เตือนภัย Phishing  

ตัวอย่างที่ 1.

ท่าใหม่มิจฉาชีพมาแล้ว

รอบนี้มาในรูปแบบแจ้งว่าเราละเมิดลิขสิทธิ์เป็นภาษาไทยซะด้วย และแนบไฟล์หลักฐานการละเมิดลิขสิทธิ์มาเป็น .exe น่าจะมุ่งโจมตีเหล่า content creators ลองคิดดูว่าถ้าฝ่าย marketing หรือพนักงานเราได้เมลนี้มาจะเปิดไฟล์นี้ไหม ถ้าเปิดก็เรียบร้อยโดนยึดเครื่องขโมยข้อมูลฝัง malware ลง ransomware ได้หมด ฝากแชร์เตือนภัยให้เพื่อนๆอัพ patch บุคลากรกันให้เรียบร้อยครับ

ปล. ทีม #MAYASEVEN ทำ forensics เบื้องต้นแล้วเป็น Trojan/Backdoor ผู้ร้ายน่าจะมาจากต่างประเทศมี strings ที่บ่งบอกว่าใช้โจมตีหลายประเทศ ยุคนี้มี AI ทำให้มิจฉาชีพแปลภาษาไทยได้เนียนขึ้น

ปล2. มี anti-virus ไม่ได้แปลว่ารอดนะ จากผลในรูป anti-virus แค่ 13 ยี่ห้อเท่านั้นที่ scan เจอว่าเป็น malware จากทั้งหมด 69 ยี่ห้อ มิจฉาชีพมักมีเทคนิคใหม่ๆในการทำ anti-virus ตรวจจับไม่ได้เสมอๆ เพราะฉะนั้น ความตระหนักรู้ด้านไซเบอร์ถึงมีความสำคัญ

Photo Credit:Mayaseven FB

Photo Credit:Mayaseven FB

Photo Credit:Mayaseven FB

ตัวอย่างที่ 2.

ประกาศเตือน !! มิจฉาชีพแอบอ้าง Mango Zero

หลอกโอนเงินค่าลิขสิทธิ์ แนบ Spyware ห้ามเปิดไฟล์ อันตรายมาก !!

ตอนนี้เดือดร้อนมากฮะ โทรศัพท์ดังไม่หยุด มีอีเมล์ แชท มาแจ้งทั้งวัน กำลังรวบรวมหลักฐานเพื่อเข้าแจ้งความ

.

เช้านี้ ทีมงาน MangoZero ได้รับแจ้งจากบริษัท PR, แบรนด์ และเอเจนซี่ จำนวนมาก ร้องเรียนว่าได้รับอีเมล์แจ้งเตือนเรื่องการละเมิดลิขสิทธิ์

- อีเมล์แจ้งถึงธุรกิจต่างๆ ว่าได้มีการละเมิดลิขสิทธิ์เนื้อหา

- คำขู่จะฟ้องร้องเรียกค่าเสียหาย หากไม่ดำเนินการในเวลาที่กำหนด

- พร้อมแนบไฟล์หลักฐาน

- อ้างว่ามาจากทีมกฏหมายบริษัท MangoZero

ความน่ากลัวคือ อีไฟล์ที่มันแนบมา เป็นไฟล์หลอก เพราะมันคือ .exe ที่เป็น Spyware แอบขโมยข้อมูลในเครื่องเรา ใครเปิดไฟล์ไปแล้วแก้เอาออกยากมาก

ฝากแชร์เตือนกันด้วยฮะ ตอนนี้มีผู้เสียหายแจ้งเข้ามามากกว่า 30 รายแล้ว แย่มาก เดือดร้อนกันไปหมด กำลังรวบรวมหลักฐานแจ้งความครับ

note 1 : บริษัทไม่มีฝ่ายกฏหมาย

note 2 : บริษัทชื่อ The Zero โว้ย ไม่ใช่บริษัท MangoZero

#MangoZero #TheZero

อ้างอิงจาก:

• MAYASEVEN

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

Digital Forensics:METADATA LAB II

Analyzing EXIF data:

The ways to analyze the metadata in a PDF file is through a free application Exiftool. 

Let's take a look at File A's metadata with exiftool:

USING THE EXIFTOOL FOR METADATA   

ExifTool is a platform-independent Perl library plus a command-line application for reading, writing and editing meta information

USING THE EXIFTOOL FOR METADATA   

Lab II. File1

1. What is the name of this file?

 Ans:

2. What is the type of this file?

 Ans:

3. What is the file type extension?

 Ans:

4. What is the size of it?

 Ans:

5. Who’s the creator of the file?

Ans:

6. What is the MAC date of this file?

Ans:

7.Find the md5 hash of this File1 pdf file.

Ans:

อ่านเพิ่มเติม:

• METADATA LAB
• How to View and Remove Metadata from Images?

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Digital Forensics:Log file Sample

ตัวอย่าง Aข้อมูลจราจร (Log file) การเข้าถึงเว็บไซต์

2024-07-17 10:15:30 INFO User connected: IP=192.168.1.10, MAC=00:1A:2B:3C:4D:5E [1, 2]
2024-07-17 10:16:45 INFO Website accessed: URL=https://www.example.com, UserAgent=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 [1, 2]
2024-07-17 10:20:00 WARNING Firewall blocked: Source IP=10.0.0.1, Destination IP=203.0.113.10, Port=80, Protocol=TCP [3]
2024-07-17 10:25:00 INFO Router rebooted [9] 



1. ผู้ใช้เชื่อมต่อภายในเครือข่าย
 IP/MAC:
IP 192.168.1.10 (IP ภายใน) + MAC 00:1A:2B:3C:4D:5E

