️ ปัญหาคือ Credential ที่ Veeam เก็บใน Database (SQL หรือ PostgreSQL) สามารถถูก Extraction (ดึงข้อมูล) ได้
Attacker ที่ได้สิทธิ์ Local Admin จะสามารถดึง Plaintext Credential ได้ทั้งหมด

VDO: https://www.youtube.com/watch?v=K4XvQ2w5pDk
📌 **รายละเอียด Proof of Concept (POC):**
- 0 – 14 ➜ Reset All Password (vCenter, ESXi, Windows, Linux) เพื่อจำลองการ Reset
- 14 – 27 ➜ Add Server for Backup เพื่อจำลองการตั้งค่าใหม่
- 27 – 36 ➜ Credential Extraction (Plaintext) เพื่อแสดงให้เห็นว่า Password ที่เก็บโดย Veeam สามารถอ่านได้แบบ Plaintext

👉 GitHub: https://github.com/Mr-ESSO/Veeam-Plaintext-Credential-Extraction-POC
👉 Medium: https://so-sonajaa.medium.com/ransomware-esxi-ep-2-and-veeam-plaintext-credential-extraction-c65809a9297d

💡 หวังว่าจะเป็นประโยชน์และช่วยให้ทุกคนเห็นภาพชัดขึ้นครับ!

#ใครเห็นด้วยหรือมีความคิดเห็นยังไงมาแชร์กันได้นะครับขอบคุณทุกคนที่เข้ามาอ่านครับ!
#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

I would like to share a security concern related to credential extraction in the Veeam Backup & Replication server. This concern highlights how an attacker w...

01/06/2025

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

หลังจากไม่ได้อัปเดตเนื้อหามานาน (เพราะติดงานเยอะครับ 😅) วันนี้พอมีเวลาว่าง เลยอยากมาแชร์ PoC (Proof of Concept) เกี่ยวกับ Veeam Backup & Replication ที่อาจทำให้หลายคนยังไม่รู้ว่ามี ความเสี่ยงการเก็บรหัสผ่าน (plaintext) ครับ

🔍 ปัญหาและความเสี่ยงคืออะไร?
1️⃣ เคยสงสัยไหมว่าทำไมหลาย ๆ เคส Ransomware Attack บน VMware (เช่น การ Encryption Datastore) ถึงทำได้ง่ายและรุนแรงมาก?
➡️ เพราะระบบ Server แทบทั้งหมดรันอยู่บน VMware vSphere ถ้าถูกโจมตี ➜ ทุกอย่างหยุดชะงัก!

2️⃣ อีกหนึ่งคำถามที่หลายคนสงสัย:
Attacker รู้รหัสผ่านของ VMware vCenter / VMware ESXi ได้อย่างไร?
ทั้ง ๆ ที่ปกติ ESXi ไม่ได้เปิด SSH เอาไว้ แต่ attacker กลับสามารถ อัปโหลดไฟล์ ransomware เข้าไปใน datastore และสั่งรันได้ง่าย ๆ

💡 แล้วเกี่ยวอะไรกับ Veeam?
โดยปกติแล้ว ถ้าเราต้องการให้ Veeam Backup & Replication ทำการ Backup Target อะไร
✅ เราจำเป็นต้อง Add Configure Target ➜ และใส่ Credential (ชื่อผู้ใช้งาน / รหัสผ่าน) ของ Product นั้น ๆ
เช่น ➜ Vmware vCenter, Windows Physical, Linux, หรืออื่น ๆ
สิ่งที่ Add Target ทั้งหมด ➜ ก็คือระบบที่สำคัญ (Production Systems) ของเรา
เมื่อเราทำการ Add Configure Target เสร็จเรียบร้อยแล้ว ➜
Credential ทั้งหมดที่เราใส่จะถูกเก็บลงใน Database ของ Veeam
โดย Database ของ Veeam จะมีอยู่ 2 ประเภทหลัก ๆ:
1️⃣ Microsoft SQL Server (ใช้ใน Veeam 11 และต่ำกว่า)
2️⃣ PostgreSQL Server (เพิ่มมาให้เลือกใน Veeam 12 เป็นต้นไป)

🔴 ปัญหาคือ Credential ที่ Veeam เก็บใน Database เหล่านี้ (SQL หรือ PostgreSQL) สามารถถูก Extraction (ดึงข้อมูล) ได้ Attacker ที่ได้สิทธิ์ Local Admin จะสามารถดึง Plaintext Credential ได้ทั้งหมด!

