Archive for the ‘Threat Data’ Category

23.07.08

Zombie ผีดิบซอฟต์แวร์

Zombie ที่กล่าวถึงนี้ คือ ซอฟต์แวร์ผีดิบที่ฝังในเครื่องคอมพิวเตอร์ของเราๆ ท่านๆ โดยไม่รู้ตัวและเป็นหนึ่งตัวอย่างที่อุปกรณ์ SRAN Security Center  สามารถวิเคราะห์และจับเหตุการณ์เครื่องคอมพิวเตอร์ที่เป็นซอฟต์แวร์ผีดิบนี้ได้  อาจกล่าวได้ว่า SRAN เป็นมากกว่าอุปกรณ์เก็บ Log ก็เพราะ SRAN บอกสาเหตุของภัยคุกคามที่อาจเกิดขึ้นได้ในองค์กรพร้อมทั้งแปลเนื้อหา Log ที่อ่านเข้าใจยาก ให้สามารถอ่านเข้าใจง่ายขึ้นโดยยึดหลัก Chain of event หรือเรียกว่า ห่วงโซ่เหตุการณ์ ว่า ใคร ทำอะไร ที่ไหน เวลาใด และอย่างไร

ซอฟต์แวร์ที่ติดตั้งไปในตัว Zombie ประกอบด้วย
- เครื่องมือโจมตีระบบ สามารถส่ง DoS (Denial of Services) , Remote Hacking โดยใช้ Robot ในการยิงค่า Exploit เพื่อยึดเครื่องคอมพิวเตอร์
- เครื่องมือดักจับข้อมูล เช่น Keylogger ซึ่งในบ้านเราเป็นข่าวอยู่บ่อยๆ สำหรับเรื่อง Keylogger
- เครื่องมือส่งข้อมูลไม่พึ่งประสงค์ เช่น ส่ง Spam mail ส่ง virus / worm ที่แนบมากับ files ผ่านการเชื่อมต่ออินเตอร์เน็ตใน Application Protocol ต่างๆ เช่น Mail , Chat , P2P เป็นต้น
ซึ่งหากมี Zombie หลายๆตัวรวมตัวกัน เพื่อทำการอย่างใดอย่างหนึ่งเราจะเรียกว่า “Botnet”

ใน ขณะนี้เท่าที่ติดตั้งและสังเกตการผ่านอุปกรณ์ SRAN ใน Site ที่ทำการทดสอบระบบพบว่ามีเครื่องคอมพิวเตอร์ในเมืองไทย มีการติด Zombie จำนวนมาก
จึงขอนำเสนอวิธีสังเกตการติด Zombie จากอุปกรณ์ SRAN Security Center เพื่อให้เห็นหน้าตาของภัยคุกคามนี้

เมื่อวิเคราะห์ดู Virus Zlob User Agent ที่ติดในเครื่องคอมพิวเตอร์ภายในองค์กร พบว่า

เป็นการส่งค่าออกไปนอกองค์กร ไปทำการ GET File ชื่อ db.zip ผ่าน Web ชื่อ onsafepro2008

Chain of evnet จากกรณีศึกษานี้คือ

ใคร คือ IP ต้นทาง IP ปลายทาง Port ต้นทาง และ Port ปลายทาง

ทำอะไร คือ มีลักษณะเป็น Get File ผ่าน HTTP Protocol

ที่ไหน  คือ Domain URL onsafepro2008

เวลาใด คือ  ช่วงเวลา 05:23 ของวันที่ 23/07/51

อย่างไร คือ มีลักษณะการใช้งานที่ผิดปกติและมีความเสี่ยงภัยคุกคาม ซึ่งอาจเป็น zombie ที่ติดไวรัสที่ชื่อว่า Zlob User Agent

หากเก็บเพียง Log อย่างเดียวแต่ไม่สามารถรู้ทันปัญหา รู้ทันเหตุการณ์ ก็จะทำให้ลำบากในการบริหารจัดการด้านระบบสารสนเทศในองค์กรนี้ได้

รายละเอียดอ่านเพิ่มเติมได้ที่ http://nontawattalk.blogspot.com/2008/07/zombie.html

Posted by admin | Posted in Attack, Technique, Threat Data | No Comments

18.07.08

ตรวจจับการเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ

การโจมตีชนิด Brute Force Password เป็นอีกกรณีศึกษาหนึ่ง ซึ่งเข้าข่ายฐานความผิดตามมาตรา 5 การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ ที่กล่าวว่า “ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีมีไว้สำหรับตน ..”

กรณีศึกษาการ FTP Brute Force Password

บริษัท A ได้มีการเปิด FTP Server เพื่อใช้ในการ Upload / Download เอกสารข้อมูล ซึ่งได้ตั้ง FTP Server ใน DMZ Zone

เมื่อบริษัท A ได้ติดตั้งอุปกรณ์ SRAN Security Center

เวลา 7:03 AM ผู้ดูแลระบบเฝ้าสักเกตพฤติกรรมการใช้ ระบบเครือข่ายในบริษัท A เมื่อคลิกหน้าจอ Https://sranserver เพื่อเฝ้าระวังภัยว่ามีความเสี่ยงตามมาตราใด ที่อาจจะส่งผลกระทบต่อระบบเครือข่ายบริษัท พบว่า

ข้อดีประการหนึ่งของอุปกรณ์ SRAN คือสามารถทำ Data Correlation เปรียบเทียบเหตุการณ์ และความเสี่ยงเพื่อจับเหตุการณ์ที่เกิดขึ้นเชื่อมโยงกับฐานความผิดตามมาตราต่างๆ ที่แปลได้ทางเทคนิค ซึ่งทำให้ผู้ดูแลระบบ รู้ทันปัญหาได้สะดวกขึ้น (ซึ่งฐานความผิดนี้เกิดจากอุปกรณ์ ต้องผ่านการวิเคราะห์จากบุคคลที่ผ่านการอบรมจาก SRAN http://www.gbtech.co.th/th/training/sran-usm-course)

เมื่อผู้ดูแลระบบพบว่ามีความเสี่ยงตามมาตรา 5 อยู่ พบว่าหนึ่งในเหตุการณ์นั้นคือลักษณะการใช้งาน Application ของการใช้ FTP ซึ่งตั้งค่า IP สำหรับ FTP Server เป็น IP ภายในองค์กรที่ 192.168.1.3 จึงทำการวิเคราะห์ผลเฉพาะเจาะจงที่การใช้งาน FTP จึงพบว่า

จากรูปพบว่ามีการ Login FTP ผิดจำนวน 447 ครั้ง มีการพยายาม Login อยู่ 754 ครั้ง

ผู้ดูแลระบบจึงทำการวิเคราะห์การ Login ผิด ผ่านระบบ FTP ซึ่งอาจหมายถึง User ถูก แต่ Password ผิด หรือทั้ง User / Password ผิด ซึ่งเข้าข่ายเป็นชนิดการโจมตีที่เรียกว่า Brute Force Password

จากรูปพบว่ามีการ Login ผิดจาก IP 219.254.34.82 จำนวนถึง 404 ครั้ง ตั้งแต่ช่วงเวลา 02:45 - 06:40 AM

เมื่อทำการวิเคราะห์ข้อมูลต่อโดยใช้อุปกรณ์ SRAN Security Center เพื่อดูย้อนหลังเหตุการณ์ที่ผ่านมาพบว่า

มีการ Login ผิดในหนึ่งนาที ผิดอยู่ 2 ครั้ง จึงทำการตรวจสอบประวัติ IP ดังกล่าว

พบประวัติดังนี้

มีการพยายาม Login อยู่ 221 ครั้ง ตั้งแต่เวลา 02:45 ถึง 06:40 และมีการ Login ผิดอยู่ 404 ครั้ง ตั้งแต่เวลา 02:45 - 06:40 AM

IP จากเกาหลี ,ผู้ดูแลระบบมั่นใจว่าเป็นการ Brute Force Password ผ่าน FTP Server ที่ตั้งขึ้นใน DMZ โซนบริษัท กรณีเดียว ซึ่งเป็นการตั้งใจเข้าถึงระบบโดยมิชอบ ผู้ดูแลระบบจึงทำการ Block IP ดังกล่าว

มีทำการ Add IP blacklist เข้าสู่ระบบ SRAN Security Center แล้วทำให้ IP ดังกล่าวไม่สามารถทำการ Brute Force ได้สำเร็จ

การจะ Block IP ได้นั้นต้องติดตั้งอุปกรณ์ SRAN ได้ 2 วิธี

วิธีที่ 1 ติดตั้งแบบ In-line Mode แบบนี้จะสามารถป้องกันภัยคุกคามได้อย่างอัตโนมัติ เนื่องจากใช้เทคโนโลยี IPS (Intrusion Prevention System) เข้ามาเกี่ยวข้อง แต่เนื่องจากวิธีนี้มีผลกับ Throughput ระบบเครือข่ายจึงไม่แนะนำให้ใช้กับองค์กรที่มีจำนวนเครื่องลูกข่ายเกิน 100 เครื่องขึ้นไปใช้วิธีนี้

วิธีที่ 2 ติดตั้งแบบ Transparent Mode แบบนี้จะสามารถป้องกันภัยได้ โดยการเฝ้าระวังและป้องกันได้เพียงระดับ IP / MAC Address และชื่อ Domain

เพียงใช้อุปกรณ์ SRAN Security Center ให้เหมาะสมถูกต้องกับรุ่นที่แนะนำ http://www.gbtech.co.th/th/product/usm

ก็จะทำให้ท่านสามารถรู้ทันภัยคุกคามและปัญหาต่างๆ ที่อาจเกิดขึ้นบนระบบเครือข่าย อีกทั้งเก็บบันทึกข้อมูลจราจร และวิเคราะห์ข้อมูลได้อย่างสะดวกสบายขึ้น ซึ่งเป็นการนำ Log ดิบ ทำให้เป็น Log สุก อ่านเข้าใจง่าย

พึ่งระลึกเสมอว่าไม่มีเทคโนโลยีใดที่ป้องกันภัยคุกคามได้ 100% แต่เราสามารถทำให้ ตื่นรู้ เพื่อรู้ทันเหตุการณ์ วิเคราะห์หาสาเหตุและแก้ไขปัญหาได้อย่างถูกต้อง ซึ่งทั้งหมดนี้ SRAN ที่เป็นมากกว่าอุปกรณ์เก็บ Log ช่วยคุณได้

Posted by admin | Posted in FTP, Technique, Threat Data | No Comments

Copyright 2008 by Global Technology Integrated