Thien's Blog

BEC và AiTM không chỉ đơn thuần là những cuộc tấn công email thông thường, mà chúng đang ngày càng tinh vi hơn trong việc qua mặt cả những biện pháp bảo mật tiên tiến.  1. Business Email Compromise (BEC) – Khi email bị chiếm đoạt thành công cụ tấn công BEC là gì? BEC là một hình thức lừa đảo email trong đó kẻ tấn công chiếm quyền kiểm soát hộp thư doanh nghiệp và sử dụng nó để lừa đảo tài chính, thu thập dữ liệu, hoặc tiếp tục phát tán mã độc. Phương thức tấn công BEC phổ biến -  Phishing (Lừa đảo qua email) : Kẻ tấn công gửi email giả mạo, dụ dỗ nạn nhân nhập thông tin đăng nhập vào trang web giả. - Ứng dụng độc hại : Một số ứng dụng giả mạo yêu cầu quyền truy cập vào email và dữ liệu người dùng. - Tên miền giả mạo : Tạo tên miền gần giống với công ty thật để gửi email lừa đảo. - Dịch vụ Cybercrime-as-a-Service (CaaS) : Kẻ tấn công thuê dịch vụ lừa đảo từ các tổ chức tội phạm mạng chuyên nghiệp. BEC nguy hiểm thế nào? -  Đọc email nhạy cảm : Kẻ tấn công có thể theo...

 Sau khi tạo mới , user phải thực hiện MFA (SMS, Authen app) thông qua sự kiểm soát của Conditional Access (CA). Trong suốt quá trình sử dụng tài khoản nếu vi phạm CA sẽ block hoặc yêu cầu MFA  User phải đăng ký thiết bị lên entraid và enroll thiết bị vào intune bằng cách hoàn thành company portal. Intune sẽ đánh giá mức độ tuần thủ của thiết bị và CA sẽ dựa vào đó để allow/block.

      CVE-2024-24974, CVE-2024-27903, CVE-2024-27459, and CVE-2024-1305 are four vulnerabilities affecting OpenVPN prior to version 2.6.10. A threat actor could exploit these vulnerabilities to launch arbitrary code with SYSTEM privileges in kernel mode on a target system running a vulnerable version of OpenVPN. Exploitation requires credentials for a user in the OpenVPN Administrators group, which a threat actor can possibly extract from insecure network authentication, such as NTLM. OpenVPN disclosed these four vulnerabilities on March 20, 2024, simultaneously with the release of OpenVPN 2.6.10. No proof-of-concept exploit has been released. Detail : https://security.microsoft.com/threatanalytics3/0f45821b-936a-4731-837d-501fcd7097a4/overview?tid=8fb1c748-1a93-4acb-a71a-4c07d2f055c4 Vuln sẽ bị khai thác khi quản trị viên sử dụng insecure authen protocols (NTLM , ldap, v.v…) Điều kiện thuật lợi : MITM (man in the middle) , bị phishing thành công và malware được...

 Concepts Pyramid of pain hữu ích cho network defense trong doanh nghiệp. Pyramid cho chúng ta thấy rằng nếu attacker dùng malware để lây nhiễm vào các thiết bị đầu cuối (endpoint) thuộc attack chain của chúng đề ra thì 1 người phòng thủ và bảo vệ phải biết cần dùng nhiều hơn là Hash value để phát hiện những Behavior.

1. Devices(PC1) được tham gia vào AD local để apply GPO : Autoenroll . Đồng thời được di chuyển vào OU được khai báo trong AAD connector để thực hiện động bộ (sync) lên AAD  2. User được gán license tương ứng login vào devices (PC1) . PC1 sẽ tự hiện enroll bằng cách giao tiếp với MDM service. MDM service sẽ kiểm tra PC1 có trên AAD hay không ? Nếu có sẽ Enroll vào Intune cho Intune quản lý (compliance , configuration , av , fw , . . .)

 Toàn diện về Network Operation theo tư duy góc nhìn , kinh nghiệm kiến thức cá nhân