▸ Cyber Range Thailand 2024
Cyber Range Thailand 2024
ด้วยบริษัท Solar จำกัด และบริษัท Cloudsec Asia จำกัด มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ร่วมกับหน่วยงานพันธมิตร กำหนดจัดการประกวดแข่งขัน Cybersecurity งาน “Cyber Range Thailand 2024” โดยมีวัตถุประสงค์เพื่อส่งเสริมประโยชน์ของ Cyber Range ในอุตสาหกรรมเทคโนโลยีสารสนเทศและ Cybersecurity ในประเทศไทย และเพิ่มทักษะให้กับสถาบันการศึกษา นักวิชาการ นักวิจัย คณาจารย์ นักเรียน นิสิต นักศึกษา ตลอดจนประชาชนที่สนใจ ในด้านความปลอดภัยทางไซเบอร์ได้มีโอกาสแลกเปลี่ยนองค์ความรู้และประสบการณ์ในด้านเทคโนโลยีและการรักษาความมั่นคงปลอดภัยไซเบอร์ และตระหนักถึงความสำคัญในการสร้างองค์กรที่มีความยืดหยุ่นด้านความปลอดภัยทางไซเบอร์ รวมถึงการมีเครื่องมือและวิธีการเพื่อให้บรรลุเป้าหมายที่ต้องการ ซึ่งการจัดงาน Cyber Range เป็นการจำลองสภาพแวดล้อมเสมือนจริงเฉพาะทางที่จำลองโครงสร้างพื้นฐาน IT/IOT ในโลกแห่งความเป็นจริงเพื่อการฝึกอบรม การทดสอบ และพัฒนาทักษะด้านความปลอดภัยทางไซเบอร์ โดยงานการประกวดแข่งขันรอบชิงชนะเลิศดังกล่าวจะจัดขึ้นในวันที่ 19 ตุลาคม 2567 เวลา 9.00 – 16.00 น. ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี กรุงเทพมหานคร
Organized by Solar Co., Ltd. and Cloudsec Asia Co., Ltd. in partnership with King Mongkut’s University of Technology Thonburi (KMUTT) and the National Cyber Security Agency (NCSA), along with allied agencies, the “Cyber Range Thailand 2024” competition was held to promote the role of Cyber Ranges in Thailand’s IT and Cybersecurity industries. The goal was to upskill educational institutions, academics, researchers, faculty, and students, plus interested members of the public, in cybersecurity. A Cyber Range is a specialized virtual environment that emulates real-world IT/IOT infrastructure for training, testing, and skill development. The final round was held October 19, 2024, 9:00 to 16:00, at KMUTT, Bangkok.
CyberRangeThailand2024 Qualifiers
Used the cybermir platform. The contest system was insanely brutal, scores dropping and rising unpredictably, no feedback on which answer was right or wrong
NOTEโจทย์ทั้งหมดครับ แบ่งเป็นหมวดหมู่ไฟล์หลักฐาน แล้วจะมีข้อย่อยอีก
NOTEAll challenges, grouped by evidence-file category, with sub-questions inside each.
NOTEระบบ live event เวลาโดนโจมตี จะแสดงผลครับ
NOTELive event system showing what happens when you get attacked.
ส่วนเรื่อง write up โจทย์งานแข่งขัน ผมขออนุญาตเป็น Blog ของพี่ Chicken ละกันนะครับ เรียกได้ว่าพี่เขาเทพ Blue Team มาก ใช้เวลาไม่กี่ชั่วโมงทำคะแนนได้ 100% สุดยอดมาก ๆ ครับ
CyberRangeThailand2024 รอบสอง
ต้องขอขอบคุณทางทีมงาน Cyber Range Thailand 2024 ที่ได้ให้ประสบการณ์ใหม่ ๆ ในการแข่งขันทักษะทางไซเบอร์ในลักษณะการแข่งขันการทำ Live Incident Response เช่นเคยเป็นงานแข่งเน้น Blue Team เป็นหลัก ซึ่งในส่วนที่ผมชอบที่สุดก็คือ การส่ง Report โดยให้เลือก Technique ตามหลัก kill chain ได้แก่
For the contest write-up, I’ll point at Chicken’s blog instead. He’s a Blue Team monster who scored 100% in just a few hours, ridiculous skill.
