Digital Forensics:SEC Playground Bloody Xmas2024 CTF

โพสไว้ก่อนเดี่ยวหลังปีใหม่มาเขียนเพิ่มน่ะครับ

เดี่ยวเค้าจะหาว่าไม่ร่วมกิจกรรม แข่งขัน #BloodyXmas2024 ของ SEC Playground  

หมายเหตุ: ขอขอบคุณผู้สนับสนุนที่ให้มีกิจกรรมดีๆ ในครั้งนี้ 

ที่มา: SEC Playground NCSA

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้
น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

Digital Forensics:CDIC2024  

งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ 27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา

วันนี้แอดแวะมางาน CDIC  งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ 27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา  มีหลายบูธที่น่าสนใจ และงานนี้จะได้เรียนรู้ พฤติกรรมการใช้งานในยุคดิจิทัล จะได้พบกับผู้เชี่ยวชาญ และนักวิชาการด้านความมั่นคงปลอดภัยทางไซเบอร์ รับรู้ประสบการณ์ใหม่ๆ Update ความรู้และข่าวสารใหม่ล่าสุด ด้าน Cybersecurity และ Generative AI รับฟังการถ่ายทอดประสบการณ์จริงจากผู้บริหารระดับสูง และผู้เชี่ยวชาญ

และวันนี้แอดได้แวะมาบูธที่เกีียวข้องกับบริการ Digital Forensics เลยขอคำแนะนำและบริการจากทางบูธ มีรายละเอียดดังนี้ครับ.

Photo Credit :ICMS Cyber Solution

Forensic Explorer

Suitable for new or experienced investigators, Forensic Explorer combines a flexible and easy to use GUI with advanced sort, filter, keyword search, data recovery and script technology. Quickly process large volumes of data, automate complex investigation tasks, produce detailed reports and increase productivity. Manage all aspects of the investigation

Photo Credit :ICMS Cyber Solution

Photo Credit :ICMS Cyber Solution

Carbon-Paladin  CARBON is a virtualized forensic analysis tool for the Windows operating system, developed by SUMURI. 

Virtualizing with CARBON allows examiners to see and document a Windows computer in the exact

state that the original user saw it without making any changes to the source device. If an examiner does

not have the user’s password,CARBON has the ability to bypass the user’s login credentials.

Photo Credit :ICMS Cyber Solution

MSAB XRY ชุดเครื่องมือเก็บข้อมูลจากสมาร์ทโฟน 

XRY — Mobile Data Forensic Phone Extraction & Recovery, Recover more mobile data, in less time, with full integrity

Photo Credit :ICMS Cyber Solution

ขอบคุณของแจกจากทางบูธ Smart Device Tracker

Photo Credit :ICMS Cyber Solution

Photo Credit :ICMS Cyber Solution

Forensic UltraDock:Professional drive write blocker gives fast forensic access to bare hard drives.

The Tableau Forensic PCIe Bridge : The Tableau Forensic PCIe Bridge must be used in combination with one of the Tableau PCIe Adapters: Tableau PCIe Card SSD Adapter, Tableau PCIe M.2 SSD Adapter, or Tableau PCIe Adapter for Apple SSD

Photo Credit :ICMS Cyber Solution

Photo Credit :ICMS Cyber Solution

Photo Credit :ICMS Cyber Solution

อ่านเพิ่มเติม:

Computer Forensics Tools

XAMN Viewer

FORENSIC ACQUISITION OF SOLID STATE DRIVES

ที่มา: ICMS Cyber Solution  #CDIC2024

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

Digital Forensics:WhatsMyName (OSINT)

Welcome to WhatsMyName

This tool allows you to enumerate usernames across many websites

How to use:

1. Enter the username(s) in the search box, select any category filters & click the search icon or press CTRL+Enter

2. Results will present as icons on the left & in a searchable table on the right

3. Document & Google searches will automatically populate at the bottom, using the first username in your list as the search term

Example 

Image credit: Google Search

Image credit: WhatsMyName

Image credit:WhatsMyName

Image credit: WhatsMyName

Image credit: WhatsMyName

Image credit: WhatsMyName

Image credit: WhatsMyName

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Breaking Password and Encryption:hashcat

Breaking Password and Encryption:hashcat

Hashcat  เป็นเครื่องมือ **Password Recovery / Breaking Password** ที่ใช้เทคนิคการคำนวณและเปรียบเทียบ Hash ของรหัสผ่าน เพื่อถอดรหัสหรือค้นหารหัสผ่านที่ถูกต้อง โดยใช้ **CPU / GPU** ในการประมวลผลความเร็วสูงที่ได้รับความนิยมและถูกติดตั้งมาใน “Kali Linux” 

Download  https://github.com/hashcat/hashcat

hashcat -a -m 1000 <hash file location> <wordlist file location>

-a คือ เลือกโหมดในการโจมตี (Straight คือ 0)  Dictionary attack (-a 0)

-m คือ เลือกประเภทของ Hash

Identifying Hash

ก่อนที่จะเริ่มทำการถอดรหัส Hash นั้นควรจำที่จะต้องรู้อัลกอริทึ่มที่ทำ Hashing นั้นก่อน

Ex1 :ffb43f0de35be4d9917ac0cc8ad57f8d

ตัวอย่างที่1.  ทดสอบใน Kali linux

1.1 ได้ Hash มาจากไฟล์ / ระบบ** เช่น ไฟล์ SAM ของ Windows หรือไฟล์ Dump ของแอปพลิเคชัน

1.2 เลือก Attack Mode

hashcat -a -m 1000 Downloads/bob_account.txt Downloads/rockyou.txt --show

 0  Straight (Dictionary Attack) – ใช้พจนานุกรมรหัสผ่าน

 3 Brute-force – ทดลองทุกความเป็นไปได้

 6  Mask Attack – ระบุรูปแบบรหัสผ่าน เช่น `?d?d?d?d` (ตัวเลข 4 หลัก)

7  Hybrid Attack – ผสม Dictionary + Brute-force

-a  Mode (Straight = 0)

-m Hash Type (md5= 0)

Ex2: Md5 hash =      161ebd7d45089b3446ee4e0d86dbcf92 

                  Md5 hash =      25f9e794323b453885f5181f1b624d0b

                        Md5 hash =      f25a2fc72690b780b2a14e140ef6a9e0

               sha1 hash =     ee8d8728f435fd550f83852aabab5234ce1da528

S

The hash mode value for MD5 is  0.

ใช้ GPU ประมวลผล** – Hashcat จะลอง Hash ค่ารหัสผ่านจาก Dictionary  แล้วเปรียบเทียบกับ Hash ที่ได้มา

#hashcat -a 0 -m 0 161ebd7d45089b3446ee4e0d86dbcf92 Downloads/rockyou.txt --show

อธิบายคำสั่ง  

   * -m  0 = MD5

   * -a 0 = Dictionary Attack

   * 161ebd7d45089b3446ee4e0d86dbcf92 = ค่า hash

   * `rockyou.txt` = ไฟล์พจนานุกรม

The hash mode value for SHA is  100.

$ hashcat -a 0 -m 100 ee8d8728f435fd550f83852aabab5234ce1da528 Downloads/rockyou.txt

อธิบายคำสั่ง  

   * -m  100 = SHA

   * -a 0 = Dictionary Attack

   * ee8d8728f435fd550f83852aabab5234ce1da528 = ค่า hash

   * `rockyou.txt` = ไฟล์พจนานุกรม

 Ex3. sha1 hash =     ee8d8728f435fd550f83852aabab5234ce1da528

#hashcat -a 0 -m 100 ee8d8728f435fd550f83852aabab5234ce1da528 Downloads/rockyou.txt --show

เลิกใช้ Password เหล่านี้ ด่วน!

Photo credit: NCSA Thailand 

Ex4:   Mask Attack (Brute-force แบบกำหนดรูปแบบ)

 hash =      161ebd7d45089b3446ee4e0d86dbcf92 

โจทย์: รหัสผ่านมี 8 ตัวเลข เช่น  P@ssw0rd 

วิธีการกำหนดรูปแบบ

?l = a — z

?u = A — Z

?d = 0–9

?h = 0–9abcdef

?H = 0–9ABCDEF

?s = อักขระพิเศษ

#hashcat -a 3 -m 0 161ebd7d45089b3446ee4e0d86dbcf92  '?u?s?l?l?l?d?l?l' --show

อธิบายคำสั่ง  

   * -m  0 = MD5

   * -a 3 = Brute-force

   * ee8d8728f435fd550f83852aabab5234ce1da528 = ค่า hash

   * `'?u?s?l?l?l?d?l?l'` = A-Z, อักขระพิเศษ, a — z ,a — z ,a — z ,0–9, a — z, a — z

✅ ผลลัพธ์: Hashcat จะไล่ทุกความเป็นไปได้จนได้ `P@ssw0rd`

ขอขอบคุณข้อมูลจ่ากสกมช. (NCSA)

จากการวิเคราะห์ของ ThaiCERT/NCSA พบว่า "พาสเวิร์ดยอดฮิต" เหล่านี้ ถูกใช้ซ้ำมากที่สุด และ รั่วไหลแล้วในหลายแหล่ง!

หากคุณหรือเพื่อนยังใช้พาสเวิร์ดเหล่านี้ เปลี่ยนทันที ก่อนที่บัญชีจะถูกแฮกแบบไม่รู้ตัว

ตั้งพาสเวิร์ดหรือรหัสผ่านที่ ยาว คาดเดาได้ยาก และ ไม่ซ้ำกันในแต่ละระบบ

เปิดใช้ MFA (Multi-Factor Authentication) ทุกระบบ

ส่งต่อให้คนรอบตัวรู้ และเปลี่ยนให้มั่นคงปลอดภัยไปด้วยกัน

ปล.1: หลายพาสเวิร์ดที่พบนั้น ไม่เคยอยู่ในฐานข้อมูล RockYou มาก่อน

แปลว่าแฮกเกอร์ยังมีของใหม่อีกเพียบจากข้อมูลที่รั่วล่าสุด — อย่าชะล่าใจ!

ปล.2: แฮกเกอร์ไม่จำเป็นต้องเก่ง — แค่เราชุ่ย ตั้งพาสเวิร์ดง่าย ๆ เขาก็แฮกได้แล้ว

ปล.3: เปิด MFA คือพื้นฐาน และแนวคิด Zero Trust ควรเริ่มใช้จริงจัง

(ทุกคนมีสิทธิ์ถูกแฮก ต้องยืนยันตัวตนเสมอ)

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล