EventID: 4624 | Logon Type: 2
#Cybersecurity
#BlueTeam
#DFIR
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ
สวัสดีครับ ชาว Cybersecurity ทุก ๆ ท่านครับ วันนี้ จะมา Share เกี่ยวกับ Knowledge ใหม่ ที่ส่วนตัว admin ก็พึ่งรู้นี้แหละ ครับ 555!! แบบว่า นั่ง งงไปพักใหญ่ ๆ ซึ่งสิ่งที่จะมาเล่ากันวันนี้คือ
Attacker Compromise Server[A] ได้แล้ว ทุก ๆ ที่ ส่วนใหญ่แล้ว หลังจาก Compromise Server ได้แล้ว ก็จะ Disable Antivirus และ Create User[sonaja สมมุตินะครับ] เสร็จ แล้วก็ จะ Add User[sonaja] ที่ Create มาใหม่เข้าไปใน Group Administrator and Group Remote Desktop (Privilege Escalation) และดำเนินการ Download Tools ที่จะใช่ไว้บนเครื่องนี้และทำ เป็น ฐานทัพ เพื่อดำเนินการ โจมตี เครื่องอื่น ต่อไป ส่วนมากจะมา โดยวิธีแบบนี้ ต่อ มา Attacker ได้ดำเนินการ Install AnyDesk เพื่อ Remote เข้ามาอีกที แต่ก็ดี นะ ใช่ AnyDesk ไม่ต้องทำ C2-(Persistent) ให้เสียเวลา 555! แค่นี้ คร่าว ๆ ครับ ถ้าเล่า ต่อมันยาวมากครับ +++!!!
ต่อมา ถ้าเราจะวิเคราะห์ ละ ว่า จริง ๆแล้ว User:Attacker นั้น เข้ามาตอนกี่โมง ก็ ธรรมดา เราก็ต้อง ไป Check EventID: 4624 เพื่อที่จะดูว่า Timeline User: sonaja เข้ามากี่โมง มันก็ Basic อยู่แล้วละ สำหรับ เรื่อง Event Log — Event ID 555 >> และ Event Log ที่เจอ จะมีรายละเอียดังนี้ ครับ
สำหรับ Event Log ที่เจอ คือ แอบ งง มาก ๆ นั่ง งงอยู่พักใหญ่ เอ๊ะ ๆ ทำไม่ มันเป็นแบบนี้ยังไงวะเนีย …. เริ่ม งง เหมือนกัน &&
Logon Type: 2
Source Network Address: 127.0.0.1
สำหรับทุกท่าน อาจจะเข้าใจอยู่แล้วว่า Logon Type: 2 มัน คือ การเปิด หน้าเครื่อง เช่น หน้าจอ Notebook , Computer , Console VM ถ้าเรา Logon หน้าเครื่องมันจะขึ้น Logon Type: 2 เอาแล้ว นึกในใจ อิหยังวะเนีย… “Insider Threat” ประเนีย แต่ก็แอบ งง อีกส่วนคือ ทำไม่ มันไม่ Clear Log ออกไป หรือว่า Attacker มันลืม 5555 สงสัย รีบไปหน่อย เลยลืม Clear Log ออกไป 555!
ตอนที่ทำการ Investigate Event Log คิดในใจ “Insider Threat” หรอวะเนีย เพราะ ขึ้น Logon Type: 2 แต่ อีกใจ คือ “Impossible” มันเป็นไปไม่ได้ ที่ จะเป็น Insider Threat แต่ Logon Type: 2 มันก็บ่งบอกแล้วว่า User: sonaja เข้ามา คิดในใจอีกรอบว่า คนในหรอ ที่จะเข้ามา Logon ผ่าน Console ในห้อง Datacenter มันบ้าหรือป่าว 555 ก็ รู้ ๆ กันอยู่ว่า ในห้อง Datacenter นั้น ก็ต้องมีกล้อง CCTV คนทำนี้ คือบ้าไปแล้ว จะเข้ามา ทำอะไร บนเครื่อง 5555
และก็ กลับมาคิดใหม่ว่า อ่อ ในเครื่องที่ Infected นั้น มีการ Installation AnyDesk ไว้นี้ หว่า ไหนลองมาตั้ง LAB AnyDesk ดิ เพราะจริง ๆ แล้ว Concept Logon Type2: คือเข้าผ่านหน้าเครื่อง เมื่อสงสัย เลยต้องทดลองงงง !!!
ขั้นตอนการทดสอบ
- Installation Windows: Installation AnyDesk and Configuration Password AnyDesk เอาไว้ นั้นก็หมายความว่า ใครจะเข้า AnyDesk เครื่องนี้ ใส่ Password ก็ สามารถ Remote มายังเครื่องนี้ได้แล้ว !!!!
2. ใช้ Computer อีกเครื่อง AnyDesk Remote ไปหาเครื่อง Windows
พอใส่ Password AnyDesk เสร็จ และเข้ามาหน้านี้ อ่อ….เข้าใจและ ว่าทำไม่ถึงขึ้น Logon Type2: 555 เพราะว่า การใส่ Credential ตรงนี้ มันก็เหมือน อยู่หน้า Console เหมือนกัน 5555!!!
สรุป: สำหรับ Logon Type2: นั้น ที่จะเกิดขึ้นได้ ก็ต้องอยู่หน้าเครื่อง หน้าจอ ก็จริง ครับถึงจะเกิด แต่ถ้า ใช่ Software Remote เข้ามา และใส่ข้อมูล Login แบบนี้ ก็เหมือบกับ การ Login หน้าเครื่องครับ !!! 555 เกือบไปแล้ว “Insider Threat”
Remark: มันอาจจะเป็น Concept ง่าย ๆ แต่ถ้าเรายังไม่เคยเจอ เราอาจจะคิดว่ามันยากก็ได้ครับ 555!! เหมือนกับผม ที่เจอ เหตุการณ์นี้ คือ ไม่รู้มาก่อน ว่า มันเป็นแบบนี้ พอเจอ ตอนแรก ก็ งง ว่ามันเกิดขึ้นได้อย่างไร 555 “ อยากรู้ต้องทดลอง-พอทดลองแล้วถึงรู้ ” — — มันเป็น Knowledge ใหม่ สำหรับ Admin เลยครับ 555 พึ่งรู้ พึ่งเคยเจอแบบนี้ 555 +++
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ
#Share_Knowledge_and_Experience
