What is Nostr?
chontit
npub1r27…hxu8
2024-09-03 07:01:05

chontit on Nostr: ใครที่เป็นเพื่อนผมใน Facebook ...

ใครที่เป็นเพื่อนผมใน Facebook อาจจะพอได้เห็นเรื่องราวเกี่ยวกับ Server ที่ทำงานฯ โดน Ransomware เล่นงานนะครับ ,, เพื่อที่จะได้เป็น Lesson Learned ให้กับเพื่อน ๆ ที่สนใจ .. ผมก็ขอนำมาโพสต์ในนี้ด้วยอีกที่นึงครับ #siamstr 🧡

.

เหตุการณ์มันเริ่มต้นจากมีเพื่อนที่ทำงานของผมทัก DM มาในเช้าวันอาทิตย์ และถามว่า "ทำไมเค้าเข้า Shared Folder ไม่ได้ ,, โดยฟ้องว่ารหัสผ่านผิดและบอกให้กรอกรหัสผ่านใหม่" ซึ่งตอนนั้นผมอยู่ กทม. และยังไม่สามารถตรวจสอบอะไรได้มาก (ลองเข้า Server ผ่าน Microsoft Remote Desktop ก็ฟ้องว่ารหัสผ่าน Administrator User ผิด งง ๆ เหมือนกันแหะ) 😂

พอผมเดินทางกลับมาโคราชและเข้าไปที่ทำงานช่วงประมาณ 4 ทุ่มก็พบว่า ,, ไม่สามารถ Log in ด้วย Administrator ได้ ,, ผมก็เลยลอง Log in ด้วย User อื่น ๆ ที่มี และสามารถเข้าได้ปกติ แต่พอไปไล่ตรวจสอบไฟล์ พบว่า...

ไฟล์แทบทุกไฟล์จะถูกเปลี่ยนชื่อ และลงท้ายด้วยนามสกุล .-Encrypted ทั้งหมด ,, โอ้โห!!! งานหยาบละ ,, ตอนนั้นซ็อกอยู่ ทำไรไม่ถูกเลย เพราะไม่คิดว่าจะโดนแบบนี้มาก่อน 55555 😮

และยังมี text file แนบไว้ทุก ๆ โฟลเดอร์ที่โดนเข้ารหัสไว้ให้อ่านเล่น ๆ ด้วยนะ 😚

ใจนึงก็คิดได้ว่า .. "เอ้ออ แต่เรามีไฟล์ที่ Clone ไว้ใน External Drive ด้วยโปรแกรม Always Sync นี่หว่า .. เลยรีบเข้าไปดู แต่พบว่า ... "ไฟล์ทั้ง External drive นั้นมัน .-Encrypted หมดเลยเหมือนกัน!!!" โคตรซ็อก 🥲

หมดหวังไปหนึ่ง .. แต่ยังไม่พอนะ เราก็คิดต่อว่า ,, "เราทำระบบ Windows Server Backup ไว้ด้วย ซึ่งมันจะทำงานตอนเที่ยงคืนของทุกวัน และจะได้ไฟล์ Virtual Disk (.vhdx) นี่หว่าา ไหนลองดูซิ..." 🧐

พอเข้าไปดูใน External drive อีกอันที่เข้ารหัสไว้ด้วย Bitlocker ,, พบว่า..

ไฟล์ .vhdx เกือบทั้งหมดมีนามสกุล .-Encrypted เช่นกัน !!! (ซึ่งผม Backup Drive C, D, E ไว้) ,, แต่คงเหลือไว้ 1 ไฟล์ ที่เป็นข้อมูลไดวฟ์ D ทั้งหมด (ขนาดประมาณ 1.75 TB) ซึ่งเป็นข้อมูลสำคัญมากกกก และยังไม่โดน Encrypted !!!!! 👍

เลยลองรีบ Attach .vhdx ไฟล์เข้า Disk manager ของคอมพิวเตอร์เครื่องอื่น แต่ปรากฎว่ามันขึ้นเป็น RAW disk (งานเข้า.. ข้อมูลเปิดไม่ได้ ,, แต่ถ้ายัง Attach ได้แสดงว่าไฟล์ไม่ได้เสีย ,, เดี๋ยวค่อยลองใช้พวก Recovery โปรแกรมมาอ่านดู) เลยทิ้งไว้แบบนั้นก่อน แล้วรีบไป Format ล้างเครื่อง Server ใหม่ 😓

นี่แหละนะ.. จุดอ่อนของระบบ Centralized,, มันมี Single point of Failure 😄

.

ตั้งแต่เวลา 23:00 (คืนวันอาทิตย์) ถึง 05:00 (เช้าจันทร์) ,, รวมแล้ว 6 ชั่วโมงพอดีในการ Recovery ระบบ Server ของที่ทำงาน 😓

.

และตอนนี้ระบบกลับมา Online ได้ตามปกติแล้ว โดยได้ดำเนินการหลัก ๆ เพื่อเป็นการปิดช่องโหว่ก็คือ
✅ เปลี่ยน Password ของ Administrator ใหม่
✅ สร้าง User ขึ้นมาเฉพาะ และจำกัดสิทธิ์เพื่อเข้าถึงเฉพาะโฟลเดอร์ที่แชร์
✅ ปิด Remote Desktop service (port 3389) ไปก่อน (ใช้การบริหารจัดการที่ตัว server เท่านั้น)
✅ ไม่ติดตั้งโปรแกรมอะไรในเครื่อง Server เลย นอกจากที่จำเป็นต้องใช้เท่านั้น!!
✅ ในส่วนของตัว Firewall ก่อนเข้า Server นี่ .. แทบจะลบ NAT Rule ออกทั้งหมด เหลือแต่ที่จำเป็นต้องใช้ (ก่อนหน้านี้ทำโปรเจคอะไรเล่นก็จะไปสร้างกฎไว้เต็มไปหมด 55555)

.

พอเราควบคุมสถานการณ์ได้แล้วเลยลองมาวิเคราะห์ทีละขั้นทีละตอนกัน 😇

จุดที่นำไปสู่ความเสียหายได้ก็คงเป็นเพราะปัจจัยเหล่านี้แหละ
➡️ วางระบบ Files Sharing เพื่อใช้งานในวงแลน แต่ใช้ User Administrator กับคอมในวงแลนทุกเครื่อง (มันง่ายดี 5555) 😘
➡️ สามารถ Remote เข้าไปควบคุมเครื่องผ่าน Port 3389 ได้ (แต่ก็ทำทางเลี้ยวผ่าน port อื่นให้มันงง ๆ ไว้อยู่นะ) 🥺
➡️ เปิด Port 80 ทำเป็น Web Server ไว้ ,, ซึ่งเข้ามาจะเจอ index.html หน้าเดียวที่เป็นโลโก้ของที่ทำงาน (ซึ่งนำไปสู่ปัญหาข้อต่อไป) 😔
❌ Administrator Password มีคำที่อยู่ในโลโก้ที่ทำงาน 😂😂😂 ,, อันนี้ถือว่าชะล่าใจไปเยอะเลย เพราะไม่คิดว่าจะโดน Hack ได้ง่าย ,, ถ้า Bruteforce ดี ๆ ก็อาจจะเจอรหัสผ่านได้เลย 🤦‍♂️

➡️ อีกหนึ่งประเด็นที่ทิ้งไปไม่ได้ก็คือ… ระบบ Fixed IP จาก ISP ,, ซึ่งมันทำให้ผู้ที่จะโจมตีรู้ IP Address และวิ่งตรงเข้าสู่ระบบได้เลย เฮ้อออ 😓

.

และวันนี้ก็ลองนำไฟล์ .vhdx มา Attach เข้าไปยัง Disk manager ใหม่ และใช้โปรแกรม Active@ File Recovery ลองผ่านดู ,, ปรากฎว่าสามารถเข้าถึงไฟล์ Backup ของ Drive D ได้ทั้งหมดครบ 100% เย้ ๆ ๆ

.

สุดท้ายนี้ต้องขอบคุณตัวเองที่ Panic ,, วางระบบ Backup แบบงู ๆ ปลา ๆ ไว้หลายจุดหน่อย ,, ทำให้ไฟล์สำคัญ ๆ ๆ ได้กลับคืนมาครบทั้ง 100% แล้ว 🎉🎉🎉

ส่วนนึงในนั้นก็คือการใช้ Always Sync เพื่อทำการ Duplicate File ไปยังคอมพิวเตอร์เครื่องอื่น ๆ ในวงแลนไว้อีก 1-2 ที่

.

ป.ล.ถ้าใช้เป็น Linux ทำ File Server มันจะดีกว่ามั้ยนะ 55555 🤓

ป.ล.2 ลองกลับมาเล่นงานอีกครั้งสิ หึหึ ,, คราวนี้พร้อมตั้งรับเต็มที่ ต่อให้โจมตีได้ก็ไม่ต้องกลัวเรื่องข้อมูลสูญหายแล้วววว 😎

ปล.3 ผมไม่เคยเรียนอะไรเกี่ยวกับคอมพิวเตอร์มาก่อนนะ และก็ไม่ใช่คนที่ดูแลระบบ Server โดยตรงด้วย ,, ความรู้ในการสร้างระบบ Server ที่เล่าไปนั้น ... ได้มาจากประสบการณ์ส่วนตัวล้วน ๆ เลยครับ (เข้ามาทำส่วนนี้เพราะว่าความชอบล้วน ๆ และที่ทำงานก็ไม่ได้มีคนดูแล Server โดยเฉพาะ) ,, เพราะฉะนั้นการวางระบบต่าง ๆ อาจจะไม่ค่อย make sense ซึ่งก็มาจากประสบการณ์อันน้อยนิด และไม่ทันได้ระวังตัวอย่างรอบครอบครับ 😉

ปล.4 โลก Internet โคตรน่ากลัวเลยนะครับ ,, อย่าคิดว่าเราจะไม่มีโอกาสโดนแบบนี้ (ผมก็ไม่เคยคิดว่าจะโดน) สำคัญที่สุดของการป้องกัน Ransomware ไม่มี!! ครับ ,, แต่ต้อง Backup ข้อมูลไว้บ่อย ๆ และควรแยก Haddisk ที่ Backup ออกมาจากตัวระบบหลักนะครับ .. ไม่อย่างนั้นตัว Backup ก็จะโดนไปด้วยแบบผม 555555 🥲

ป.ล.5 เวลามีค่า..ศึกษาบิตคอยน์ (เกี่ยวกันมะ) 🧡😇

#SiamstrOG #Ransomware #Windowsserver
Author Public Key
npub1r27yp3vmr53gx9z2ltzxt8pah07p5xext2u7eeeg5zs5cmxkpeqst2hxu8