Pages

วันพุธ, กรกฎาคม 24

ตามล่ามัลแวร์

บทความนี้ไม่มีเจตนาทำให้หน่วยงานใดหน่วยงานหนึ่งเสื่อมเสียแต่อย่างใด แต่ต้องการเขียนเพื่อเป็นกรณีศึกษาจากเหตุการณ์จริง กับการติดเชื้อมัลแวร์ที่เป็นโครงข่ายอาชญากรรมข้ามชาติ (Cyber Crime) ที่ทำให้หน่วยงานภาครัฐ เอกชน รวมถึงสถาบันการศึกษาของประเทศไทยต้องตกเป็นเหยื่อกับเครือข่ายองค์กรอาชญากรรมคอมพิวเตอร์นี้

จึงตั้งใจเพื่อเขียนขึ้นเพื่อเป็นการสร้างความตระหนักถึงผู้ดูแลระบบถึงปัญหาเครื่องแม่ข่ายที่มีช่องโหว่และมีการเข้าถึงระบบโดยแฮกเกอร์สามารถนำมัลแวร์มาแพร่เชื้อได้ ดังนั้นหากเป็นเว็บไซต์ที่สามารถเข้าถึงได้ทั่วไปอาจทำให้ผู้ใช้งานทั่วไปติดเชื้อตามกันได้

อีกทั้งเป็นแนวสืบสวนหาร่องรอยเส้นทางของมัลแวร์ถึงผลกระทบในการติดเชื้อรวมถึงช่องโหว่ที่ทำให้มัลแวร์เข้ามาติดในเครื่องคอมพิวเตอร์
อ่านเพื่อความบันเทิงและได้ความรู้

++++++++++++++++++++++++++
มัลแวร์ คืออะไร
++++++++++++++++++++++++++
คือ โปรแกรมไม่พึ่งประสงค์ที่ทำให้เครื่องคอมพิวเตอร์ผู้ใช้งาน (รวมถึงอุปกรณ์มือถือสมัยใหม่ ได้แก่ สมาร์ทโฟน) ต้องสูญเสียความต่อเนื่องในการใช้งาน (Availability) , ความถูกต้องของข้อมูลและการสื่อสาร (Integrity) และสูญเสียความลับของข้อมูล (Confidentiality)

+++++++++++++++++++++++++++++++
เริ่มต้น จากการพบข้อมูล
+++++++++++++++++++++++++++++++













+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
เริ่มการวิเคราะห์
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
http://school.obec.go.th/trimitvararam/picture/
และ
http://school.obec.go.th/pikul/2-%A2%E9%CD%C1%D9%C5%BA%D8%A4%A4%C5/23-%BA%D8%A4%C5%D2%A1%C3.html

(อันตรายหากเครื่องคอมพิวเตอร์คุณไม่มีระบบป้องกันที่อัพเดทเพียงพอไม่ควรเข้าลิงค์ดังกล่าว)

++++++++++++++++++++++++++++++++++++++++++++
ประวัติการติดเชื้อ
++++++++++++++++++++++++++++++++++++++++++++

ดูค่าการจดทะเบียนโดแมน


เมื่อทำการค้นหาประวัติการติดเชื้อพบว่า

พบ
ประวัติที่เคยติดเป็นเว็บหลอกลวง Phishing เริ่มตั้งแต่ปี 2009 จนถึง 2012 ส่วนใหญ่เกิดขึ้นบนเว็บบอร์ด

