Note: Firefox 0day Exploit on Tor Browser Saga

Analysis and reverse engineering the exploit:

Note: JTAG

Note: Embedded Payload on PNG

Original story from: PNG Embedded – Malicious payload hidden in a PNG file
  • Kaspersky มีการตรวจพบมัลแวร์ซึ่งใช้การแพร่กระจายผ่านทางไฟล์แนบ PDF ของอีเมล ซึ่งจาก PDF นั้นก็จะมีการฝัง URI อันตรายอีกต่อ เมื่อผู้ใช้งานทำการคลิกลิงค์ดังกล่าวจะเป็นการดาวโหลดไฟล์ JAR
  • ไฟล์ JAR ซึ่งแท้จริงนั้นคือไฟล์บีบอัดอีกต่อหนึ่งมีการบรรจุไฟล์ PNG ไว้ข้างใน ซึ่งในจุดนี้ทาง Kaspersky สังเกตเห็นความผิดปกติระหว่างขนาดของไฟล์กับ resolution ของรูปซึ่งขัดแข้งกัน (resolution เล็กแต่ขนาดไฟล์กลับใหญ่) ซึ่งแท้จริงแล้วไฟล์ PNG มีการเก็บ payload ของมัลแวร์ซึ่งถูกเข้ารหัสไว้อยู่ โดยไฟล์ PNG จะถูกเรียกอีกต่อหนึ่งโดยอีกโปรแกรมใน JAR เพื่อทำการถอดรหัส payload และโหลดลงสู่หน่วยความจำ (payload ข้างในเมื่อถูกถอดรหัสแล้วจะได้ไฟล์ PE)
Another story from: Colin Keigher, Going viral on Imgur with Powershell and PNG
  • Colin Keigher เสนอวิธีการที่ดีกว่า เนื่องจาก PNG เป็นลักษณะของฟอร์แมตภาพที่ไม่มีการสูญหายของข้อมูลแม้ว่าจะมีการบีบอัด และ PNG เองก็มีการเก็บค่าความโปร่งใสไว้ alpha channel (8 บิตสำหรับค่าสี RGB ทั้งหมด 3 ชุด และอีก 8 บิตสำหรับค่าความโปรงใส A) คุณลักษณะนี้ทำให้เราสามารถฝังไฟล์ใดๆ ไปได้อย่างไม่มีความผิดปกติ
  • สิ่งที่ Colin คือการพยายามเพิ่ม payload ลงไปในจุดที่เป็น alpha channel ซึ่งส่งผลให้ payload ที่ถูกใส่ลงไปไม่ได้มีการสูญหายของข้อมูลและยังสามารถกู้คืนออกมาได้ payload เดิม
  • Colin ได้ทำการพิสูจน์เพิ่มเติมโดยใช้ Imgur.com ซึ่งมีฟีเจอร์ในการตัดส่วนของข้อมูลที่ไม่เกี่ยวข้องกับส่วนของรูปภาพออกไป แต่พบว่าเมื่อมีการอัพโหลด PNG ที่ถูก embedded ผ่านทาง alpha channel ไปแล้ว Imgur ไม่ได้มีการลบข้อมูลตรงส่วนนี้ออก
  • Colin มีการใช้ฟังก์ชันใน powershell เพื่อให้เมื่อมีการดาวโหลด embedded-PNG แล้ว สามารถทำการ extract alpha value ออกเป็นไฟล์ได้

