Sunday, May 27

ลมหายใจระบบเครือข่าย

หากลมหายใจของคนเรา มีการหายใจเข้า และ ออก รับออกซิเจนเพื่อการดำรงชีวิต ลมหายใจของระบบเครือข่าย ก็เป็นเช่นกันแต่แทนที่เป็นอากาศ กับกลายเป็นข้อมูลสารสนเทศ หรือที่เรียกว่า Information Data ที่เข้า และ ออก ตลอดเวลาในระบบเครือข่ายที่เราใช้งาน ...

ทุกครั้งที่ผมมีบรรยายเกี่ยวกับระบบ Network Security ผมมักจะกล่าวถึงหลักการของ 3 in 3 out เสมอ เป็นการพิจารณาจากความรู้สามัญทางด้านระบบเครือข่าย (Back to the Basic) เพื่อใช้ในการตัดสินใจวิเคราะห์ปัญหาระบบเครือข่าย และสถานะการณ์ที่เป็นอยู่จริงบนโลก IT เพื่อใช้ในการเชื่อมข้อมูลผ่านระบบอินเตอร์เน็ท (Information Technology Ontology)




3 in 3 out ออกเสียงว่า "ทรีอิน ทรีเอาต์" เป็นศัพท์ที่ผมตั้งขึ้นเอง ไม่มีในตำราเล่มใด
จุดประสงค์ที่เรียกศัพท์เช่นนี้ก็เพื่อ
1. ทำให้เข้าใจง่าย สำหรับการอธิบายความสัมพันธ์ การใช้งานบนระบบเครือข่ายในแต่ละชั้น
2. เพื่อใช้ในการวิเคราะห์ ถึงการไหลเวียนข้อมูลสารสนเทศ (Information) บนระบบเครือข่ายที่เป็นอยู่จริง
3. เพื่อใช้ในการวิเคราะห์ปัญหาระบบเครือข่าย และ เส้นทางลำเลียงข้อมูลสารสนเทศ ที่มีผลต่อภัยคุกคาม

3 in 3 out สามารถมองได้ 2 มุม คือ
มุมที่ 1 การไหลเวียนข้อมูลสารสนเทศที่เป็นอยู่จริง ตามกฏเกณฑ์ OSI 7 Layers และ TCP/IP
มุมที่ 2 ภัยคุกคามที่เกิดขึ้น ระหว่างการใช้งานข้อมูลสารสนเทศ ที่แบ่งได้เป็น ภัยจากภายนอกเข้าสู่ภายในระบบเครือข่าย (Intrusion) และ ภัยจากภายในออกสู่ภายนอกระบบเครือข่าย (Extrusion) เพื่อใช้ในการวิเคราะห์ สืบหาภัยคุกคามที่เกิดขึ้น

3 in 3 out คือการกำหนดลมหายใจ ของระบบเครือข่าย
เป็นเส้นทางลำเลียงข้อมูล เข้า และ ออก ไป บนการใช้งานจริงของเรา

ข้อมูล ที่เข้า และออก ในระดับ Internet เป็นข้อมูลจากโลกภายนอก ระดับ ISP (Internet Services Provider) หรือมองในระดับ WAN Technology ที่กำลังเข้าสู่ระบบเครือข่ายที่เราใช้งาน และ เป็นข้อมูลที่เราจะต้องทำการติดต่อออกไป จากภายในเครือข่ายที่เราใช้งาน เพื่อติดต่อออกไปตามเป้าหมายที่เราต้องการ ได้แก่ เราต้องการเปิด Web ไม่ว่าเป็นเว็บภายในประเทศ หรือ นอกประเทศ ก็เป็นการเชื่อมต่อแบบ HTTP port 80 ที่เป็นการติดต่อแบบ TCP การส่ง E-mail เชื่อมต่อแบบ SMTP port 25 ที่เป็น TCP เป็นต้น
ภายในระบบเครือข่ายของเรา ออกไปข้างนอก ต้องผ่านอุปกรณ์ Router จากฝั่งของเรา เพื่อไปยังจุดหมาย และเส้นทางลำเลียงข้อมูลสารสนเทศ จะดำเนินตามหลัก OSI 7 layer และ TCP/IP
พิจารณา Intrusion ภัยคุกคามทางข้อมูลที่ได้รับจากเส้นทางลำเลียงข้อมูลจาก ISP เข้าสู่ระบบเครือข่ายของเรา ส่วน Extrusion ภัยคุกคามทางข้อมูล ขา ออกเครือข่ายของเราไปยังโลกอินเตอร์เน็ท
อุปกรณ์ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการทำสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ (Network Forensics) ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Router ตามเส้นทางเดินทางของข้อมูล ทั้ง เข้า และ ออก ไปยังที่หมาย


