เชิญร่วมงานสัมมนา Rethink & Rebuild your Cyber Security Plan โดย AMR Asia

Microsoft เปิดให้โหลดโปรแกรมป้องกัน Reconnaissance บน Windows ฟรี

microsoft_logo

Itai Grady และ Tal Be’ery สองนักวิจัยด้านความมั่นคงปลอดภัยจาก Microsoft Advanced Threat Analytics (ATA) เปิดตัวเครื่องมือใหม่ที่ช่วยให้ผู้ดูแลระบบสามารถปกป้องระบบเครือข่ายขององค์กรจากการบุกรุกลาดตระเวน (Reconnaissance) ของแฮ็คเกอร์ได้ ชื่อว่า SAMRi10 (อ่านว่า สะ-มา-ริ-แทน) 

Credit: ShutterStock.com
Credit: ShutterStock.com

SMARi10 ถูกออกแบบมาเพื่อเสริมความแข็งแกร่งให้ระบบปฏิบัติการ Windows 10 และ Windows Server 2016 จากการ Recon โดยใช้ SAMR (Security Accout Manager Remote) Queries ซึ่งช่วยให้แฮ็คเกอร์สามารถดูรายชื่อของ Local และ Domain Users, Group Memberships, Alias และอื่นๆ ได้ แฮ็คเกอร์ที่แอบแทรกซึมเข้ามาในระบบบเครือข่ายได้แล้ว สามารถนำข้อมูลเหล่านี้มาสร้างเป็นแผนภาพเครือข่ายขององค์กรเพื่อช่วยให้พวกเขาสามารถระบุและเลือกคอมพิวเตอร์เป้าหมายที่เก็บข้อมูลสำคัญได้ง่ายยิ่งขึ้น

SAMRi10 เป็นสคริปต์ PowerShell ที่ผู้ดูแลระบบสามารถนำไปใช้รันบนคอมพิวเตอร์เครื่องใดๆ บนเครือข่ายก็ได้ แต่ต้องเป็น Windows 10 หรือ Windows Server 2016 เท่านั้น และใช้สิทธิ์ Administrator ในการรัน เครื่องมือดังกล่าวประกอบด้วยชุดการดำเนินงานที่ช่วยจำกัดการร้องขอข้อมูลผู้ใช้บนโดเมนผ่านทาง SAMR Queries กล่าวคือ SAMRi10 จะทำการแก้ค่า Registry Key ที่ใช้ควบคุมการเข้าถึงฐานข้อมูล SAM แบบรีโมต (SAM หรือ Windows Security Account Manager เป็นฐานข้อมูลสำหรับเก็บช้อมูลเกี่ยวกับบัญชีผู้ใช้) ซึ่ง Key ดังกล่าวจะมีเฉพาะใน Windows 10 หรือใหม่กว่า และจะไม่พบใน Windows เวอร์ชันก่อนหน้า

Registry Key ที่ SAMRi10 เข้าไปแก้ไขคือ HKLM/System/CurrentControlSet/Control/Lsa/RestrictRemoteSAM

นอกจากนี้ SAMRi10 ยังช่วยให้ผู้ดูแลระบบสามารถกรองผู้ที่สามารถร้องขอ SAMR Queries แบบรีโมตได้ โดยทำการสร้าง Group ใหม่ ชื่อ “Remote SAM Users” ผู้ใช้ที่อยู่ใน Group นี้จะสามารถส่งคำร้อง SAMR Queries ได้ทันที ถึงแม้ว่าจะไม่ได้เป็น Domain Adminstator ก็ตาม

ภาพด้านล่างแสดงหน้าจอเมื่อทำการร้องขอข้อมูลผู้ใช้จากฐานข้อมูล SAM สำเร็จและไม่สำเร็จ (ใช้ SAMRi10)

samri10_1
SAMR Query ได้สำเร็จ
samri10_2
SAMRi10 ป้องกัน SAMR Query

จากการทดสอบ SAMRi10 พบว่าสามารถป้องกัน SAMR Queries จากเครื่องมือ Recon ชื่อดังอย่าง PoweSploit และ BloodHound ได้

ผู้ที่สนใจสามารถอ่านรายละเอียดและดาวน์โหลด SAMRi10 มาลองใช้ได้ที่: https://gallery.technet.microsoft.com/SAMRi10-Hardening-Remote-48d94b5b

ที่มา: https://www.bleepingcomputer.com/news/security/microsoft-researchers-release-anti-reconnaissance-tool-named-samri10/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

MIT พัฒนา AI ออกแบบหุ่นยนต์ที่เหมาะกับงานชนิดต่างๆ ได้โดยอัตโนมัติ

MIT ได้เผยถึงโครงการ RoboGrammar ซึ่งเป็น AI สำหรับใช้ในการออกแบบกลไกของหุ่นยนต์ให้เหมาะสมกับงานโดยอัตโนมัติ สามารถออกแบบหุ่นยนต์ในแบบ Arthropod ที่เหมาะสมต่อการใช้งานในภูมิประเทศที่แตกต่างกันได้หลายรูปแบบ

DataRobot ระดมทุนได้อีก 8,100 ล้านบาท มีมูลค่ารวม 81,000 ล้านบาทแล้ว

DataRobot ธุรกิจ Startup ด้าน Enterprise AI Platform ครบวงจร ได้ออกมาเผยถึงการระดุมทุนมูลค่า 270 ล้านเหรียญหรือราวๆ 8,100 ล้านบาทซึ่งนำโดย Altimeter Capital ทำให้ปัจจุบันบริษัทมีมูลค่า 2,700 ล้านเหรียญหรือราวๆ 81,000 ล้านบาทแล้ว