Dr. Robert Cialdini and 6 principles of persuasion

Original story from: Dr. Robert Cialdini and 6 principles of persuasion

ว่าด้วยเรื่องประเด็นสำคัญที่จะช่วยในการชักจูงหรือชักนำคนเพื่อให้ทำตามในสิ่งที่เราอยากให้ทำ
  1. สร้างเงื่อนไขในการแลกเปลี่ยนเพื่อสร้างเงื่อนไขให้ผู้ที่ได้รับต้องตอบแทนผู้ที่ให้ เช่น การให้สินค้าทดลองเพื่อแลกกับการอยู่ฟังบรรยายสรรพคุณเกี่ยวกับสินค้านานขึ้น หรือการให้ที่แสดงถึงความอ่อนน้อมเพื่อให้คนที่ได้รู้สึกถึงสถานการณ์ของการ “ติดหนี้”
  2. เมื่อผู้คนตกอยู่ในสถานการณ์ที่ยากต่อการตัดสินใจ พวกเขาจะอาศัยข้อมูลจากคนรอบข้างหรือคนส่วนมากในการสนับสนุนต่อการตัดสินใจของพวกเขา (โดยไม่ได้สนใจเหตุและผล)
  3. หากคนตกปากสัญญาอะไร พวกเขามีแนวโน้มที่จะทำตามสัญญานั้นมากกว่าการถูกบอกกล่าวให้ทำตามปกติ เช่น แทนที่จะใช้ “กรุณาโทรมาถ้าต้องการที่จะยกเลิกการจองโรงแรม” ให้เปลี่ยนมาใช้ “ช่วยโทรมาถ้าต้องการที่จะยกเลิกการจองโรงแรมได้ไหมครับ/คะ” เพื่อบังคับให้มีการรับปากหรือสัญญาเกิดขึ้น (ยิ่งคนมีอายุมากขึ้น คนมีแนวโน้มที่จะ consistency ต่อสิ่งต่างๆ มากกว่า)
  4. คนมีแนวโน้มจะตอบตกลงในสิ่งที่น่าดึงดูดหรือสิ่งที่เหมือนกับตัวเอง เช่น พนักงานขายที่มีชื่อเหมือนหรือใกล้เคียงกับตัวเอง หรือแม้กระทั่งพนักงานขายที่เอ่ยปากชมสิ่งต่างๆ (เข้าใจว่าเป็นเรื่องของความคุ้นเคย)
  5. ผู้คนมีแนวโน้มที่จะยอมรับใครก็ตามที่ดูมีพลังหรืออำนาจมากกว่า ซึ่งส่วนหนึ่งของพลังหรืออำนาจดังกล่าวนั้นวัดได้จากลักษณะภายนอกทั้งหลายแหล่ หรือแม้กระทั่งชื่อเสียง
  6. สิ่งใดหายากมากเท่าใด สิ่งนั้นย่อมมีค่ามากเท่านั้น ทำให้คนรู้ว่าขาด แล้วเขาจะอยากได้

Social-Engineer Newsletter Vol 06 — Issue 86

Original story from: Social-Engineer Newsletter Vol 06 — Issue 86

ในช่วงเวลาพักร้อนหรือการพักผ่อนนั้น พนักงานมักจะมีการทิ้งข้อความซึ่งใช้ในการบอกพนักงานหรือลูกค้าคนอื่นถึงสถานะปัจจุบันไว้ อาทิ ระยะเวลาพักร้อน สถานที่ที่ไปรวมไปถึงข้อมูลการติดต่ออื่นๆ ไปยังบุคคลอื่นๆ ที่เกี่ยวข้อง ข้อมูลในลักษณะนี้นั้นอาจถูกใช้โดยผู้โจมตีในการแอบอ้างกับบุคคลอื่นเพื่อสร้างความน่าเชื่อถือได้ รวมไปถึงเป็นข้อมูลที่ช่วยเพิ่มโอกาสให้ผู้โจมตีในการวางแผนโจมตีให้มีความแนบเนียนเพิ่มขึ้นได้ วิธีการป้องกันที่เหมาะสมคือการแยกลักษณะของข้อความให้เป็นข้อความที่จะถูกส่งภายในองค์กรซึ่งจะประกอบไปด้วยข้อมูลที่มีรายละเอียดสมบูรณ์ และข้อความที่จะถูกส่งออกไปภายนอกองค์กรซึ่งจะประกอบไปด้วยข้อมูลเท่าที่จำเป็น เพื่อหลีกเลี่ยงการเก็บข้อมูลและใช้ประโยชน์จากผู้โจมตี

เช่นเดียวกันกับข้อมูลที่ถูกเผยแพร่ในสังคมออนไลน์ที่อาจนำมาใช้ต่อได้ เช่น สถานที่ที่จะไปพักร้อนหรือร้านอาหารที่จะรับประทาน ซึ่งอาจถูกใช้เพื่อนำไปอ้างอิงและเพิ่มความน่าเชื่อถือให้กับการโจมตีได้ การป้องกันหลักๆ ในกรณีนี้คือคิดก่อนแชร์