ไปอ่านกันต่อที่ Medium: https://so-sonajaa.medium.com/ransomware-esxi-ep-2-and-veeam-plaintext-credential-extraction-c65809a9297d

#ใครเห็นด้วยหรือมีความคิดเห็นยังไงมาแชร์กันได้นะครับขอบคุณทุกคนที่เข้ามาอ่านครับ!
#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

09/02/2025

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

Medium: https://so-sonajaa.medium.com/phishing-access-tokens-microsoft-email-bb1dfea9d4c7

Phishing Access Tokens > Initial Access สู่ Azure AD และ Microsoft 365:
ช่วงนี้ผมกำลังสนใจเรื่อง Azure AD (Entra ID) และ Microsoft 365 โดยเฉพาะวิธีที่ Attacker ใช้ Phishing Attack เพื่อเข้าถึงระบบองค์กร (Initial Access) ซึ่งเป็นหนึ่งในเทคนิคที่ถูกใช้บ่อยเพราะว่า จริง ๆแล้ว ไม่ต้องทำอะไรมากเลย แค่ ทำ Phishing หลอกให้หลงเชื่อเท่านั้น 5555!!!

ความเสี่ยงจากการโจมตีแบบ Phishing
หาก ผู้ใช้ (User) หรือ ลูกค้า (Client) ไม่สามารถแยกแยะอีเมลปลอมได้ อาจทำให้เกิดความเสี่ยงร้ายแรง เช่น:

1️⃣ คลิกลิงก์ปลอม ที่พาไปยัง หน้า Login ปลอมของ Microsoft 365
2️⃣ หลงเชื่อและกรอกข้อมูลบัญชี (Username & Password) ซึ่งทำให้แฮกเกอร์ขโมยข้อมูลไปได้
3️⃣ แฮกเกอร์สามารถขยายสิทธิ์ (Privilege Escalation) และเคลื่อนที่ภายในระบบ (Lateral Movement) เพื่อเข้าถึงข้อมูลที่สำคัญขึ้น เป็นต้น

ผลกระทบที่อาจเกิดขึ้นกับองค์กร
หากบัญชีของผู้ใช้ถูกแฮก องค์กรอาจเผชิญกับปัญหาดังต่อไปนี้:

🔹 ข้อมูลสำคัญรั่วไหล — เช่น อีเมล, ไฟล์ใน OneDrive หรือเอกสารใน SharePoint
🔹 บัญชีที่ถูกขโมยถูกใช้ในการโจมตีองค์กรอื่น (Business Email Compromise — BEC)
🔹 ความเสี่ยงต่อการแพร่กระจายมัลแวร์ หรือ Ransomware ภายในเครือข่ายองค์กร
🔹 เสียชื่อเสียงและความไว้วางใจจากลูกค้า

💡 สรุป:
หาก ผู้ใช้เผลอคลิกลิงก์ Phishing และกรอกข้อมูล แฮกเกอร์สามารถใช้บัญชีของเขาเพื่อเข้าถึง Azure AD และ Microsoft 365 ซึ่งอาจเป็นจุดเริ่มต้นของการโจมตีที่ร้ายแรง ดังนั้น องค์กรต้องให้ความสำคัญกับ Security Awareness และมาตรการป้องกันที่เหมาะสม เพื่อป้องกันการโจมตีแบบนี้ คือแบบว่า ถ้าตรวจสอบดี ๆ และมี Security Awareness ปัญหาแบบนี้อาจจะไม่เกิดก็ได้ครับ

ใครเห็นด้วยหรือมีความคิดเห็นยังไงมาแชร์กันได้นะครับ ขอบคุณทุกคนที่เข้ามาอ่านครับ! 🙏🙏
#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

…

06/02/2025

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

"Phishing Bypass Security? The Last Defense is You!"🔹🔹

"Phishing เข้ามาได้ = Security เอาไม่อยู่!"

ช่วงนี้กำลังTest Phishing Solution อยู่ครับ คิดไปคิดมา Security Control มันกัน Phishing ไม่ได้ 100% ❌ ต่อให้มี Next-Gen Firewall, EDR, Email Security Gateway หรืออะไรก็ตาม ถ้า User เผลอ Click Link หรือกรอก Credentials ก็จบเห่ 💀💀💀

ถึงจะมี MFA ก็ตามที สุดท้าย Attacker ก็มีวิธี Bypass ได้อยู่ดี (เช่น Adversary-in-the-Middle (AiTM), Token Theft, MFA Fatigue ฯลฯ)

⚠️ ถ้า Phishing หลุดเข้าองค์กรได้ แปลว่า:
🔹 Email Security อาจยัง Detect ไม่ได้
🔹 Endpoint Protection ไม่มี Signature หรือ Heuristic จับ Phishing Attack
🔹 SOC ไม่มี Rule/Use Case ที่ Trigger แจ้งเตือน

🎯 แล้วอะไรคือด่านสุดท้าย? Awareness ของ User ไง ฮะ!!!
✅ ดู Sender Email & Domain ให้ชัวร์
✅ อย่าคลิกลิงก์มั่ว เช็กให้แน่ใจ!
✅ MFA ช่วยได้ แต่ไม่ 100%
✅ เจออีเมลแปลก ๆ แจ้ง Incident ทันที!
💡 "Security ดีแค่ไหนก็กันได้ไม่หมด ถ้า User ไม่ระวังเอง!" 🚀
แบบว่าถ้า User or Client มี Awareness ก็อาจจะดีกว่ามี Security Solution อีนะฮะ !!!😁😁😁 แอบขายของฮะ # #

Remark: สำหรับ Solution Phishing Simulation สามารถติดต่อทีมงานได้ที่ Page เลยครับ!!!!

Ref Service: https://www.facebook.com/SoNaJaaa/posts/pfbid02XWGoTpWzpiPQn4gQJMQ1cChcXfKjJdRgqjrWMAgr894GmyLSTJqi1z24J3kDB8Jzl

03/02/2025

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

วันนี้ว่าง ๆ เลยลอง Test Solution เกี่ยวกับ Link Phishing เล่น ๆ แต่ไปเจอ behavior ของ Browser ที่น่าสนใจ เลยเอามาแชร์ซะหน่อย!
สำหรับการ Test คือ Admin Generate Link Phishing มาใช้เป็น PoC (Proof of Concept) แล้วลองเปิดกับ Browser หลัก ๆ ดูว่ามี behavior ยังไง เช่น

1. Chrome 🤔
2. Firefox 🤔
3. Edge 🤔
4. Safari 🤔

Medium: https://so-sonajaa.medium.com/browser-detection-link-phishing-5241d7dd2e17

จากการทดสอบ ทุก Browser เปิด Link ได้หมด ยกเว้น Chrome พร้อมขึ้นแจ้งเตือนว่าเป็น "Dangerous Site"
ดูทรงแล้ว Chrome น่าจะมี Security Detection สำหรับ Link Phishing ที่ทำงานอยู่ 🤔 อันนี้แอบน่าสนใจเหมือนกันครับ

Remark: ไมไ่ด้บอกว่าอันไหนดีหรือไม่ดีนะครับในส่วนนี้เป็นแค่การทดสอบส่วนตัวครับ!!!!🤔🤔

ใครเห็นด้วยหรือมีความคิดเห็นยังไงมาแชร์กันได้นะครับ ขอบคุณทุกคนที่เข้ามาอ่านครับ! 🙏
#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

01/02/2025

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

Script PowerShell Check IP via API(VirusTotal, AbuseIPDB). หรือถ้ามี TI อื่น ๆก็เอา API มา เพิ่มเติมได้เลยนะครับ อันนี้เป็นแค่ Example:
ปกติแล้ว เวลาที่เราต้องการ Check IP Reputation เรามักจะเปิด VirusTotal เป็นเว็บไซต์แรก ๆ ใช่ไหมครับ? 😆 แต่ปัญหาคือ ถ้ามีหลาย ๆ IP เราต้องเปิดหลายแท็บในเบราว์เซอร์ ซึ่งบางครั้งก็ลืมไปแล้วว่าเช็ก IP นี้ไปหรือยัง 555!