ประวัติการติดเชื้อมัลแวร์

Malicious and Suspicious URLs

URLFirst Detected
http://school.obec.go.th//banmuangsuang/important.html2009-11-13 11:56:58
http://school.obec.go.th/amnuaykan3/2010-03-15 22:18:29
http://school.obec.go.th/anbs_saraburi/2009-05-03 16:45:54
http://school.obec.go.th/anubanbanmoh/2012-06-07 18:59:43
http://school.obec.go.th/artprathane2013-05-01 03:05:05
http://school.obec.go.th/banbangchang/mawnarak/pa2.htm2013-05-21 13:10:05
http://school.obec.go.th/bandonlao2013-05-07 01:55:14
http://school.obec.go.th/bandonlao/2009-09-26 06:24:49
http://school.obec.go.th/bankaengnabon/important.html2009-11-12 07:47:24
http://school.obec.go.th/bankhoadaeng2013-05-07 18:45:04
http://school.obec.go.th/banklongkhong/House.htm2013-07-17 21:20:08
http://school.obec.go.th/bankokenonglom2013-06-27 00:10:07
http://school.obec.go.th/bankokenonglom/2013-05-22 21:15:05
http://school.obec.go.th/banmuangsuang/important.html2009-11-12 10:02:02
http://school.obec.go.th/banpakae/important.html2009-11-11 07:04:28
http://school.obec.go.th/banrubprak/important.html2009-11-11 06:33:18
http://school.obec.go.th/bansanschool/da.html2012-06-08 08:01:07
http://school.obec.go.th/bnkham/DATA_SCHOOL/admin.html2013-05-27 15:30:11
http://school.obec.go.th/bnws2013-04-20 00:15:46
http://school.obec.go.th/bokluea/2013-01-29 04:45:06
http://school.obec.go.th/bokluea/?name=boss2013-03-18 23:35:08
http://school.obec.go.th/bsms/parvud.html2013-02-16 00:00:53
http://school.obec.go.th/hauykrai/2013-01-04 21:00:04
http://school.obec.go.th/hinkleung/test9.htm2013-01-26 00:09:25
http://school.obec.go.th/huakhao2013-07-03 00:34:30
http://school.obec.go.th/huayaungkk2/2009-09-29 06:00:49




ดูค่า MD5 ของไฟล์ที่ติดเชื้อเพื่อนำมาวิเคราะห์ (Malware Analysis)


URLMD5IPThreat
2013-07-23 19:12:53http://school.obec.go.th/nongpangtru_kan1/index3.htm...C0C5A98D3A155E58018D0648792C8873210.1.20.7THJS/TrojanDownloader.Iframe.NHP trojan
2013-07-23 05:03:53http://school.obec.go.th/donthongwittaya...939709D74D64CCB2FCCFE0691588364B210.1.20.7THTrojan-Downloader.JS.Agent.feo
2013-07-23 04:56:28http://school.obec.go.th/ns/pn22554.htm...888AFD2FE9F83A5D385A8A435ECCEDB5210.1.20.7THJS/Kryptik.BC trojan
2013-07-22 23:38:21http://school.obec.go.th/borihan/...FB0BD87A9D893E5CD9230D95DACC6D6F210.1.20.7THJS/TrojanDownloader.Shadraem.A trojan
2013-07-21 17:01:02http://school.obec.go.th/khaokling/data_bankhaokling/Food_Project_50.html...0A96F0D2843FFB46697031EDBAF70B89210.1.20.7THHTML/TrojanDownloader.IFrame trojan
2013-07-21 14:57:21http://school.obec.go.th/payakwit/scoutsimina52.html...F7C30FD9F865B4557BE1A31FDEA40527210.1.20.7THJS/Kryptik.CK trojan
2013-07-21 06:23:52http://school.obec.go.th/bukitjerae...5DBD43A93EB86D5B6A0840FFC355317E210.1.20.7THJS/IFrame.BH.gen
2013-07-20 21:41:59http://school.obec.go.th/suksapiset/tourchiengmai1.htm...E5EEAC34BB2F6E97774580045FEC0910210.1.20.7THJS/TrojanDownloader.HackLoad.AG trojan
2013-07-20 20:28:23http://school.obec.go.th/chauatschool...0F6FB069A9E258C069C49FB93B4DA468210.1.20.7THJS/TrojanDownloader.Agent.NTW trojan
2013-07-20 11:22:54http://school.obec.go.th/scispk/newsacti01.htm...52E080A5EBCC3F65769D84E3C7ED52EB210.1.20.7THHTML/IFrame.L

ประวัติการติดเชื้อมัลแวร์เมื่อทำการเรียกดูชื่อไฟล์ที่ติดเชื้อ


+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
วิเคราะห์การเชื่อมโยงระบบเครือข่ายเพื่อทำให้เกิดการติดเชื้อมัลแวร์
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

เมื่อมีทำการเรียกค่าโดแมนดังกล่าวจะมีการติดต่อสื่อสารไปยังโดแมนที่สร้างขึ้นเพื่อการโจรกรรมข้อมูล


ภาพช่องสี่เหลี่ยมสี่เหลืองคือโดแมนที่ถูกสร้างขึ้นมาเป็นมัลแวร์ ซึ่งเป็นโครงข่ายของอาชญากรรมทางโลกไซเบอร์ (Cyber Crime) ประกอบด้วย
gxjamuwp .cz.cc
shkoztdm .cz.cc
qjpbdbmd .cz.cc
ziejpzrv .cz.cc
lfmzwijq .cz.cc
และตัวอันตรายที่จะวิเคราะห์อย่างละเอียดอีกทีคือ marbit  dot com 

เมื่อทำการเรียกค่าเพื่อดูการตอบสนองข้อมูลฝั่งเว็บไซต์ให้บริการ


มีการตอบค่ากลับและมีการเปลี่ยนเส้นทางข้อมูลดังนี้



เมื่อทำการตรวจสอบการเรียกค่าเว็บไซต์จะพบการเชื่อมโยงติดต่อไปยังโดแมนที่ถูกสร้างขึ้นเป็นมัลแวร์เพื่อทำให้เครื่องคอมพิวเตอร์ที่อ่อนแอติดเชื้อได้

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

ตัวอย่างการเรียกค่าที่ติดเชื้อ
+++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
ช่องโหว่ที่พบทำให้มีการติดเชื้อ
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
1. มาจาก Office Snapshot Viewer
- คำนิยามการเข้าถึงระบบ The Microsoft Office Snapshot Viewer ActiveX control allows remote attackers to download arbitrary files to a client machine 
- ช่องโหว่ CVE-2008-2463

2. MsVidCtl OverflowOverflow 
- คำนิยามการเข้าถึงระบบ in Microsoft Video ActiveX Control via specially-crafted data parameter
- ช่องโหว่ CVE-2008-0015

3. Adobe getIconStack-based buffer overflow 
- คำนิยาม in Adobe Reader and Acrobat via the getIcon method of a Collab object
- ช่องโหว่ CVE-2009-0927

4. Adobe util.printf overflowStack-based buffer overflow 
- คำนิยาม in Adobe Acrobat and Reader via crafted format string argument in util.printf
- ช่องโหว่ CVE-2008-2992

5. Adobe Collab overflow
- คำนิยาม Multiple Adobe Reader and Acrobat buffer overflows
- ช่องโหว่ CVE-2007-5659


++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
รายชื่อไฟล์ที่พบประวัติการติดเชื้อ 
ชื่อ "donthongwittaya"
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
ซึ่งมีการตรวจสอบจากโปรแกรมแอนตี้ไวรัสได้ผลลัพธ์ดังนี้ https://www.virustotal.com/th/file/939709D74D64CCB2FCCFE0691588364B/analysis/

การแสดงอัตลักษณ์ไฟล์มัลแวร์ที่พบ

ตัวอย่างการแสดงผลของโปรแกรมแอนตี้ไวรัสกับไฟล์ donthingwittaya



ข้อมูลเพิ่มเติมที่
http://checkip.me/whomap.php?domain=school.obec.go.th
http://www.sran.net/statistic?q=school.obec.go.th
http://urlquery.net/report.php?id=3963804
https://www.virustotal.com/th/file/939709D74D64CCB2FCCFE0691588364B/analysis/
http://wepawet.iseclab.org/view.php?hash=41a7ee22c704e708cdb57362372c1699&t=1374610813&type=js
http://anubis.iseclab.org/?action=result&task_id=162d0bbf11f5d90d47de47d9e87f8eff7&format=html


23/07/56
Nontawattana  Saraman
SRAN Dev Team

วันเสาร์, กรกฎาคม 20

"รู้เขา รู้เรา" ใครโจมตีเรา และเราโจมตีใคร

เราเคยเสนอระบบเพื่อให้รู้ทันภัยคุกคามจากการโจมตีบนโลกไซเบอร์ให้กับรัฐบาลไทย เพื่อให้ภาพรวมการโจมตีที่เกิดขึ้นในประเทศไทย เพื่อการป้องกันภัยอย่างยั้งยืน แต่ด้วยว่าเป็นเรื่องที่อธิบายลำบากเนื่องด้วยเป็นภาษาทางเทคนิคจึงทำให้โครงการยังไม่เกิดเป็นชิ้นเป็นอัน  ด้วยความฝันส่วนตัวของกลุ่มเราจึงอยากทำระบบดังกล่าวให้เป็นความจริงโดยไม่ต้องสนใจว่าใครจะให้ทำ เงินลงทุนมาจากไหน ? หรือระบบนี้จะเป็นว่าต้องการหรือไม่ก็ตาม เราได้ดำเนินการด้วยเงินทุนตัวเองสร้างระบบขึ้นมาจนเราได้เก็บเกี่ยวข้อมูลได้ระดับหนึ่งเป็นข้อมูลที่น่าสนใจ  และเป็นพื้นฐานที่ดีในการจะ "รู้เขา รู้เรา" หากนำไปใช้จริงจะช่วยลดปริมาณข้อมูลจราจร (Data Traffic) ที่เป็นภัยคุกคามไม่ว่าเป็นภัยทางอาชญากรรมคอมพิวเตอร์ที่แฝงมากับการสร้างบอทเน็ต การหลอกลวง การแฮก การขโมยข้อมูลเป็นต้น จะทำให้อินเทอร์เน็ตในประเทศไทยมีความมั่นคงปลอดภัยขึ้นโดยเฉพาะประชาชนผู้ใช้งานอินเทอร์เน็ตทั่วไปในประเทศไทย ที่อาจมีความรู้ทางด้านเทคนิคการป้องกันตัวและเป็นผู้ใช้งานทั่วไปที่ไม่มีความรู้ทางเทคนิคในการป้องกันตัวจะได้รับประโยชน์กับการใช้งานอย่างปลอดภัยขึ้น

ในอดีตจนถึงปัจจุบันเรายังไม่เคยมีการจัดทำข้อมูลเชิงสถิติเพื่อให้ทราบถึงภัยคุกคามที่เกิดขึ้นในประเทศไทย เหตุผลหนึ่งที่เกิดการจัดทำระบบ SRAN [in] block นี้ขึ้นก็มาจากคำพูดที่กล่าวว่า “รู้เขา รู้เรารบร้อยครั้งชนะร้อยครั้ง” มาใช้ในการประเมินสถานการณ์ด้านภัยคุกคามบนโลกไซเบอร์สำหรับประเทศไทยเรา พบว่าเรายังไม่มีข้อมูลเพียงพอสำหรับการประเมินได้เลย เราแทบไม่รู้ว่า เราไปโจมตีใครบ้างในโลกไซเบอร์ และ มีใครโจมตีเราบ้างในโลกไซเบอร์ ซึ่งวิธีการทำให้รู้เขารู้เรานั้นจำเป็นต้องมีการจัดทำระบบและข้อมูลในเชิงรุกขึ้น 

เมื่อเปรียบเทียบการโจมตีที่เกิดขึ้นบนโลกไซเบอร์นั้นอาจแบ่งได้เป็น 2 ประเภทใหญ่ได้แก่

(1)  Client Compromise คือ เครื่องลูกข่ายที่ถูกควบคุมจากแฮกเกอร์ไม่ว่าเป็นการถูกทำให้ติดเชื้อหรือการถูกทำการใดการหนึ่งที่มีผู้ควบคุมจากทางไกล ซึ่งเครื่องลูกข่ายที่กล่าวถึงนั้น ได้แก่ คอมพิวเตอร์ที่ใช้ตามบ้าน, คอมพิวเตอร์ที่ใช้ในสำนักงาน หรือเครื่องทำงานของพนักงาน , โทรศัพท์มือถือ เป็นต้น ซึ่ง Client Compromise หากจัดทำข้อมูลขึ้นและระบุประเทศไทยได้ก็จะทำให้ทราบถึงการรู้ว่าเครื่องคอมพิวเตอร์ในประเทศเราไปโจมตีที่ใดอยู่บ้าง ตัวอย่างเครื่อง Client ที่ถูก Compromise จากการจัดทำข้อมูลจากทีมงาน SRAN ผ่านเทคโนโลยี Honey pot สามารถดูได้ที่ http://www.sran.org/attack จะทำให้เห็นภาพรวมเครื่องลูกข่ายที่ติดเชื้อและพยายามโจมตีเครื่องคอมพิวเตอร์ไปยังที่ต่างๆทั่วโลก ซึ่งบางเครื่องมาจากคอมพิวเตอร์โน้ตบุ๊ค (Notebook) ตามบ้านที่ใช้บริการอินเทอร์เน็ต แม้กระทั่งเครื่องมือถือที่ใช้บริการอินเทอร์เน็ตผ่านโครงข่ายมือถือ 2G และ 3G เป็นต้น 


ภาพที่ 1 ข้อมูลใน www.sran.net/attack แสดงข้อมูลเครื่องคอมพิวเตอร์ในประเทศไทยที่พยายามโจมตีบนโลกไซเบอร์ ซึ่งการโจมตีที่พบนั้นอาจจะโจมตีทั้งในและต่างประเทศ โดยที่เครื่องเหล่านี้ไม่รู้ตัวว่ากลายเป็นนักโจมตีระบบไปเสียแล้ว และเมื่อเราระบุแหล่งที่มาของค่าไอพีแอดเดรสลงบนแผนที่สารสนเทศ (GeoIP) แล้วจะพบว่าคอมพิวเตอร์เกือบทุกจังหวัดในประเทศไทยเป็นนักโจมตีระบบทั้งสิ้น

ภาพที่ 2 การแสดงข้อมูลเฉพาะประเทศไทยในวันที่ 20 กรกฏาคม 2556 เวลา 19:20 พบว่าส่วนใหญ่เครื่องคอมพิวเตอร์ในประเทศไทยที่โจมตีระบบที่อื่ๆ ทั่วโลกจะโจมตีบริการ SSH มากที่สุด 

ภาพที่ 3 ตัวอย่างการแสดงผลเครื่องคอมพิวเตอร์ในประเทศไทยที่กลายเป็นนักโจมตีระบบทั้งที่ตนเองอาจไม่รู้ตัว ซึ่งหากตรวจสอบดูแล้วส่วนใหญ่เป็นผู้ใช้งานตามบ้าน / ผู้ใช้งานมือถือ มีทั้งการติดเชื้อเป็นบอทเน็ต และเป็นนักโจมตีรหัสผ่าน (Brute force password) รวมทั้งการส่งข้อมูลขยะ (Spam)

***** สรุปในข้อ 1 คือเครื่องคอมพิวเตอร์ในประเทศไทย ไปโจมตี ชาวบ้าน (ทั้งในประเทศและต่างประเทศ) ตกเป็นเหยื่อ โดยส่วนใหญ่ไม่รู้ตัว

(2) Server Compromise คือ เครื่องแม่ข่ายที่ถูกควบคุมจากแฮกเกอร์ ไม่ว่าเป็นการถูกทำให้ติดเชื้อหรือการถูกทำการใดการหนึ่งที่มีผู้ควบคุมจากทางไกลได้ ซึ่งเครื่องแม่ข่ายที่กล่าวถึงนั้นมักจะเป็นเครื่องที่ออนไลน์ตลอดเวลา 24x7 ได้แก่ เว็บเซิร์ฟเวอร์ , เมล์เซิร์ฟเวอร์ , ดาต้าเบสเซิร์ฟเวอร์ และเครื่องแม่ข่ายอื่นๆ ที่ค่าไอพีแอดเดรส หรือ โดเมนแนม สาธารณะที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต ส่วนนี้เป็นการรู้เขา ใครโจมตีเราที่ไหนบ้าง หน่วยงานไหนบ้าง ตัวอย่างเครื่อง Server ที่ถูก Compromise เฉพาะในประเทศไทย ที่ทีมงาน SRAN ได้เก็บรวบรวมข้อมูลมาพบว่า



ภาพที่ 4 สถิติภาพรวมการตรวจจับการถูกที่อื่นโจมตีที่เกิดขึ้นกับเครื่องแม่ข่าย (Server) ในประเทศไทย ซึ่งภาพนี้เป็นการแสดงข้อมูลเครื่องแม่ข่ายในประเทศไทยที่ถูกโจมตี ทั้งถูกแฮกเว็บไซต์ (Web Attack) , การยึดเครื่องเพื่อสร้างเป็นเครื่องหลอกลวงข้อมูล (Phishing) และ เครื่องแม่ข่ายที่ติดเชื้อมัลแวร์ (Malware)   รวมถึงสถิติช่องโหว่ และเครื่องคอมพิวเตอร์ที่เปิดบริการ Proxy เพื่อการอำพรางไอพีแอดเดรส เป็นต้น ข้อมูลที่แสดงจากวันที่ 19 กรกฏาคม 2556  ด้านล่างเป็นจำนวนสถิติผู้ให้บริการอินเทอร์เน็ตในประเทศไทยเรียงตามตัวเลขการถูกโจมตี ซึ่งจะพบว่า ASN หมายเลข 9931 ของ CAT Telecom ถูกโจมตีมากที่สุดถึง 5,284 ครั้ง เฉพาะการถูกแฮกหรือเปลี่ยนหน้าเว็บเพจ (Web Attack)

ภาพที่ 5 การค้นพบเครื่องแม่ข่ายในประเทศไทย ที่ถูกแฮก และเปลี่ยนหน้าเว็บเพจ

ภาพที่ 6 การค้นพบเครื่องแม่ข่ายในประเทศไทย ที่ถูกสร้างเป็นเว็บไซต์หลอกลวง (Phishing) 

ภาพที่ 7 การค้นพบเครื่องแม่ข่ายในประเทศไทย ที่ติดเชื้อมัลแวร์ (Malware) ซึ่งมีโอกาสแพร่เชื้อให้กับผู้ใช้งานที่เปิดหน้าเพจนั้นๆ

ซึ่งทั้งหมด สามารถดูรายประเภทได้ที่ http://www.sran.net/statistic?q= ซึ่งจากข้อมูลพบว่าประเทศไทยของเรานั้นประสบปัญหาการที่เครื่องแม่ข่ายถูกควบคุมจากแฮกเกอร์ ไม่ว่าเป็นการถูกทำให้ติดเชื้อหรือถูกทำการใดการหนึ่งที่ทำให้สามารถควบคุมระยะไกลได้เป็นจำนวนมาก จากสถิติในเว็บไซต์ www.sran.net/reports เมื่อพิจารณาย้อนหลังไป 3 ปี คือปี พ.ศ. 2554 – มิถุนายน 2556 (ค.ศ. 2011 – 2013) พบว่ามีเครื่องคอมพิวเตอร์ในประเทศไทยที่ทั้งติดเชื้อมัลแวร์ (Malware) , การถูกโจมตีเว็บไซต์จากแฮกเกอร์ (Web Attack) และการตกเป็นเครื่องในการเผยแพร่ข้อมูลหลอกลวง (Phishing) ซึ่งเหล่านี้ล้วนเป็นเครื่องแม่ข่าย (Server)


ภาพที่ 8 สถิติการถูกโจมตีตั้งแต่ปี ค.ศ 2011 - 2013 (ปัจจุบัน) ตามประเภทเครื่องแม่ข่ายที่ถูกโจมตีทั้งการถูกแฮก การตกเป็นเครื่องหลอกลวง และการติดเชื้อ




ภาพที่ 9 เมื่อมีการแบ่งประเภทตามหน่วยงานที่มีเครื่องแม่ข่ายที่ตกเป็นฐานในการโจมตีก็พบว่าหน่วยงาน ปี 2011 ภาครัฐบาลถูกโจมตีมากที่สุด ปี 2012 ภาครัฐบาลถูกโจมตีมากที่สุด
ปี 2013 ประเภทเอกชน (Commercial) ถูกโจมตีมากที่สุด รองลงมาคือภาคการศึกษา (Academic) เป็นต้น

จากข้อมูลย้อนหลัง 2 ปีกับอีก 6 เดือนพบว่าแนวโน้มการที่เครื่องแม่ข่าย (Server) ในประเทศไทยจะติดเชื้อมัลแวร์และการตกเป็นเครื่องมือในการเผยแพร่ข้อมูลหลอกลวง (Phishing) มีอัตราเพิ่มสูงขึ้น ซึ่งจะส่งผลทำให้มีการแพร่กระจายไวรัสและข้อมูลหลอกลวงไปสู่ประชาชนมีค่อนข้างสูง เพราะจากสถิติในปีล่าสุดพบว่ามีเครื่องแม่ข่าย (Server) ที่ติดเชื้อไปแล้ว 10,652 ครั้ง ซึ่งปริมาณมากกว่าสิ้นปี 2555 และ 2554 เสียอีก ดังนั้นจึงเป็นที่มาของภารกิจในการ ”ลดความเสี่ยง” และประหยัดงบประมาณ สำหรับเครื่องแม่ข่ายที่ยังขาดระบบรักษาความมั่นคงปลอดภัยทางข้อมูลไม่ให้ตกเป็นเป้าในการโจมตีของแฮกเกอร์และการติดเชื้อมัลแวร์จากการใช้งานอินเทอร์เน็ต นั้นทีมงาน SRAN พัฒนาได้คิดค้นเทคนิควิธีที่ช่วยในการลดความเสี่ยงต่อภัยอันตรายต่างๆ ด้วยการนำข้อมูลจราจรที่ผ่านการใช้งานเว็บเซิร์ฟเวอร์ผ่านมาช่องดีเอ็นเอสผ่านคลาวด์คอมพิวติ้ง ที่ทางทีมงาน SRAN ได้จัดทำขึ้น และช่วยป้องกันภัยคุกคามผ่านการเฝ้าระวังภัยและการป้องกันภัยแบบรวมศูนย์ ซึ่งจะทำให้เรารู้ทันภัยคุกคามที่เกิดขึ้นกับตนเองและป้องกันภัยได้แบบ Real Time เพื่อลดความเสี่ยงอันจะก่อให้เกิดความเสียหายต่อไป