Video Screencast Help
Symantec Appoints Michael A. Brown CEO. Learn more.

การ Submit ไฟล์ต้องสงสัยให้ทาง symantec ตรวจสอบ

Created: 18 Aug 2011 • Updated: 30 Aug 2011
Language Translations
zanow's picture
0 0 Votes
Login to vote

แนวทางจัดการในสถานการณ์ Unknown Malware Outbreak

 

Title: How to handle Unknown Malware Computer Outbreak situation

Technical Level: How to

First Release Date: June 14th, 2011

Edition: 1.0

Edition Date: June 19th, 2011

Prepared by Nopchai Tangtritham, System Engineer Manager

                    Sirigunya Wangjinda, System Engineer

                    Pannawich Pornwattana, Endpoint Security Support Engineer

Language: Thai

© Copyright 2011 Symantec Software, All rights reserved

วัตถุประสงค์

เอกสารฉบับนี้จัดทำขึ้นเพื่อให้เจ้าหน้าที่ฝ่ายไอทีซึ่งมีหน้าที่ดูแลระบบงานได้ทราบถึงแนวทางในการบริหารจัดการสถานการณ์ไวรัสตัวใหม่ที่ยังไม่อยู่ใน Virus Definition ของซอฟต์แวร์ Symantec Endpoint Protection (Virus Outbreak)

 

กรณีที่ยังไม่เกิดเหตุการณ์ Outbreak แต่ต้องการลดความเสี่ยงจากเหตุการณ์ดังกล่าว ผู้เขียนแนะนำสำหรับแนวทางปฏิบัติในการกำหนด Policy ที่แนะนำสำหรับซอฟต์แวร์ SEP เวอร์ชัน 11 (http://www.storage101.net/papers/SEP11_Recommend_p...)

บทนำ

ในเดือนมกราคม 2007 มีไวรัสคอมพิวเตอร์ที่แตกต่างกันในโลกนี้อยู่ประมาณ 250,000 ตัวขณะที่ปัจจุบัน ณ เวลาที่ผู้เขียนเอกสารฉบับนี้ (มิ.ย. 2011) มีโปรแกรมมัลแวร์ที่แตกต่างกันอยู่ประมาณ 288 ล้าน ตัว (288,000,000) มากกว่า 70% เป็น variants ที่แตกออกมาจากมัลแวร์ตัวหลัก จะเห็นได้ว่าในเวลา 4 ปีที่ผ่านมา ในส่วนของสถานการณ์ภัยคุกคาม ได้เกิดการเปลี่ยนแปลงที่เห็นได้อย่างชัดเจนในฝั่งผู้สร้างมัลแวร์ ตั้งแต่ แรงจูงใจในการสร้างมัลแวร์เปลี่ยนไปในลักษณะแสวงหาผลประโยชน์ทางด้านการเงิน เครื่องมือต่างๆ ที่เกิดขึ้นทำให้การพัฒนามัลแวร์ทำได้ง่ายดายขึ้น มีเครื่องมือใหม่ๆ ที่สร้างขึ้นมาเพื่อแปลงโฉมมัลแวร์ที่มีอยู่ให้หลบหลีกวิธีการตรวจจับแบบ Black List (virus signature) เหมือนกับวิธีการแปลงโฉมของอาชญากรที่เกิดขึ้น เหล่านี้ทำให้เราอยู่ในสถานการณ์ที่ยากลำบากขึ้นในการไล่จับและป้องกันภัยคุกคามใหม่ๆ

 

ในกรณีที่เราอาจโดนมัลแวร์ตัวใหม่ที่ตัวเดิมที่มีการแปลงโฉม (Variants) ซอฟต์แวร์ป้องกันไวรัสที่เราใช้อยู่อาจยังไม่มีฐานข้อมูลมัลแวร์ตัวดังกล่าว การจัดการเชิงรุกในสถานการณ์เช่นนี้ ในกรณีที่เราสงสัยว่าเครื่องคอมพิวเตอร์ของเราหรือในองค์กรโดนมัลแวร์เข้าไปแล้ว ก็คือ การส่งตัวอย่างไฟล์มัลแวร์เพื่อให้บริษัททำการวิเคราะห์และออกอัพเดทฐานข้อมูลเพื่อรองรับภัยคุกคามตัวดังกล่าว โดยทางบริษัทได้เตรียมช่องทางสำหรับลูกค้าบริษัทไซแมนเทคเพื่อสื่อสารและส่งไฟล์ตัวอย่าง

 

 

ขั้นตอนการส่งไฟล์ตัวอย่าง

ลูกค้าแบบองค์กรผลิตภัณฑ์ป้องกันมัลแวร์ของไซแมนเทคในประเทศไทยสามารถใช้ช่องทางเวบฟอร์ม https://submit.symantec.com/websubmit/platinum.cgi เพื่อส่งไฟล์ตัวอย่างที่สงสัยว่าเป็นมัลแวร์ และเวบฟอร์ม https://submit.symantec.com/false_positive/กรณีที่ผลิตภัณฑ์ของบริษัทตรวจจับไฟล์โปรแกรมที่เราเชื่อว่าเป็นโปรแกรมปกติ (false position) และต้องการแจ้งให้บริษัทเพื่อตรวจสอบแก้ไข

 

 

รูปที่ 1 – เวบฟอร์มสำหรับส่งไฟล์ที่คิดว่าเป็นมัลแวร์ให้วิเคราะห์และออก virus definition

 

โดยในการส่งไฟล์ตัวอย่างดังกล่าว หากต้องการสามารถส่งไฟล์ต้องสงสัยได้มากกว่า 1 ไฟล์ (แต่อาจใช้เวลามากกว่า) โดยส่งอยู่ในรูปของ WinZip หรือ WinRarแต่ทั้งนี้ทั้งนั้นต้องไม่เกิน 9 ไฟล์ในไฟล์zip เดียวกันและมีขนาดรวมไม่มากเกิน 10MB นอกจากนี้ห้ามเข้ารหัสไฟล์ zip หรือ rar ดังกล่าวอีกด้วย

 

นอกจากนี้ในการส่งไฟล์เราต้องแจ้งรหัส Support ID Number ของเราอีกด้วย (ในอดีตใช้รหัส contact id ซึ่งจะได้หลังจากลงทะเบียนผลิตภัณฑ์) ซึ่งรหัสดังกล่าวเราดูได้จากใบ License Certificate ที่เรามีได้เลย เป็นรหัสหมายเลข 12 หลัก อยู่ในแถวเดียวกับ item ที่เป็นส่วน Support (ตัวอย่างดังรูปที่ 2)

 

รูปที่ 2 – ตัวอย่างการรหัส support id จาก License certificate

 

เมื่อเราได้ทำการส่งไฟล์ผ่านทางเวบไปแล้ว สักครู่เราจะได้รับอีเมลตอบกลับแจ้งยืนยันการรับไฟล์ดังกล่าวพร้อมหมายเลขอ้างอิง (Tracking Number) ปัจจุบันเป็นรหัสหมายเลข 7-8 หลัก (จำนวนหลักอาจมากกว่านี้ในอนาคตหากมีการส่งไฟล์จำนวนมากในแต่ละเดือน) โดยจะขึ้นว่า [TRACKING] ใน Subject Line, หากรอเป็นเวลานานกว่า 10 นาทีแล้วยังไม่มีอีเมลตอบรับส่งมา ให้ลอง submit ไฟล์ใหม่ 

 

เมื่อระบบวิเคราะห์ไฟล์เสร็จแล้วจะส่งอีเมลตอบกลับมาพร้อมผลการวิเคราะห์โดยขึ้นหัวข้อใน Subject Line ว่า [CLOSING]ดังตัวอย่างในรูปที่ 3

รูปที่ 3 - ตัวอย่างอีเมลตอบรับ

 

หากผลการวิเคราะห์ยืนยันว่าไฟล์ที่เราส่งตัวอย่างไปเป็นมัลแวร์ ในระบบตอบกลับจะแจ้งให้เราทราบว่า Rapid Release อย่างน้อยหมายเลขใดที่รู้จักมัลแวร์ดังกล่าวแล้ว (Rapid Release เป็นฐานข้อมูลมัลแวร์ประเภทหนึ่งซึ่งมีการอัพเดทค่อนข้างบ่อย ประมาณทุก ½ ชั่วโมง ก่อนที่จะสรุปออกมาเป็นVirus Definition อีกทีหนึ่งซึ่งมีความถี่ในการออกน้อยกว่า ดังนั้นในสถานการณ์ Outbreak เพื่อจัดการกับมัลแวร์ที่ไม่รู้จัก เราสามารถใช้ Rapid Release แทน Virus Definition) รายละเอียดของ Rapid Release ดูได้จาก 

http://www.symantec.com/business/security_response...

 

สำหรับ Rapid Release เวอร์ชันล่าสุด ณ เวลานั้น เราสามารถเข้าไปเอาได้ที่

ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/rapidrelease/

 

การ Deploy Rapid Release

สำหรับการอัพเดทที่ตัวเซิร์ฟเวอร์หรือ Manager ให้เลือกไฟล์นามสกุล .xdb(Symantec Antivirus Server Version 10) หรือนามสกุล .jdb(Symantec Endpoint Protection Server version 11)

 

-สำหรับ Symantec Endpoint Protection ให้ copy ไฟล์.jdb ไปที่

C:\Program Files\Symantec\Symantec Endpoint Protection\Manager\data\inbox\content\incoming

 

-สำหรับ Symantec Antivirus Server  ให้ copy ไฟล์ .xdbไปไว้ที่

C:\Program Files\SAV\Symantec Antivirus\ or C:\Program Files\SAV

 

กรณีต้องการใช้ Rapid Release สำหรับเครื่อง Client

 

-Symantec Antivirus Server Version 10ให้โหลดไฟล์ 

symrapidreleasedefsx86.exe

-Symantec Endpoint Protection server version 11โหลดไฟล์           symrapidreleasedefsv5i32.exe