ม่ะจะเล่าให้ฟัง เรื่อง "การแฮ็ก wireless เมาส์และคีย์บอร์ดระยะไกลด้วยอุปกรณ์ราคา 35 บาท"
***เริ่มด้วยเรื่องที่ว่าไปเห็นคลิปในเรื่องการแกล้งคนอื่นด้วยการแอบไปเสียบ wireless คีย์บอร์ดไว้ในเครื่องคนอื่นแล้วแอบกวนโดยการ กด จากระยะไกลโดยที่เจ้าของไม่รู้ (ลองค้นดู wireless keyboard prank) เลยคิดว่าเฮ้ย จริงๆ มันน่าจะมีวิธีในการดักจับสัญญาณจากอุปกรณ์พวกนี้ได้และถอดรหัสออกมา เป็นการดักการกดคีย์บอร์ดหรือเมาส์ หรือหากล้ำไปกว่านั้น ถ้าเราสามารถรู้การเข้ารหัสของมันก็สามารถส่งข้อมูลไปยังเครื่องเป้าหมายสั่งคลิก สั่งพิมพ์คีย์บอร์ดเพื่อรันคำสั่งอันตรายจากระยะไกลได้ พอเอาเรื่องนี้ไปค้นก็พบว่ามันก็มีจริง ๆ
*** โปรเจคนี้ชื่อ mousejack [ref 1] เป็นการใช้ชิป NRF24L01+/NRF24LU1+ ดักและถอดคีย์การส่งข้อมูล ซึ่งชิปตัวนี้ส่งข้อมูล 2.4GHz ถูกใช้กันอย่างแพร่หลายในหลาย ๆ อุปกรณ์รวมไปถึงเมาส์/คีบอร์ดจาก Microsoft และ Logitech (ในบางรุ่น) และที่สำคัญราคาถูกหาซื้อได้ทั่วไปในราคา 35 บาทไทย
*** หลักการก็ง่าย ๆ เลย แค่เราเปิดโหมด Listening (จะเรียก promiscuous ก็ตามแต่)ในชิปนี้ แล้วสแกนหา channel ที่ตัวส่งกับตัวรับคุยกัน จากนั้นก็ตั้งอุปกรณ์เราให้ตรงกันก็สามารถดัก raw packet ได้แล้ว ต่อมาเราจะทำการถอดรหัส จากนั้นก็เอามาปลอมคำสั่งในการกดของเรา แล้วเปลี่ยนเป็นโหมดส่ง ยิงคำสั่งไปยังเป้าหมายแทน เป็นอันเสร็จพิธี
*** จากที่ผมทดลองทำดูโดยงัดเมาส์ Logitech MT570 ดูก็พบว่าข้างในใช้ชิป NRF24L01 นี้จริง ๆ ด้วย (ภาพ 2-3) ต่อมาก็ทดลองโหลดโค้ดจาก github (ไปหาโค้ดเอาเองนะคงไม่ยากเกินไปมี keywords แล้ว) แล้วเอา Arduino ต่อเข้ากับ NRF24L01 [ภาพ 4] เพื่อลองสแกนและดักก็พบมี packet ของเมาส์วิ่งไปมาขณะที่ขยับเมาส์ [ภาพ 5] และสามารถถอดรหัสและ "ส่งคำสั่งการคลิกซ้ายขวาสกรอได้หมดด้วย Arduino" ความแสบของโค้ดนี้คือมันมีคำสั่งคอมไพล์ ducky script ฝังไปใน โค้ด arduino firmware ด้วย ซึ่งเมื่อประมาณ 4-5 ปีก่อนมั้ง เคยเขียน ducky script ไปฝังใส่ใน BadUsb แค่คำสั่งกดคีย์บอร์ดเนี่ยสามารถเปิด Powershell โหลดโปรแกรมแกะรหัสที่บันที่ไว้ใน Chrome, IE, Firefox แล้วส่งรหัสมาทางเมล์+สั่งเปิด Remote desktop สร้าง admin user ฝังไว้ ยังทำมาแล้ว มาคราวนี้ไม่ต้องเดินไปเสียบ BadUsb แต่สามารถสั่งการจากระยะไกลได้ ...!!! (แต่ต้องให้เจ้าของคอมเผลอก่อนนะ ค่อยทำ ไม่งั้น...) และที่เจ๋งกว่านั้นก็มีคือถ้าไม่อยากซื้อ NRF24L01 เราสามารถใส่ firmware ใหม่ใส่ USB dongle ของ Logitech ให้มันเปลี่ยนเป็นตัวดักข้อมูลและส่งสัญญาณได้ (ข้างในเป็น NRF24LU1+ รุ่นนี้ต่อ usb ได้ ส่วนรุ่นอื่นต้องต่อ SPI เข้ากับ uC) พูดง่ายๆคือ จากตัวรับสัญญาณ ถ้าจะ hack ใคร เราก็เปลี่ยนให้เป็นตัวส่งซะ แฮกเสร็จก็ปรับให้เป็นตัวรับสัญญาณเมาส์เหมือนเดิม เนียนม่ะ 555++
***สุดท้ายแล้วก็ยังมีความโชคดีอยู่บ้าง ที่เราสามารถอัพ firmware Logitech ใหม่เพื่อป้องกันช่องโหว่นี้ได้ และส่วนใหญ่น่าจะใช้เมาส์คีย์บอร์ดแบบสาย หรือไม่ก็ใช้ oker, nubwo จากจีนกัน ซึ่งอย่าว่าแต่แกะโปรโตคอลสื่อสารเลย ขนาดชิปมันใช้เบอร์อะไรยังไม่รู้ 55++ ...แต่อนาคตก็ไม่แน่จริงม่ะ ... ถ้าเห็นว่ามีประโยชน์ก็แชร์กันได้นะครับ ^^ บทความนี้ส่งท้ายปีใหม่ละกันเพราะจะกลับบ้านแล้ว
สวัสดีปีใหม่ ขอให้คุณพระศรีคุ้มครองพระรัตนตรัย กลับบ้านเดินทางโดยถนนมิตรภาพครับ
[ref 1] slide จากงาน defcon https://media.defcon.org/…/DEFCON-24-Marc-Newlin-MouseJack-…
[ref 2] อุปกรณ์ที่โดนผลกระทบ https://www.bastille.net/…/vulne…/mousejack/affected-devices
[ref 3] โปรแกรมอัพ firmware จาก logitech https://support.logitech.com/en_us/software/unifying
同時也有10000部Youtube影片,追蹤數超過2,910的網紅コバにゃんチャンネル,也在其Youtube影片中提到,...
「remote powershell」的推薦目錄:
- 關於remote powershell 在 โปรแกรมเมอร์ไทย Thai programmer Facebook 的最佳解答
- 關於remote powershell 在 SYSTEX 精誠資訊 Facebook 的最佳貼文
- 關於remote powershell 在 iThome Security Facebook 的最讚貼文
- 關於remote powershell 在 コバにゃんチャンネル Youtube 的精選貼文
- 關於remote powershell 在 大象中醫 Youtube 的最佳貼文
- 關於remote powershell 在 大象中醫 Youtube 的最佳解答
- 關於remote powershell 在 Enable remote execution of scripts. Works with Pester. - GitHub 的評價
- 關於remote powershell 在 Powershell script to create folder and copy file to remote server 的評價
remote powershell 在 SYSTEX 精誠資訊 Facebook 的最佳貼文
因應 #勒索病毒 😱 備份、升級不可少...
#防患未然 #駭客攻擊瞬息萬變
#阻擋一波擴散_馬上又有變種
五月的第二週原本是溫馨美好的母親節,但WannaCryptor勒索軟體擴散訊息搶佔各大媒體報導,成為襲捲全球的大新聞。小編整理相關資訊讓您快速掌握IT人員及一般使用者的緊急應變措施以及了解WannaCryptor勒索軟體。
先別說這麼多,以下步驟您做了嗎 💁
👷 如果您是IT人員:
⭕ 防火牆攔阻 445 Port 流量並考慮限制 Tor 流量;
⭕ 入侵偵測系統設定阻擋 MS17-010 漏洞之特徵或規則;
⭕ 清查公司電腦資產,確認公司作業系統修補程序與資安軟體的部署狀態;
⭕ 部署微軟官方提供最新的修補檔;
⭕ 目前大多數的防毒軟體廠商均緊急提供特徵碼,將防毒軟體更新到最新版;
⭕ 備份公司重要檔案。
💡 原先 WannaCry 會連結一個未註冊的網域作為防衛機制,有資安研究人員嘗試註冊該網域,成功暫停 WannaCry 擴散。但目前已經發現新的變種,✨✨✨✨ 所以這個方式已經不再有效,請勿掉以輕心 ✨✨✨✨
👩 如果您是一般使用者:
⭕ 確認電腦無法上網後,停用 SMBv1;
⭕ 安裝從微軟官方提供最新的修補檔;
⭕ 將防毒軟體更新到最新版;
💡 停用 SMBv1 方式按開始,然後搜尋「開啟或關閉 Windows 功能」,把 SMB 選項取消打勾,並重新開機。或者:打開 Windows PowerShell,並輸入「Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol」(需要管理者權限)
💡 Windows各版本更新修補檔請參考微軟釋出說明:https://blogs.technet.microsoft.com/…/CUSTOMER-GUIDANCE-FO…/
👾👾👾👾👾👾👾👾👾👾👾👾👾👾
❓到底什麼是勒索病毒WannaCryptor
👾 WannaCry 被認為是基於美國國家安全局的「永恆之藍」EternalBlue 工具來發動攻擊,將受害者電腦內的檔案加密,並收取比特幣作為解密的贖金
👾 駭客組織 (The Shadow Brokers) 今年四月發布了一批從方程式組織(Equation Group) 洩漏的工具,其中便包括「永恆之藍」
👾 「永恆之藍」利用 SMBv1 的漏洞擴散,只要連上網路,用戶毋須任何操作,駭客便可植入執行勒索軟體、遠端控制電腦等惡意程序
👾 微軟於 2017 年 3 月 14 日已經發佈 MS17-010 系統修補程式來防堵此漏洞,但當時該修正程式只提供給較新的作業系統
👾 利用 AES-128 以及 RSA 演算法加密,並透過 Tor 通訊,因此難以反解密檔案與追蹤來源
❓受害與影響範圍
👾 WannaCry 提供 28 種語言,要求用戶支付 300 – 600 美元等值的比特幣贖金,並給予三天時間匯款,超過時間贖金則會翻倍,超過一周仍未付款則會「撕票」
👾 WannaCry 會同時在電腦上安裝 DOUBLEPULSAR 後門程式,它是另一款NSA 遭外洩的駭客工具
👾 主要針對Windows SMBv1的弱點進行攻擊,此次攻擊除利用電子郵件外,亦將會透過區域網路於內部快速擴散(有人中獎將於內部快速Remote感染擴散)
👾 可能遭影響的作業系統包含:
🖥 Windows XP
🖥 Windows 2003
🖥 Windows Server 2008 & 2008 R2
🖥 Windows Server 2012 & 2012 R2
🖥 Windows 7
🖥 Windows 8
🖥 Windows 8.1
🖥 Windows RT 8.1
🖥 Windows 10
🖥 Windows Server 2016
⚡⚡ 駭客攻擊的世界瞬息萬變,緊急處理措施完成後,務必持續檢視資安防護的完善程度有效降低資安風險 ⚡⚡
附圖中藍點為被攻擊區域,可見受災範圍十分廣泛,也同時提供您預防及解決勒索軟體的流程參考。
#請持續關注解決方案
remote powershell 在 iThome Security Facebook 的最讚貼文
#企業資安 #非惡意軟體
資安調查:非惡意軟體攻擊比惡意軟體攻擊更具威脅性
資安公司Carbon Black近期訪談了410位資安研究人員的調查發現,近年來非惡意軟體的攻擊頻率增加,大部分是利用原生系統工具從事惡意行動,包括遠程登入(remote logins)、WMI攻擊、內從記憶體攻擊、PowerShell攻擊和Office巨集攻擊,而且非惡意軟體攻擊比惡意軟體攻擊造成更多的商業風險,其中,有64%資安研究人員認為,目前市面上的防毒軟體無法防護企業受到非惡意軟體攻擊。
remote powershell 在 コバにゃんチャンネル Youtube 的精選貼文
remote powershell 在 大象中醫 Youtube 的最佳貼文
remote powershell 在 大象中醫 Youtube 的最佳解答
remote powershell 在 Powershell script to create folder and copy file to remote server 的推薦與評價
... <看更多>
remote powershell 在 Enable remote execution of scripts. Works with Pester. - GitHub 的推薦與評價
Enable remote execution of scripts. Works with Pester. - GitHub - PowerShell/Remotely: Enable remote execution of scripts. Works with Pester. ... <看更多>