2. การเข้าถึงเว็บไซต์

• User-Agent:

• เบราว์เซอร์: Chrome เวอร์ชัน 91.0.4472.124 (เวอร์ชันเก่า )
• OS: Windows 10 (64-bit)

เว็บเป้าหมาย:

• https://www.example.com (เว็บทั่วไป ไม่มีเนื้อหาเสี่ยง)

ตัวอย่าง B ข้อมูลจราจร (Log file)  เฟอร์วอลล์บล็อกการเชื่อมต่อ

2024-07-17 10:20:00 WARNING Firewall blocked: Source IP=10.0.0.1, Destination IP=203.0.113.10, Port=80, Protocol=TCP [3]  

รายละเอียดเหตุการณ์:
Source IP = ต้นทาง: IP 10.0.0.1 (IP ภายใน อาจเป็นเราเตอร์หรือเซิร์ฟเวอร์)
Destination IP  = ปลายทาง: IP 203.0.113.10 (IP สาธารณะ RFC 5737 ใช้สำหรับตัวอย่าง)
พอร์ต/โปรโตคอล: พอร์ต 80 (HTTP) + โปรโตคอล TCP

การวิเคราะห์:
สาเหตุการบล็อก:
- นโยบายองค์กรไม่อนุญาตให้ส่งข้อมูล HTTP ผ่านพอร์ต 80  
- อาจเป็นการพยายามส่งข้อมูลละเอียดอ่อน (Log, Credential) ไปภายนอก

ความเสี่ยงสูง:
Source IP = IP ต้นทาง (10.0.0.1) อาจถูกบุกรุกหรือตั้งค่าผิดพลาด
Destination IP  =ปลายทาง 203.0.113.10 อาจเป็น C2 Server (Command & Control) ของมัลแวร์


ตัวอย่าง C  ข้อมูลจราจร (Log file) เราเตอร์บูตใหม่
2024-07-17 10:25:00 INFO Router rebooted 

ความสัมพันธ์กับเหตุการณ์อื่น:
- เกิด 5 นาที หลังจากเฟอร์วอลล์บล็อกการเชื่อมต่อ 
      - ไม่มีแท็ก [1,2,3] → อาจเป็นการบูตโดยผู้ดูแลระบบ หรือเกิดจากเหตุอื่น
สรุปความสัมพันธ์และความเสี่ยง

ตัวอย่าง D  ข้อมูลจราจร (Log file)  การเข้าถึงเว็บไซต์

2025-07-17 14:33:27 NAT 10.0.0.12:58432 → 203.113.23.45:58432 TCP www.example.com 104.18.21.190 443 00:05:32

รายละเอียดเหตุการณ์:

Source IP = ต้นทาง: IP 10.0.0.12 (IP ภายในอาจเป็นเราเตอร์หรือเซิร์ฟเวอร์ อุปกรณ์ในเครือข่าย)
Destination IP = ปลายทาง: IP 203.113.23.45 (IP Public Gateway) → DNS ปลายทางจริง: www.example.com (IP 104.18.21.190)
พอร์ต/โปรโตคอล: พอร์ต 443 (HTTPS)  

ตัวอย่าง E  ข้อมูลจราจร (Log file)  การซิงค์เวลาจากเซิร์ฟเวอร์

2025-07-17 14:35:10 NAT 10.0.0.13:52678 → 203.113.23.46:52678 UDP ntp.org 129.6.15.28 123 00:00:02

รายละเอียดเหตุการณ์:

Source IP = ต้นทาง: IP 10.0.0.13 (IP ภายในอาจเป็นเราเตอร์หรือเซิร์ฟเวอร์ อุปกรณ์ในเครือข่าย)
Destination IP = ปลายทาง: IP 203.113.23.46 (IP Public Gateway) →   ปลายทางภายนอก : ntp.org  (IP 129.6.15.28)
พอร์ต/โปรโตคอล:  UDP/123 (NTP - Network Time Protocol)

ตัวอย่าง F  ข้อมูลจราจร (Log file)  การเข้าถึงเว็บไซต์ฟิชชิ่ง

2025-07-17 14:36:01 HTTP_ACCESS customer@isp.co.th GET http://phishing-site.com/index.html 104.21.24.190

รายละเอียดเหตุการณ์:

         - ผู้ใช้:customer@isp.co.th (บัญชีผู้ใช้ customer)
         - การร้องขอ: GET http://phishing-site.com/index.html
- Destination IP = ปลายทาง: IP 104.21.24.190

          - พอร์ต/โปรโตคอล: HTTP (ไม่มีการเข้ารหัส!)

Lab 1 ข้อมูลจราจร (Log file) (สถิติการใช้งานเครือข่าย)

2025-07-17 10:30:45 NETFLOW: SrcIP=110.170.25.67, DstIP=104.16.24.35, Proto=TCP, SrcPort=54321, DstPort=443, Bytes=15.7MB, Pkts=11230, Duration=00:05:22

Source IP: = ?

Destination IP : =?

port/protocol = พอร์ต/โปรโตคอล: ?

Lab 2 ข้อมูลจราจร (Log file) (การเชื่อมต่อเครือข่าย)

2025-07-17 08:12:34 PPPoE-SESSION START: User=customer123@isp.co.th, NAS=bras-01.bangkok.isp, IP=110.170.25.67, MAC=00:1B:44:11:3A:E7, Duration=00:02:15
2025-07-17 12:45:21 PPPoE-SESSION STOP: User=customer456@isp.co.th, NAS=bras-02.chiangmai.isp, IP=110.170.33.122, RX=1.45GB, TX=350MB, Duration=04:22:10

อ่านเพิ่มเติม:

• การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ 
• FortiGate Sample logs

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD