This post originally available on Intelligent Response Encyclopedia (IRE) but it seems to be useful and be a good example as an experimental hunting use case, so I decide to publish here with new updates from National Cyber Security Centre.

ในช่วงสัปดาห์ที่ผ่านมา Australian National University (ANU) ได้มีการเปิดเผยถึงรายละเอียดการโจมตีทางไซเบอร์ผ่านทาง Incident report ซึ่งรายงานถึงกรณีของการละเมิดข้อมูล (Data breach) และการเข้าถึงระบบซึ่งมีความสำคัญสูงตั้งแต่ช่วงปลายปีที่ผ่านมา รายงานฉบับนี้มีการเผยให้เห็นพฤติกรรมและเทคนิคของผู้โจมตี (Tradecraft) รวมไปถึงประเด็นในการตรวจพบการเกิดขึ้นของเหตุการณ์ด้านความปลอดภัยหลายประการ

ที่มาของบล็อกนี้เป็นบทความตั้งแต่ปี 2014 ซึ่งมีตัวประกอบคือคุณ Andrew W.K. และผู้ที่ถามคำถามจากทางบ้านซึ่งใช้ชื่อว่า Son of A Right-Winger โดยเป็นบทความในเชิงการขอคำปรึกษาในการรับมือกับคุณพ่อซึ่งมีนิสัยขวาจัด ความพิเศษที่ทำให้ผมต้องหยิบบทความนี้มาบันทึกไว้ในบล็อกแทนที่จะอ่านแล้วลืมมันไปนั้นมีด้วยกันหลายเหตุผล ในส่วนหนึ่งคือความเปลี่ยนแปลงของสังคมซึ่งมันแทบไม่เปลี่ยนไปเลยแม้เวลาจะผ่านไปแล้ว 5 ปี และอีกส่วนหนึ่งคือปัญหาด้านความเข้าใจระหว่างคนซึ่งในรุ่นที่แตกต่างกันซึ่งเกิดขึ้นอยู่แล้วในชีวิตของทุกๆ คน

According to my session for #MiSSConf(SP5), I decided to find some well-known case as an example and it will be used to analyze with MITRE ATT&CK for pre and post-incident assessment. One of the most well-known security incident cases I picked is relating to the heist of Government Savings Bank in Thailand 2016 in which I found many interesting points with the malware. In this post, I will briefly explain those points as a note for myself and a teaser for my talk.

This is a quick note about Phobos ransomware analysis. If you’re interesting, I left materials including the sample, required key file and x64dbg’s comments on the repository here.