แนวทางจัดการในสถานการณ์ Unknown Malware Outbreak
Title: How to handle Unknown Malware Computer Outbreak situation
Technical Level: How to
First Release Date: June 14th, 2011
Edition: 1.0
Edition Date: June 19th, 2011
Prepared by Nopchai Tangtritham, System Engineer Manager
Sirigunya Wangjinda, System Engineer
Pannawich Pornwattana, Endpoint Security Support Engineer
Language: Thai
© Copyright 2011 Symantec Software, All rights reserved
วัตถุประสงค์
เอกสารฉบับนี้จัดทำขึ้นเพื่อให้เจ้าหน้าที่ฝ่ายไอทีซึ่งมีหน้าที่ดูแลระบบงานได้ทราบถึงแนวทางในการบริหารจัดการสถานการณ์ไวรัสตัวใหม่ที่ยังไม่อยู่ใน Virus Definition ของซอฟต์แวร์ Symantec Endpoint Protection (Virus Outbreak)
กรณีที่ยังไม่เกิดเหตุการณ์ Outbreak แต่ต้องการลดความเสี่ยงจากเหตุการณ์ดังกล่าว ผู้เขียนแนะนำสำหรับแนวทางปฏิบัติในการกำหนด Policy ที่แนะนำสำหรับซอฟต์แวร์ SEP เวอร์ชัน 11 (http://www.storage101.net/papers/SEP11_Recommend_policy_Feb11.pdf)
บทนำ
ในเดือนมกราคม 2007 มีไวรัสคอมพิวเตอร์ที่แตกต่างกันในโลกนี้อยู่ประมาณ 250,000 ตัวขณะที่ปัจจุบัน ณ เวลาที่ผู้เขียนเอกสารฉบับนี้ (มิ.ย. 2011) มีโปรแกรมมัลแวร์ที่แตกต่างกันอยู่ประมาณ 288 ล้าน ตัว (288,000,000) มากกว่า 70% เป็น variants ที่แตกออกมาจากมัลแวร์ตัวหลัก จะเห็นได้ว่าในเวลา 4 ปีที่ผ่านมา ในส่วนของสถานการณ์ภัยคุกคาม ได้เกิดการเปลี่ยนแปลงที่เห็นได้อย่างชัดเจนในฝั่งผู้สร้างมัลแวร์ ตั้งแต่ แรงจูงใจในการสร้างมัลแวร์เปลี่ยนไปในลักษณะแสวงหาผลประโยชน์ทางด้านการเงิน เครื่องมือต่างๆ ที่เกิดขึ้นทำให้การพัฒนามัลแวร์ทำได้ง่ายดายขึ้น มีเครื่องมือใหม่ๆ ที่สร้างขึ้นมาเพื่อแปลงโฉมมัลแวร์ที่มีอยู่ให้หลบหลีกวิธีการตรวจจับแบบ Black List (virus signature) เหมือนกับวิธีการแปลงโฉมของอาชญากรที่เกิดขึ้น เหล่านี้ทำให้เราอยู่ในสถานการณ์ที่ยากลำบากขึ้นในการไล่จับและป้องกันภัยคุกคามใหม่ๆ
ในกรณีที่เราอาจโดนมัลแวร์ตัวใหม่ที่ตัวเดิมที่มีการแปลงโฉม (Variants) ซอฟต์แวร์ป้องกันไวรัสที่เราใช้อยู่อาจยังไม่มีฐานข้อมูลมัลแวร์ตัวดังกล่าว การจัดการเชิงรุกในสถานการณ์เช่นนี้ ในกรณีที่เราสงสัยว่าเครื่องคอมพิวเตอร์ของเราหรือในองค์กรโดนมัลแวร์เข้าไปแล้ว ก็คือ การส่งตัวอย่างไฟล์มัลแวร์เพื่อให้บริษัททำการวิเคราะห์และออกอัพเดทฐานข้อมูลเพื่อรองรับภัยคุกคามตัวดังกล่าว โดยทางบริษัทได้เตรียมช่องทางสำหรับลูกค้าบริษัทไซแมนเทคเพื่อสื่อสารและส่งไฟล์ตัวอย่าง
ขั้นตอนการส่งไฟล์ตัวอย่าง
ลูกค้าแบบองค์กรผลิตภัณฑ์ป้องกันมัลแวร์ของไซแมนเทคในประเทศไทยสามารถใช้ช่องทางเวบฟอร์ม https://submit.symantec.com/websubmit/platinum.cgi เพื่อส่งไฟล์ตัวอย่างที่สงสัยว่าเป็นมัลแวร์ และเวบฟอร์ม https://submit.symantec.com/false_positive/กรณีที่ผลิตภัณฑ์ของบริษัทตรวจจับไฟล์โปรแกรมที่เราเชื่อว่าเป็นโปรแกรมปกติ (false position) และต้องการแจ้งให้บริษัทเพื่อตรวจสอบแก้ไข
![]()
รูปที่ 1 – เวบฟอร์มสำหรับส่งไฟล์ที่คิดว่าเป็นมัลแวร์ให้วิเคราะห์และออก virus definition
โดยในการส่งไฟล์ตัวอย่างดังกล่าว หากต้องการสามารถส่งไฟล์ต้องสงสัยได้มากกว่า 1 ไฟล์ (แต่อาจใช้เวลามากกว่า) โดยส่งอยู่ในรูปของ WinZip หรือ WinRarแต่ทั้งนี้ทั้งนั้นต้องไม่เกิน 9 ไฟล์ในไฟล์zip เดียวกันและมีขนาดรวมไม่มากเกิน 10MB นอกจากนี้ห้ามเข้ารหัสไฟล์ zip หรือ rar ดังกล่าวอีกด้วย
นอกจากนี้ในการส่งไฟล์เราต้องแจ้งรหัส Support ID Number ของเราอีกด้วย (ในอดีตใช้รหัส contact id ซึ่งจะได้หลังจากลงทะเบียนผลิตภัณฑ์) ซึ่งรหัสดังกล่าวเราดูได้จากใบ License Certificate ที่เรามีได้เลย เป็นรหัสหมายเลข 12 หลัก อยู่ในแถวเดียวกับ item ที่เป็นส่วน Support (ตัวอย่างดังรูปที่ 2)
![]()
รูปที่ 2 – ตัวอย่างการรหัส support id จาก License certificate
เมื่อเราได้ทำการส่งไฟล์ผ่านทางเวบไปแล้ว สักครู่เราจะได้รับอีเมลตอบกลับแจ้งยืนยันการรับไฟล์ดังกล่าวพร้อมหมายเลขอ้างอิง (Tracking Number) ปัจจุบันเป็นรหัสหมายเลข 7-8 หลัก (จำนวนหลักอาจมากกว่านี้ในอนาคตหากมีการส่งไฟล์จำนวนมากในแต่ละเดือน) โดยจะขึ้นว่า [TRACKING] ใน Subject Line, หากรอเป็นเวลานานกว่า 10 นาทีแล้วยังไม่มีอีเมลตอบรับส่งมา ให้ลอง submit ไฟล์ใหม่
เมื่อระบบวิเคราะห์ไฟล์เสร็จแล้วจะส่งอีเมลตอบกลับมาพร้อมผลการวิเคราะห์โดยขึ้นหัวข้อใน Subject Line ว่า [CLOSING]ดังตัวอย่างในรูปที่ 3
![]()
รูปที่ 3 - ตัวอย่างอีเมลตอบรับ
หากผลการวิเคราะห์ยืนยันว่าไฟล์ที่เราส่งตัวอย่างไปเป็นมัลแวร์ ในระบบตอบกลับจะแจ้งให้เราทราบว่า Rapid Release อย่างน้อยหมายเลขใดที่รู้จักมัลแวร์ดังกล่าวแล้ว (Rapid Release เป็นฐานข้อมูลมัลแวร์ประเภทหนึ่งซึ่งมีการอัพเดทค่อนข้างบ่อย ประมาณทุก ½ ชั่วโมง ก่อนที่จะสรุปออกมาเป็นVirus Definition อีกทีหนึ่งซึ่งมีความถี่ในการออกน้อยกว่า ดังนั้นในสถานการณ์ Outbreak เพื่อจัดการกับมัลแวร์ที่ไม่รู้จัก เราสามารถใช้ Rapid Release แทน Virus Definition) รายละเอียดของ Rapid Release ดูได้จาก
http://www.symantec.com/business/security_response/definitions/download/detail.jsp?gid=rr
สำหรับ Rapid Release เวอร์ชันล่าสุด ณ เวลานั้น เราสามารถเข้าไปเอาได้ที่
ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/rapidrelease/
การ Deploy Rapid Release
สำหรับการอัพเดทที่ตัวเซิร์ฟเวอร์หรือ Manager ให้เลือกไฟล์นามสกุล .xdb(Symantec Antivirus Server Version 10) หรือนามสกุล .jdb(Symantec Endpoint Protection Server version 11)
-สำหรับ Symantec Endpoint Protection ให้ copy ไฟล์.jdb ไปที่
C:\Program Files\Symantec\Symantec Endpoint Protection\Manager\data\inbox\content\incoming
-สำหรับ Symantec Antivirus Server ให้ copy ไฟล์ .xdbไปไว้ที่
C:\Program Files\SAV\Symantec Antivirus\ or C:\Program Files\SAV
กรณีต้องการใช้ Rapid Release สำหรับเครื่อง Client
-Symantec Antivirus Server Version 10ให้โหลดไฟล์
symrapidreleasedefsx86.exe
-Symantec Endpoint Protection server version 11โหลดไฟล์ symrapidreleasedefsv5i32.exe