Archive for the ‘Chat’ Category

05.05.08

IM Malware

เป็นเหตุการณ์ที่เกิดขึ้นจากลูกค้าที่ใช้อุปกรณ์ SRAN จึงขอนำมาเป็นบทวิเคราะห์ เพื่อเป็นกรณีศึกษาต่อไป

ทางบริษัทได้ติดตั้งอุปกรณ์ SRAN มาใช้เป็นระยะหนึ่งแล้ว พบเหตุการณ์ดังนี้

รบกวนช่วยตรวจสอบให้ด้วย ว่าทำไมอยู่ดีๆ จึงมีข้อความจาก msn ส่งมาให้ว่า “http://aun_117.very.c0o0lthing.info”
จากคนที่เราไม่ได้ chat ด้วย และเจ้าของ user ก็ไม่ได้ส่งมา

รูปที่ 1 อุปกรณ์ SRAN Security Center ที่ติดตั้งใน Site ลูกค้าที่ติดต่อเรื่องนี้มาซึ่งเป็นอุปกรณ์ในรุ่นเล็ก SR-S

เมื่อทีมงาน SRAN ได้เข้าไปดู Log จากอุปกรณ์ ซึ่งสามารถดูผ่าน HTTPS ได้ จึงพบว่า
ในกรณีที่ว่าเกิดขึ้นกับ MSN User ตาม Payload ที่โชว์ใน RAW Data บนอุปกรณ์ SRAN อาจมีความเสี่ยงที่ติด Malware ที่มากับเว็บไซด์ http://very.c0o0lthing.info/ ซึ่งเป็นการหลอกถาม Password ของ MSN ที่ตนเองใช้อยู่ ทำให้ msn ส่งข้อความมาตาม contact list ให้หลอกไปเข้าเว็บ http://very.c0o0lthing.info/ เพื่อที่ขยายโปรแกรม Malware ต่อไป
เป็นปัญหา MSN Malware ทั่วไปที่เจอในขณะนี้

จึงขอนำ Data Payload มาไว้ในการวิเคราะห์ดังนี้

รูปที่ 2 เป็นหน้าจอในการวิเคราะห์ข้อมูลบนตัวอุปกรณ์ SRAN ส่วนบนสุดพบว่าเหตุการณ์การสนทนา MSN (Chat MSN Signature) ซึ่งอยู่ในหมวดหมู Policy Violation เป็นค่าตั้งต้นที่สามารถปรับแต่งได้ ซึ่งในที่นี้การเล่น MSN ในองค์กรเป็นเรื่องที่ทางผู้ดูแลระบบดูแล และออกกฏ (Policy) ห้ามเล่นในเวลาทำงาน

จากรูปที่ 2 เราพบว่าเครื่องลูกข่าย และเครื่องปลายทางติดต่อ

ตามห่วงโซ่เหตุการณ์ (Chain of Event) นั้นคือ Who

IP : 192.168.0.135 ที่ Port 57782 กำลังติดต่อไปที่ MSN Server ที่ IP 207.46.27.168 ที่ Port 1863

และ When คือเวลาที่แสดงพบเหตุการณ์นี้ ในวันที่ 30 เดือน เมษายน ปี 2551 เวลา 12:08

และ Why (How) เป็นการใช้งาน MSN เพื่อสนทนา ดูจาก Chat MSN Signature

รูปที่ 3 เป็นค่า Payload ซึ่งจะทำให้รู้ลักษณะการใช้งาน ตามห่วงโซ่เหตุการณ์ (Chain of Event) นั้นคือค่า What ทำให้เราทราบลักษณะการใช้งาน มี Massage จาก User MSN ให้เปิด URL ที่มี Malware ฝั่งอยู่

ภัยคุกคามสมัยใหม่ มักจะเล่นงานที่ User เป็นหลัก จึงควรพิจารณาให้ดีก่อนจะรับ files  ใดๆ หรือ Link URL ใดจากบุคคลอื่น แม้กระทั้งเพื่อนที่เรารู้จัก

ข้อมูลที่เกี่ยวข้อง

ข้อมูลเพิ่มเติม การใช้ SRAN Security Center อย่างถูกต้อง

ความหมายของ Malware

“Malware คือความไม่ปกติทางโปรแกรมมิ่ง ที่สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit”

ความหมายของ IM (Instant Messaging)

http://en.wikipedia.org/wiki/Instant_messaging

Posted by admin | Posted in Chat, Technique | No Comments

17.02.08

Chat

1. ชื่อฐานข้อมูล Signature : CHAT MSN message

หมายเลข : NDC001

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การใช้งาน MSN ในลักษณะคุยกัน

ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event)เพื่อพิจารณา Log ที่เกิดขึ้น

Who : ชื่อ (Nick Name)

What : ลักษณะการสนทนา , การส่ง-รับ files

Where : MSN , Yahoo , IRC , Camfrog

When : ทราบถึงเวลาการใช้งาน

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ

ภาพหน้าจอในการเก็บบันทึกข้อมูลจราจรจากการใช้สนทนาโดยใช้โปรแกรม MSN

Posted by admin | Posted in Chat, Normal Data | No Comments

© Copyright 2010 Global Technology Integrated