CyberRangeThailand2024 Finals
Big thanks to the Cyber Range Thailand 2024 team for a fresh cyber-skill competition format, Live Incident Response. As usual, Blue Team focused. My favorite part was submitting the Report by picking Techniques along the kill chain. Those were:
NOTE
- Reconnaissance
- Initial Access
- Privilege Escalation
- Credential Access
- Persistence
- Defense Evasion
- Lateral Movement
- Exfiltration
- Disruption of Business Processes
NOTEเครื่องจำลองที่สามารถเข้าไป investigating ได้ครับ
ซึ่งต้องบอกก่อนว่าแต่ละคนที่มาไม่ได้ซ้อมมือกันมาเลย ใช้ทักษะความถนัดของแต่ละตัวบุคคล อย่างเช่น ถ้าถนัด Blue ก็จะ Query Event ต่าง ๆ โดยใช้เครื่องมือ Kaspersky Unified Monitoring and Analysis Platform (KUMA) รวมไปถึงเช็ค Firewall ด้วยว่ามีการ Alert เหตุการณ์อะไรบ้าง ถ้า Red ก็อาจจะเข้าไป Enum ข้อมูลในเครื่องเลย เช็ค Log หรือไฟล์ที่ถูก Compromise ร่องรอยการทิ้งเครื่องมือที่ถูก Hacker ติดตั้งไว้
สุดท้ายต้องขอขอบคุณพี่ Chicken ที่วิเคราะห์เหตุการณ์ได้อย่างรวดเร็ว และวาง Time Line อย่างเป็นระบบ ทำให้ member ในทีมเข้าใจและรู้ว่าต้องไป investigate เพื่อที่จะให้ได้หลักฐานมาเชื่อมโยงข้อมูลแล้วส่ง Report ในโจทย์คำถามได้ในที่สุดครับ
สำหรับ Review งานแบบละเอียด ผมขออนุญาตเป็น Blog พี่ Chicken อีกเช่นเคยครับ
NOTEThe simulated machines we could investigate.
To be clear, nobody on the team practiced together beforehand, we used individual strengths. Blue-leaning people queried events with Kaspersky Unified Monitoring and Analysis Platform (KUMA) and checked the Firewall for alerts. Red-leaning people went into machines, enumerated, checked logs and compromised files, and looked for traces left by the attacker’s tools.
Huge thanks to Chicken who analyzed the incident fast and built a clean timeline, so the team understood what to investigate next, gathered evidence, connected the dots, and finally submitted the answers.
For a detailed review, again I’ll defer to Chicken’s blog.
ขอบคุณมากครับ สนุกมาก ๆ แถมทีมเราทั้งผมและพี่ ๆ ทำโจทย์ไปขำไป
IMPORTANTดูจากนี้เหมือนจะมีโจทย์ไม่เยอะ แต่มันคือหัวข้อหลักแล้วแบ่งตอบเป็นข้อย่อย ๆ อีกเป็นจำนวนมาก
Thanks so much, had a blast. Our team kept laughing while solving challenges
IMPORTANTLooks like there are not many challenges, but each top-level category breaks down into many sub-questions.
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢀⣀⣤⣤⣤⣤⣤⣤⣤⣤⣀⣀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀
⢀⣤⣶⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣶⣤⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Score : 24
⠀⠀⠀⠀⠀⣠⣾⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⢠⣾⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠟⠛⠻⣿⣿⣿⣿⣿⣿⣿⣷⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⣰⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡇⠀⠀⠀⢸⣿⣿⣿⣿⣿⣿⣿⡿⠂⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⣸⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣦⣤⣴⣿⣿⣿⣿⣿⡿⠛⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⢰⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠿⠛⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⣾⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠿⠋ ⢀⣀⠀⠀⠀⠀⠀⠀
⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠟⠋⠁⠀⠀ ⣴⣿⣿⣿⣦⠀⠀⠀
⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⣦⣀⠀⠀⠀ ⢿⣿⣿⣿⡟ Ar3mus @ Cyber Range Thailand 2024
⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⣦⣄ ⠉⠉⠁⠀⠀⠀⠀
⠸⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣦⣄⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⢻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣶⣄⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⡄⠀⠀⠀⠀⠀
⠀⠀ ⠙⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡿⠋
⠀⠀⠀ ⠀⠛⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡿⠋⠁
⠀⠀ ⠀⠀⠀⠀⠉⠻⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠿⠛⠉⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⠉⠙⠛⠛⠻⠿⠿⠟⠛⠛⠋⠉⠀⠀⠀⠀⠀