นอกจากนี้ บางครั้งเรายังต้องเปรียบเทียบกับ Threat Intelligence (TI) อื่น ๆ ด้วย เพื่อยืนยันว่า IP ที่เราตรวจสอบมีความเสี่ยงจริง ก่อนจะทำการ block หรือตรวจสอบความเสี่ยง ของ IP ต่าง ๆ อะครับ
เพื่อแก้ปัญหานี้ ผมลองเขียน PowerShell Script ขึ้นมา เพื่อช่วยประหยัดเวลาในการ Re-Check นอกจากนี้ยังสามารถ export ผลลัพธ์เป็น CSV ได้ด้วย ทำข้อมูลเพิ่มเติม แบบว่า อ่อ IP พวกนี้มันมีความเสี่ยงจริง ๆ

รายละเอียดเพิ่มเติมดูได้ด้านล่างครับ! 🚀
Medium: https://so-sonajaa.medium.com/script-powershell-check-ip-via-api-virustotal-abuseipdb-57bb4c0dcfc4

Remark: สำหรับตรงนี้ จุดประสงค์ของ Admin เกี่ยวกับ Script PowerShell Check TI ตรงนี้คือ Admin จะเอามา Check IOCs Backlist ที่ อยู่ใน Policy ทุก ๆ 6 เดือนว่า ค่า Score IP นั้น ๆ ที่เคย Blocked อยู่บน Policy IP Backlist นั้นว่ามัน กลับมาปกติยัง ถ้ากลับมาเป็นปกติแล้วก็เอา IP นั้นออกจาก Policy แบบว่าเป็นการ Review IP Backlist in Policy ครับ

ใครเห็นด้วยหรือมีความคิดเห็นยังไงมาแชร์กันได้นะครับ ขอบคุณทุกคนที่เข้ามาอ่านครับ! 🙏
#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

…

26/01/2025

เมื่อ Admin จะทดสอบ Azure AD[Entra ID] และจะ Request Trial มาลอง Proof of Concept ซะหน่อย_มาเจอตรงนี้หน้าสนใจ นะครับ สำหรับ Microsoft เขาปลอดภัยจริง ๆ ในส่วนของการ Check BOT Access ว่าแต่ ไม่ต้อง BOT นะครับ Human นี้แหละยังกดไม่ถูกเลย 5555.

21/01/2025

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

ช่วงนี้ Admin ไม่ค่อยได้อัปเดต Content เลย เพราะติดงานเยอะมาก ๆ แต่วันนี้พอมีเวลาว่าง ก็เลยอยากเขียนอะไรมาแชร์กันสักหน่อยครับ ขอออกตัวก่อนเลยว่านี่เป็นความคิดเห็นส่วนตัวนะครับ 😂😂😂
ที่เห็นในภาพนี้ ผมชอบมาก ๆ เพราะมันคือ Concept Detection โดยอ้างอิงจากข้อมูล MITRE ATT&CK ครับ😂

จุดเริ่มต้นของการ Detection คือ "Data Sources"
ก่อนที่เราจะตรวจจับ (Detection) อะไรได้ เราต้องรู้ก่อนว่าแหล่งข้อมูลของเราคืออะไร เช่น

Product: ใช้เครื่องมืออะไร?
Log: มีประเภทไหนบ้าง?
Type: ข้อมูลที่ได้เป็นแบบไหน?
เมื่อมี Data Sources แล้ว เราถึงจะสร้าง Detection ได้!!!!

ในมุมมองของ Protection นั้น ผมมองว่า "ก่อนที่เราจะป้องกัน (Protection) ได้ เราต้องตรวจจับ (Detection) ได้ก่อน" เพราะถ้าเราตรวจจับไม่ได้ ก็ป้องกันไม่ได้ ถูกต้องไหมครับ? 😂

สรุปง่าย ๆ คือ Detection เป็นพื้นฐานสำคัญที่จะนำไปสู่ Protection

ใครเห็นด้วยหรือมีความคิดเห็นยังไงมาแชร์กันได้นะครับ ขอบคุณทุกคนที่เข้ามาอ่านครับ! 🙏

#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