SRAN Technology

ไม่นานนี้ทีมพัฒนาอุปกรณ์ SRAN Security Center ได้ปรับแต่งหน้าต่างแสดงผลของ เมนู Monitoring สำหรับ HTTP / HTTPS  ในการเปิดใช้งานเว็บโดยสามารถบอกรายละเอียด URL และ URI ที่ผู้ใช้งานเข้าใช้บริการ จากเดิมจะสามารถดูได้ในค่า Payload แต่ตอนนี้จัดแต่งให้ดูสะดวกขึ้นในหน้า Monitoring

จุดประสงค์ เพื่อใช้ในการพิสูจน์หาหลักฐาน (Forensic) ที่สามารถตรวจเนื้อหา (Content) ที่เป็นภาษาไทย จากการใช้งานตาม Protocol ที่สำคัญได้ เช่น Web, Mail ,Chat, Upload/Download เป็นต้น  ซึ่งรายงานผลจะแสดงผลให้ดูสะดวกขึ้นจากเดิม

ซึ่งจากการทดสอบ ตรวจเนื้อหา (Content) เฉพาะส่วน HTTP ทั้งรูปแบบ GET และ Post

รูปแบบข้อความ encode แบบ tis-620 ,windows-874, utf-8ในส่วนของ POST จะมีสองแบบคือ

รูปที่ 1 แผนภาพเมื่อนำอุปกรณ์ SRAN Security Center ติดตั้งบนระบบเครือข่าย (Network) เพื่อใช้ดูเนื้อหาที่ไม่เหมาะสมตามฐานข้อมูลที่มีอยู่ จาก Protocol ที่สำคัญเช่น Web / Mail / Chat / Upload / Download / VoIP เป็นต้น

ตัวอย่างหน้าจอ Monitoring เฉพาะส่วน HTTP / HTTPS

รูปที่ 2  แสดงหน้าจอ HTTP Monitoring ทำให้เห็น URI path ในหน้าเดียวกัน แสดงผลค่า TIme , Source IP , Destination IP , ID , HTTP (GET or Post) , URI

จะเห็นได้ว่าสามารถรายงานผลค่าเหมือนกับเทคโนโลยี Report Proxy Web แต่ SRAN แสดงผลได้ละเอียดถึงบอก path URI ได้

รูปที่ 3 การแสดงผล SRAN ตามหลักเกณฑ์ห่วงโซ่เหตุการณ์ (Who , What , Where , When , How) ทำให้สืบค้นได้สะดวกขึ้น

(more…)

Zombie ที่กล่าวถึงนี้ คือ ซอฟต์แวร์ผีดิบที่ฝังในเครื่องคอมพิวเตอร์ของเราๆ ท่านๆ โดยไม่รู้ตัวและเป็นหนึ่งตัวอย่างที่อุปกรณ์ SRAN Security Center  สามารถวิเคราะห์และจับเหตุการณ์เครื่องคอมพิวเตอร์ที่เป็นซอฟต์แวร์ผีดิบนี้ได้  อาจกล่าวได้ว่า SRAN เป็นมากกว่าอุปกรณ์เก็บ Log ก็เพราะ SRAN บอกสาเหตุของภัยคุกคามที่อาจเกิดขึ้นได้ในองค์กรพร้อมทั้งแปลเนื้อหา Log ที่อ่านเข้าใจยาก ให้สามารถอ่านเข้าใจง่ายขึ้นโดยยึดหลัก Chain of event หรือเรียกว่า ห่วงโซ่เหตุการณ์ ว่า ใคร ทำอะไร ที่ไหน เวลาใด และอย่างไร

ซอฟต์แวร์ที่ติดตั้งไปในตัว Zombie ประกอบด้วย
- เครื่องมือโจมตีระบบ สามารถส่ง DoS (Denial of Services) , Remote Hacking โดยใช้ Robot ในการยิงค่า Exploit เพื่อยึดเครื่องคอมพิวเตอร์
- เครื่องมือดักจับข้อมูล เช่น Keylogger ซึ่งในบ้านเราเป็นข่าวอยู่บ่อยๆ สำหรับเรื่อง Keylogger
- เครื่องมือส่งข้อมูลไม่พึ่งประสงค์ เช่น ส่ง Spam mail ส่ง virus / worm ที่แนบมากับ files ผ่านการเชื่อมต่ออินเตอร์เน็ตใน Application Protocol ต่างๆ เช่น Mail , Chat , P2P เป็นต้น
ซึ่งหากมี Zombie หลายๆตัวรวมตัวกัน เพื่อทำการอย่างใดอย่างหนึ่งเราจะเรียกว่า “Botnet”

ใน ขณะนี้เท่าที่ติดตั้งและสังเกตการผ่านอุปกรณ์ SRAN ใน Site ที่ทำการทดสอบระบบพบว่ามีเครื่องคอมพิวเตอร์ในเมืองไทย มีการติด Zombie จำนวนมาก
จึงขอนำเสนอวิธีสังเกตการติด Zombie จากอุปกรณ์ SRAN Security Center เพื่อให้เห็นหน้าตาของภัยคุกคามนี้

เมื่อวิเคราะห์ดู Virus Zlob User Agent ที่ติดในเครื่องคอมพิวเตอร์ภายในองค์กร พบว่า

เป็นการส่งค่าออกไปนอกองค์กร ไปทำการ GET File ชื่อ db.zip ผ่าน Web ชื่อ onsafepro2008

Chain of evnet จากกรณีศึกษานี้คือ

ใคร คือ IP ต้นทาง IP ปลายทาง Port ต้นทาง และ Port ปลายทาง

ทำอะไร คือ มีลักษณะเป็น Get File ผ่าน HTTP Protocol

ที่ไหน  คือ Domain URL onsafepro2008

เวลาใด คือ  ช่วงเวลา 05:23 ของวันที่ 23/07/51

อย่างไร คือ มีลักษณะการใช้งานที่ผิดปกติและมีความเสี่ยงภัยคุกคาม ซึ่งอาจเป็น zombie ที่ติดไวรัสที่ชื่อว่า Zlob User Agent

หากเก็บเพียง Log อย่างเดียวแต่ไม่สามารถรู้ทันปัญหา รู้ทันเหตุการณ์ ก็จะทำให้ลำบากในการบริหารจัดการด้านระบบสารสนเทศในองค์กรนี้ได้

รายละเอียดอ่านเพิ่มเติมได้ที่ http://nontawattalk.blogspot.com/2008/07/zombie.html