ข้อมูล ที่เข้า และออกในระดับ Network เป็นข้อมูลจากเครือข่ายที่เราอยู่ ในระดับ LAN เราจะเริ่มพิจารณา ข้อมูล ที่เข้า และออกในระดับที่ ระดับชายแดนเครือข่าย (Perimeter Network) ตั้งแต่อุปกรณ์ Router ฝั่งเครือข่ายของเรา
พิจารณา Intrusion ภัยคุกคามทางข้อมูล ขา เข้าสู่ระบบเครือข่ายของเรา เป็นการเดินทางของข้อมูลจากอุปกรณ์ Router ฝั่งเครือข่ายของเรา ไปยัง Perimeter Network เข้าสู่วง LAN
พิจารณา Extrusion ภัยคุกคามทางข้อมูล ขา ออกจากระบบเครือข่ายของเรา จากวง LAN ไปสู่ Perimeter Network
ิอุปกรณ์ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ (Network Forensics)
ทาง ขาเข้า คือ ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Internal Router , Network Firewall ,Core Switch , NIDS/IPS Access Switch , Proxy และ อุปกรณ์ Access Point (AP) เป็นต้น



ข้อมูล ที่เข้า และออกในระดับ Host
เป็นข้อมูลจากเครื่องคอมพิวเตอร์ที่ใช้งาน ในระดับ End Point ได้แก่ เครื่องแม่ข่าย (Computer Server) , เครื่องลูกข่าย (Computer Client) , Note book , PDA เป็นต้น
ข้อมูลในระดับ Internet เข้าสู่วง LAN และไปสิ้นสุดที่ End Point
พิจารณา Intrusion ภัยคุกคาม ขา เข้าสู่เครื่องคอมพิวเตอร์ของเรา (Host) เป็นการเดินทางข้อมูลจากเครือข่ายของเรา (LAN) ในจุดต่างๆ เข้าสู่เครื่องคอมพิวเตอร์ ที่อาจเป็นเครื่องแม่ข่าย , เครื่องลูกข่าย หรืออื่นๆ และแสดงผลข้อมูลผ่านระบบคอมพิวเตอร์ปลายทางที่เรียกใช้ข้อมูล
การพิจารณา Extrusion ภัยคุกคาม ขา ออกจากเครื่องคอมพิวเตอร์ของเรา (Host) ผ่านไปยังระบบเครือข่ายของเรา (LAN) ออกสู่ Perimeter Network และเดินทางไปสู่โลกอินเตอร์เน็ท (Internet)
เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ ในส่วนนี้คือ Log ที่เกิดจากอุปกรณ์ End point ได้แก่ เครื่องแม่ข่าย (Server) , เครื่องลูกข่าย (Client) , อุปกรณ์มือถือที่เชื่อมต่อเครือข่ายคอมพิวเตอร์ภายใน ออกสู่อินเตอร์เน็ทได้

Ontology ของระบบเครือข่ายคอมพิวเตอร์ เริ่มบรรเลงขึ้นพร้อมกับภัยคุกคามที่แฝงมากับความรู้เท่าไม่ถึงการณ์ของผู้ใช้งานต่อไป ตราบเท่าที่ระบบสารสนเทศยังมีใช้งานอยู่

นนทวรรธนะ สาระมาน
Nontawattana Saraman

บทความเกี่ยวข้อง สมุทัย เหตุของปัญหาเครือข่ายคอมพิวเตอร์ (27/11/49)

Monday, May 21

Loopback


บทความ My Ontology ปล่อยให้ งง มาเกือบหนึ่งเดือนแล้ว วันนี้คงเฉลยให้ฟัง ว่าที่เขียนเพื่อต้องการสื่ออะไรกัน ....

Loopback คือช่องทางการสื่อสารที่มีจุดจบเพียงจุดเดียว ข้อความใดก็ตามที่ส่งผ่านทางช่องดังกล่าว
ช่องนั้นก็จะได้รับทันที Internet Protocol (IP) กำหนดรายละเอียดเกี่ยวกับ lookback network ภายใต้ IPv4 เครือข่ายนี้ควรเป็น
network 0 (เครือข่ายนี้) และ local loopback address ของโฮสต์ควรเป็น 0.0.0.0 (โฮสต์นี้ที่อยู่ในเครือข่ายนี้)
แต่เนื่องจากมีการใช้ address นี้ไปในทางที่ผิด (โดยเฉพาะการใช้ host address 0 เพื่อเป็น broadcast
address) จึงมีการเปลี่ยนมาใช้ 127.0.0.1 เป็น loopback address แทน
traffic ที่โปรแกรมคอมพิวเตอร์ส่งไปยัง loopback network จะส่งไปยังคอมพิวเตอร์เครื่องเดียวกัน IP address
ที่มักใช้ใน loopback network คือ 127.0.0.1 สำหรับ IPv4 และ ::1 สำหรับ IPv6 ชื่อโดเมนสำหรับ address
นี้คือ localhost, loopback interface เป็น IP address ที่เรียกว่า circuitless หรือ virtual IP address
เนื่องจาก IP address นี้ไม่เชื่อมโยงกับ interface (หรือวงจร) ใด ๆ ในโฮสต์หรือเราเตอร์
มีการใช้ loopback interface ในหลาย ๆ ทางด้วยกัน เช่น ซอฟท์แวร์ที่เป็น network client ในคอมพิวเตอร์
ใช้เพื่อสื่อสารกับซอฟท์แวร์ server ที่อยู่ในคอมพิวเตอร์เครื่องเดียวกัน ในคอมพิวเตอร์ที่ทำงานเป็น web server
เมื่อเปิดที่ URL http://127.0.0.1/ ก็สามารถเข้าถึงเวบไซต์ในคอมพิวเตอร์เครื่องนั้นได้ โดยไม่จำเป็นต้อง
เชื่อมโยงเข้ากับเครือข่ายใด ๆ จึงมีประโยชน์ในการทดสอบ services โดยไม่จำเป็นต้องให้เข้าถึงได้จาก
ระบบอื่นภายในเครือข่าย นอกจากนี้การ ping loopback interface ยังเป็นการทดสอบขั้นต้นว่า IP stack ได้ทำงานอย่างถูกต้องด้วย


จากรูปหมายเลข 1 และ 3 คือการ Loopback IP กับซอฟต์แวร์ที่ใช้ในเครื่องตัวเอง เพื่อรอการใช้งานจริง (LISTENING) หมายเลข 2 เครื่อง Loopback IP ซอฟต์แวร์ที่ทำงานเสร็จสิ้นแล้ว (ESTABLISHED)

เช่นกันบทความ My Ontology มีอาการ Loopback นั่นหมายความว่า จุดแรก และ จุดสุดท้าย เป็นสิ่งเดียวกัน ส่วนช่วงกลางคือภาพลวงตา บนความฝันที่เกิดขึ้น , My Ontology ผม มันคือความว่างเปล่า (อนัตตา) นั้นเอง

จากภาพข้างบนแสดงถึง ประโยคแรก ส่วนเริ่มต้นเนื้อเรื่อง และ ประโยคสุดท้าย กล่าวเหมือนกันว่า "Ontology ผมคงเปลี่ยนไป .."

เป็นความตั้งใจที่ผมต้องการที่จะเขียนบทความสักเรื่อง ที่มีเนื้อหา วนกลับมาที่เดิม ส่วนใครจะตั้งใจให้มีสาระ หรือไม่มีสาระ หรือ อ่านแล้วไม่เข้าใจ และพยายามจะเข้าใจ นั่นไม่ใช่ประเด็นที่ต้องการ สุดแล้วแต่จิตนาการของผู้อ่าน หากมองอย่างไม่ซับซ้อน มันก็เพียงแค่การเขียนบทความให้เกิดอาการ Loopback นั่นเอง : )

ผลกระทบเมื่อเกิด Loopback บนเครือข่ายคอมพิวเตอร์ (Network) โดยเฉพาะอุปกรณ์คอมพิวเตอร์ เช่น Switch , Router มักจะทำให้เครื่อง Clinet ที่อยู่ภายใต้การควบคุมอุปกรณ์นั้น ใช้งานไม่ได้
ผลกระทบกับผู้อ่านบทความ เมื่อเกิด Loopback หากตั้งความหวังไว้ จะอ่านไม่รู้เรื่อง และหากพยายามจะที่จะให้รู้เรื่อง ก็จะได้คำตอบเหมือนเดิมที่เคยอ่านครั้งแรก

** สำหรับผมแล้ว Loopback พบได้บ่อย และมันเป็นเรื่องปกติ อย่างนั้นเอง (ตถตา)
Ontology เป็นการศึกษาเกี่ยวกับการดำเนินชีวิตจริงตามธรรมชาติ เช่นเดียวกับ ขันธ์ทั้ง 5 ทางพุธศาสนา เป็นสิ่งที่มีอยู่จริงตามธรรมชาติ ที่คนทั่วไปมักยึดเอาขันธ์มาเป็นตัวตน จึงเกิดการยึดมั่นถือมั่น เอามาเป็นตัวตนของตน จนก็เกิดทุกข์ในที่สุด
ความจริงสูงสุดคือ "อย่างนั้นเอง" ไม่ยินดีหลงรัก ไม่ยินร้ายหลงเกลียด มีความรู้สึกที่จะรัก และไม่เสียใจกับความรัก "Love means never having to say you're sorry" เพราะมันก็อย่างนั้นเอง ธรรมชาติทุกอย่างมันก็อย่างนั้นเอง อย่านำมาเป็นตัวตนของตน

นนทวรรธนะ สาระมาน
Nontawattana Saraman
20/05/2550

Wednesday, May 9

รอยยิ้มแห่งความหวัง

บทความ My Ontology ที่ผ่านมาผมเชื่อว่าหลายๆ คนที่อ่านแล้ว คงสงสัยอยู่บ้าง ว่าต้องการสื่ออะไร และความหมายของคำว่า Ontology มันคืออะไร ผมบอกใบ้ให้นิดล่ะกัน จากภาพ และคำบรรยายต่อไปนี้

เริ่มต้นวันใหม่ กับความหวังใหม่ ..

เราต้องอยู่รอด เพื่อไปถึงเป้าหมาย ที่หวังไว้

บางทีเมื่อเกิดปัญหา ก็ต้องแก้ไขเฉพาะหน้าไปบ้าง ..

บางที อาจท้อแท้ ..


บ่อยครั้งที่เรามีกำลังใจ

แล้วเราต้องการอะไร ?

สิ่งนี้หรือ ?

หรือสิ่งนี้ ?

อาจเป็นความสุข เล็กๆ น้อยๆ

แล้วมันจะขนาดไหน กัน ถึงจะสิ้นสุด ..


มันอาจอยู่ไกลแสนไกล เราก็ต้องเดินทางกันต่อไป ถึงแม้เราจะต่างกันในวิธีการเดินทาง เพื่อถึงเป้าหมายที่ตั้งไว้ ก็ตามแต่ ...

ถึงลำบาก เราก็ยังยิ้มได้

เพื่อดำเนินชีวิตอยู่ต่อไป .. ถึงแม้ .. ความหวังที่ตั้งเป้าหมายไว้ ยังไม่ทราบว่าเมื่อไหร่จะมาถึง

เป้าหมายที่ตั้งไว้ มันอยู่ ได้ทุกๆที่ เมื่อเรามีรอยยิ้ม

วันนี้คุณยิ้มหรือยัง ? : ) กับ รอยยิ้มแห่งความหวัง

บังเอิญไม่ได้ตั้งใจเขียนหลอก แต่ค้นหาข้อมูลแล้วพบรูปถ่ายพวกนี้ ส่วนตัวชอบภาพถ่ายแบบนี้ ประกอบกับบทความที่แล้ว สร้างความ สับสนกับความหมายที่สื่อแสดงออกไปบ้าง (หากคาดหวัง) จึงนำเอาภาพพวกนี้มาปะติปะต่อเป็นเรื่องราว ที่ตัวผมอยากให้เป็น

เพราะภาพพวกนี้คือ การดำเนินชีวิตจริง (Reality Life) หรือ Ontology ที่มีความหมายถึง การศึกษาเกี่ยวกับการดำรงอยู่ ที่เกี่ยวกับธรรมชาติของสิ่งที่เป็นจริง นั้นเอง

ขอทิ้งท้ายก่อนจบ ด้วยเพลง What A Wonderful World ของ Louis Armstrong





มองชีวิตด้วยใจสราญ

์Nontwattana Saraman

ที่มาของภาพ มาจาก http://www.zonaeuropa.com/weblog.htm
Humanizing China - Part 1 (Survival)

Humanizing China - Part 2 (Relationships)

Humanizing China - Part 3 (Desires)

** ดูภาพพวกนี้แล้ว เห็นว่ายังมีอีกตั้งหลายชีวิตที่อยู่บนโลกนี้ ลำบากกว่าเราอีกนะครับ เผื่อว่ามีกำลังใจในการใช้ชีวิตต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Tuesday, May 1

Shooter malware

วันก่อนได้ดูหนัง Action เรื่อง Shooter (2007) มา เวลาดูหนัง Action ไม่ต้องคิดถึงเหตุผล ครับ เน้นความมันส์ อย่างเดียว สนุกดีเหมือนกันครับ ยิงกันเลือดถ่วมจอ ได้บทเรียนจากหนังว่า การสุ่มยิงระยะไกล ต้องอาศัยฝีมือ ความแม่นยำ ประสบการณ์ และ ความเด็ดเดี่ยว รวมถึงต้องมีการวางแผนก่อนเสมอ : )
การสุ่มยิงที่ผมจะกล่าวต่อไป เป็นการยิง Malware ระยะไกลจากซีกโลกหนึ่งไปอีกซีกโลกหนึ่ง เชียวล่ะ ยิงจากที่หนึ่ง ไปฝังในเครื่องคอมพิวเตอร์ของเราและ พร้อมที่จะทำงานเมื่อถูกยิงเข้าไปแล้ว
เราจะลองผ่าพิสูจน์ Malware ชนิดนี้ดูว่ามันเป็นอย่างไง ?
(อ่านเพิ่มเติมความหมาย Malware ได้จาก http://nontawattalk.blogspot.com/2006/11/blog-post.html

จากเครื่องคอมพิวเตอร์ใน Office เครื่องหนึ่งมีอาการผิดปกติ (IP ใน Case นี้คือ 192.168.1.59) มีอาการอย่างน้อยดังนี้
1. จะปิดเครื่องได้ต้องถอดสายแลน (LAN) ออกเสมอ ถึงจะทำการ Shutdown ได้
2. RAM ในเครื่องใช้ไปครึ่งหนึ่ง ทั้งที่ไม่ได้เปิดโปรแกรมอะไรเลย
3. มีการส่งข้อมูลบางอย่างตลอดเวลา ***

อาการที่กล่าวมา ข้อ 1 และ 2 ยังไม่ทำให้ทำการ ผ่าพิสูจน์ (Computer Forensic) แต่อาการข้อ 3 นี้ปล่อยไม่ได้แล้ว และที่ทราบก็เพราะว่าที่ office เรามีระบบ SRAN นี้แหละ : ) ว่ามีข้อมูลจาก Protocol ใดส่งออกไปข้างนอก (Internet) บ้าง
จากนั้นก็ไปดูที่หน้าคอมเครื่องที่มีปัญหา (192.168.1.59) พิมพ์ netstat -an พบว่า
คลิกที่รูปเพื่อดูรูปขยาย
ดูจากนี้แล้ว พบว่ามีการติดต่อที่ตลอดเวลา ก็คือ ผ่าน Protocol Mail (SMTP) ใน port 25 และเป็นการติดต่อแบบ TCP ส่งไปที่ IP 72.14.253.27 เราตามต่อไปจาก IP ที่ว่ามันคือที่ไหนกันแน่ ?
ค้นหาแล้วพบว่า เมื่อดูย้อนกลับเป็น Domain แล้ว IP นี้ชื่อว่า po-in-f27.google.com

เป็น IP หนึ่งของ Google ที่ทำการ Computer Cluster กันอยู่ (ดูรายละเอียดเพิ่มเติม การเชื่อมโยง IP google ได้ที่ IP gogole map ) เราทราบแล้วล่ะว่า IP ดังกล่าวเป็น Mail Server ตัวหนึ่ง สำหรับผู้ใช้บริการ Gmail จากการเดาคือเครื่อง IP 192.168.1.59 ที่อยู่ office ผมนี้ติดอะไรสักอย่าง ที่ Anti virus / Anti Spyware ไม่รู้จัก และส่งข้อมูลไปที่ mail google ตลอดเวลา ขอเรียกว่า "Malware" แล้วกันนะ เครื่องนี้เป็น Note book ก็เป็นได้ว่าอาจจะติดจากที่อื่น และพอมาใช้งานใน office หากเป็นไวรัสที่กระจายพันธ์ได้ (Worm) ก็ทำให้เครื่องอื่นๆ พลอยติดเชื้อไปด้วย แต่นี้ Note book เครื่องนี้ไม่ได้ติดไวรัส นะสิ ไม่มีการกระจายพันธ์ ด้วยความอยากรู้มากกว่านั้น จึงเข้าไปสังเกตที่เครื่อง Note book ตัวนี้ว่ามี Process อะไรที่ทำงานบ้างจึงทำให้ RAM และ CPU ทำงานหนักเกินไป ทำการใช้ netstat (TCP View) บน SRAN Anti virus Software พบว่า
คลิกที่รูปเพื่อดูภาพขยาย
เราค้นพบว่า มีการส่งข้อมูลผ่านโปรแกรม ที่ชื่อว่า C:\WINDOWS\system32\Sys\iexplore.exeจากชื่อ file ที่ว่า ieplore.exe มันไม่มีจริงในระบบ Microsoft Windows คือเป็น file หลอกเกิดจากการสร้างของ Malware
จากนั้นเราทำการ ใช้โปรแกรม Process Explorer ของ Sysinternals ปัจจุบันถูก Microsoft Take over ไปแล้ว
คลิกที่รูปเพื่อดูภาพขยาย
Malware ตัวนี้พยายามซ้อนการทำงานกับโปรแกรมปัจจุบันที่เปิดแบบ Auto Run (ทำงานอัตโนมัติ) เทคนิคนี้เรียกว่าการทำ Hijack Process Software จาก files ที่เป็น .dll (เราเคยบทความการฝัง rootkit หรือ spyware ผ่านเทคนิคแบบนี้แล้วในบทความชื่อ Top Secret Windows สามารถอ่านเพิ่มเติมได้ ) เห็นว่าไปซ้อนการทำงานของโปรแกรม nod32kui.exe ซึ่งเป็นโปรแกรม Anti virus บนเครื่องนี้ (192.168.1.59) ซ้อนการทำงาน โปรแกรม Webcam ใน Notebook , Process windows XP อีกด้วย
สงสัยว่างานนี้จะยากที่จะลบ Malware ตัวนี้ออกไปง่ายๆแล้วล่ะ ก่อนลบนี้ขอดูว่าเป็น Malware ชนิดไหนแน่ จะได้ไหมนะ ?
เราต้องใช้เทคนิคที่เรียกว่า Reverse Engineering โดยนำ Malware (files ที่ชื่อว่า ieplore.exe และมีการ copy ตัวเองเป็นชื่อ ieplore.006 , ieplore.007) มาเปิดบน Hex Editor
http://www.hhdsoftware.com/images/screenshot-hex-editor.gif ภาพนี้ขอ censor เพราะเป็นการดักเอา password ที่เครื่อง IP 192.168.1.59 เก็บข้อมูลไว้ใน file ดังกล่าว โอ้ !!!
password ที่ Malware ต้องการคือ password mail , รหัส ID บัตรเครดิต เป็นต้น เหมือนขโมยขึ้นบ้านเลยครับ Malware ชนิดนี้ เป็นพวก Spyware Key logger ทำงานแบบ Stealth Mode นั้นเอง อ่านเพิ่มเติมได้ที่ http://virusdb.sran.org/archives/41
ทีมงานเราได้ทำการ ลงโปรแกรม Anti spyware มากกว่า 2 ชนิด เพื่อทำการลบ Malware ตัวนี้ พบว่าไม่เป็นผล ทั้งที่ทราบว่ามีการฝัง files ที่ Registy บน Windows ที่ HKLM\..\Run: [iexplore] C:\WINDOWS\system32\Sys\iexplore.exe

ผมจึงเปลี่ยนแผน ลบไม่ได้ ก็ต้องตามหาผู้บงการให้เจอแล้วกัน จึงทำให้เรามาดูทาง Network (เครือข่ายคอมพิวเตอร์) กันบ้าง ว่าการส่ง mail ไปยังที่ใดเพื่อหา e-mail ของขโมยรายนี้กัน

ก่อนอื่นเราทำการ TCPdump จากอุปกรณ์ SRAN (จากภาพข้างบน) ข้อมูลเฉพาะ port 25 และเลือกดูเฉพาะ IP ปัญหาคือ 192.168.1.59 ผลที่ได้คือ

หมายเลขที่ 1 ตรวจเฉพาะ port 25 และ IP 192.168.1.59 หมายเลขที่ 2 dump (.pcap) ข้อมูลเหตุการณ์ทุกอย่างที่เกิดขึ้นจาก 2 กรณีในหมายเลขที่ 1
จากนั้นนำมาเปิดในโปรแกรม wireshark เป็นโปรแกรม Network Analysis แบบ Sniffer ผลที่ได้คือ
คลิกที่รูปเพื่อดูรูปขยาย
เอาละ เรารูปตัวแล้วว่า เมื่อเครื่อง 192.168.1.59 เครื่องใน office ผม ที่ติด Malware ชนิด Spyware Keylogger ตัวนี้ ทำการส่งข้อมูลที่เป็น Password ต่างๆในเครื่องไปที่ e-mail ชื่อว่า stefuno@gmail.com
จนได้พบตัวการแล้ว แน่ๆ เครื่อง Note book ที่ติดกับดัก เจ้า stefuno นี้คงหาวิธีสมัยใหม่ลบลำบาก เพราะที่ดูจาก Reverse Engineering Malware ชนิดนี้แล้ว เป็นการแตกสายพันธ์ใหม่ที่ไม่ใช่รูปแบบเดิม คือการ modify malware ทำให้ Anti virus ไม่รู้จัก + Anti Spyware ไม่รู้จัก Note book (192.168.1.59) ต้องทำการลง OS (Operating System) ใหม่ถึงจะปลอดภัยที่สุด นี้แหละครับภัยคุกคามสมัยใหม่ มักจะเล่นงานที่ User และป้องกันยากที่สุดคือ Host (เครื่องคอมพิวเตอร์ส่วนตัวของเราๆ ท่านๆ นี้แหละ)
"คุณ stefuno ถ้า ยู แปลภาษาไทย เป็นภาษารัสเซียได้ รู้ไว้ว่า ยู ทำไม่ถูก ทำให้คนอื่นเดือดร้อน นะ : )"
คำถามต่อไปว่า คุณจะให้ผมทำไงกับ stefuno นี้ดี จะ Shooter แบบไหน comment มาได้ครับ แล้วจะจัดให้ ..

อ่านบทความเกี่ยวกับ Computer Forensic แบบฉบับของผมได้เพิ่มเติมที่
http://nontawattalk.blogspot.com/2004/10/trojan-optix-pro.html (10/2004) การตรวจจับ Trojan Optix
http://nontawattalk.blogspot.com/2005/02/ghost-malware.html(02/2005) Malware หน้าผี
http://nontawattalk.blogspot.com/2005/03/dark-side-of-internet.html (03/2005) Dark side of internet
http://nontawattalk.blogspot.com/2005/03/hackers-lose.html (03/2005) เมื่อ hackers หลงทาง

นนทวรรธนะ สาระมาน
Nontawattana Saraman