Saturday, March 22

ดู SRAN ผ่าน iPhone

ชายหาดที่เงียบสงบ "ได้ยินเสียงคลื่นกระทบฝั่ง ประกายแดดกระทบผิวน้ำทะเลเป็นระยิบระยับ หาดทรายขาวเม็ดละเอียดดูขาวสดใส กลุ่มก้อนเมฆก็สีขาว ตัดกับขอบฟ้าสีคราม เหนือท้องน้ำทะเล สาวน้อยในชุดบีกีนี่ก็ขาว โอ้ ชั่งมีความสุขแล้ว มนุษย์โลก" พัฒนึกในใจ ในวันพักผ่อนที่พัฒใช้สิทธิตนเอง ลาพักเหนื่อยในสถานที่ห่างไกล ผู้คนวุ่นวาย ไร้ความแออัดของยานพหนะ นายพัฒนั่งริมชายหาด บนเก้าอี้ขาว(อีก) และในมือที่ถืออยู่นั้นคือ iPhone พัฒฟังเพลงจาก iPhone โดยเเลือกเปิดเพลงที่เหมาะกับวันนี้ ชื่อเพลงว่า วันหนึ่งวันนั้น ของสุรสีห์ อิทธิกุล ในชุดกัลปาวสาน เป็นเพลงเก่าที่พึ่งหาพบกับเพื่อนนักสะสมเพลง นอกจากฟังเพลงแล้วซาบซึ้งกับบรรยายกาศชายทะเลอันแสนสุขแล้ว แต่ใจของพัฒก็ยังไม่ยุติความกังวล อาจเป็นเพราะมีจิตสำนึกในหน้าที่และมีความรับผิดชอบในสิ่งที่ตนเองได้รับมอบหมายงานมา นายพัฒจึงนั่งคิดถึงงานที่บริษัท เนื่องจากตนเองเป็นผู้ดูแลระบบเครือข่ายนี้เอง เป็นเรื่องที่ท้าทาย ว่าใครกันนะ ที่ทำให้บริษัทต้องถูกกล่าวหาว่าเป็นผูู้้โจมตีเว็บไซด์เว็บหนึ่ง หรือว่าจะเป็นเรื่องที่จัดฉากขึ้นจากฝีมือใครคนใดคนหนึ่งที่ไม่พึ่งประสงค์ดี
จะต้องทำอย่างไรอย่างหนึ่งเพื่อหาสาเหตุปัญหาเรื่องนี้ให้ได้
จึงทำการเปิด iPhone เพื่อที่จะเชื่อมต่ออินเตอร์เน็ต ที่เหลือแบตเตอรี่ไม่มาก ทำการค้นหาสัญญาณ Wireless LAN ไม่ช้าก็พบและทำการเกาะสัญญาณได้ พร้อมอุทานว่า "โชคดีแล้วเรา" พัฒไม่รอช้า ทำงานพร้อมเสียงเพลงที่ยังคงบรรเลงอยู่
ใกล้มือที่สุด คือ iPhone คลิกปุ่มเพื่อทำการ Slide unlock และคลิกเกาะ Wi-fi ที่ทางรีสอร์ทจัดให้
เมื่อทำการติดต่อระบบ Wi-fi ได้ก็ลองเปิดบราวเซอร์ดูว่ามีการเชื่อมต่ออินเตอร์เน็ตได้หรือไม่ เมื่อได้แล้วพัฒไม่รอช้า
จึงเข้าสู่ Web Application บนอุปกรณ์ SRAN ที่ทาง Firewall บริษัท XXX ได้ Forward port 443 ให้แล้ว

ทำการ Login และใส่ User / Password ในระดับนักวิเคราะห์ระบบ (Analysis) หรือระดับ Member บนอุปกรณ์ SRAN SR-L

เข้าสู่หน้าจอวิเคราะห์ผล พัฒคลิกหน้า Summary ของ SRAN เพื่อดูภาพรวมข้อมูลจราจรของบริษัท XXX จากนั้นจึงคลิกเพื่อดูย้อนหลังลักษณะการใช้งาน

ทำการคลิกเข้าสู่ Menu -->LAW และคลิกดูผลการทำ Data Archive เพื่อดูถึงการบันทึกข้อมูลจราจรภายในองค์กร

เมื่อคลิกผลการบันทึกข้อมูลบนอุปกรณ์ SRAN ผ่านอินเตอร์เน็ทบนเครื่อง iPhone พบสิ่งผิดปกติคือ
มีลักษณะการบุกรุกที่เป็น DDoS เหมือนชนิดเครื่องภายในบริษัท XXX ติดเป็น Zombie อยู่ ซึ่งพัฒผ่านการอบรมจากทีมงาน SRAN ว่า Zombie คือเครื่องที่ติดโปรแกรมที่ไม่พึ่งประสงค์ (Malware) และ Zombie หลายตัว รวมเรียกว่า Botnet นั้นเอง แต่นี้เป็นเพียงขอสังเกตที่พัฒได้วินิฉัยเบื้องต้นเท่านั้น
(อ่านเพิ่มเติมได้ที่ กองทัพ Botnet คืออะไร)


เมื่อพัฒวิเคราะห์ถึงค่า Playload ของลักษณะการโจมตีนี้พบว่า เป็นการติดต่อ Ping Pong ซึ่งคล้ายๆกับ โปรแกรม Eggdrop หรือ TNT ที่เป็น Botnet ใน IRC และคงมีคนสั่งการผ่านทางอินเตอร์เน็ทให้ bot นี้ลักษณะนี้ ที่อยู่ในบริษัท XXX ยิงไปที่อื่นอยู่ พัฒเคยศึกษามาในบทความ Darkside of the Internet ของทีมงาน SRAN เขียนขึ้นเมื่อปี 2005 จากนั้นพัฒได้ดูประวัติ และพฤติกรรมการใช้งานของ IP ที่น่าสงสัยนี้ พบว่านอกจากเป็น Botnet แล้วยังพยายามยิง DoS ผ่านช่องโหว่ Web Dev อีกด้วยและพัฒได้จดบันทึกค่าที่ตนเองพบ ตามหลักการเก็บข้อมูล Chain of Event ทันที โดยพิจารณาจาก 5 คำถามคือ Who,What,Where,When,Why นั้นเอง


ตอนนี้ พัฒทราบสาเหตุเบื้องต้นแล้ว และรู้ทั้ง IP Source และ IP Destination จากที่ SRAN ได้บันทึกไว้แล้ว
สามารถอ่านตอนเชื่อมจากนี้ได้ที่ กรณีศึกษา Data Hashing ตอนที่ 2

ทำการปิดการเชื่อมต่อ SRAN ในหน้าจอบราวเซอร์ขึ้นข้อความดังรูป
พัฒจึงใช้เวลาไม่นานในการวิเคราะห์ผล เพราะอุปกรณ์ SRAN สามารถวิเคราะห์แทนได้ระดับหนึ่งแล้ว สิ่งที่ต้องทำต่อคือส่งข้อมูลที่ได้มาเพื่อชี้แจงกับผู้บริหารบริษัท XXX ต่อไป

เพลงวันหนึ่งวัน ก็จบลงพร้อมกับการวิเคราะห์เครือข่่ายโดยใช้ SRAN SR-L ผ่านมือถือ iPhone

บรรยากาศดีๆ ชายทะเล ในหน้าร้อน กับเพื่อนคู่ใจ iPhone ก็สำราญอารมณ์ได้ จริงไหม



นนทวรรธนะ สาระมาน
Nontawattana Saraman

No comments: