การวิเคราะห์การถูกโจมตี
ขั้นตอนที่สำคัญที่สามารถควบคุมการแพร่กระจายของไวรัสคือ การทำความเข้าใจกับธรรมชาติการแพร่ระบาด และการวิเคราะห์ในรายละเอียดเกี่ยวกับการโจมตีการไม่ทำตามขั้นตอนอาจเป็นการเพิ่มความน่าจะเป็นที่จะถูกโจมตีจากไวรัส การที่ไม่เข้าใจว่าการโจมตีเกิดขึ่นได้ ไม่มีทางเป็นไปได้ที่จะมั่นใจได้ว่าระบบนั้นปลอดภัยจากการถูกโจมตี
การวิเคราะห์มัลแวร์ควรกระทำโดยสมาชิกในทีมรักษาความปลอดภัย และมีเครื่องมือและแอพพลิเคชันที่พร้อมสำหรับการวิเคราะห์แบบอัตโนมัติหรือใกล้เคียงมากที่สุด
การวิเคราะห์มัลแวร์ควรกระทำโดยสมาชิกในทีมรักษาความปลอดภัย และมีเครื่องมือและแอพพลิเคชันที่พร้อมสำหรับการวิเคราะห์แบบอัตโนมัติหรือใกล้เคียงมากที่สุด
ขั้นตอนต่อไปเป็นสิ่งที่จะช่วยให้เข้าใจธรรมชาติของการโจมตีได้มากขึ้น
การตรวจสอบระบบปฏิบัติการ ขั้นตอนแรกในการวิเคราะห์การโจมตี คือ การตรวจดูว่าไฟล์ใดของระบบปฏิบัติการที่มีเพิ่มขึ้นหรือที่ถูกเปลี่ยนแปลง โดยการดูในส่วนต่อไปนี้
- โพรเซสและเซอร์วิสที่กำลังทำงานอยู่
การตรวจสอบระบบปฏิบัติการ ขั้นตอนแรกในการวิเคราะห์การโจมตี คือ การตรวจดูว่าไฟล์ใดของระบบปฏิบัติการที่มีเพิ่มขึ้นหรือที่ถูกเปลี่ยนแปลง โดยการดูในส่วนต่อไปนี้
- โพรเซสและเซอร์วิสที่กำลังทำงานอยู่
- โลคอลรีจิสทรี
- ไฟล์ในโฟลเดอร์ของระบบปฏิบัติการ
- บัญชีผู้ใช้ใหม่หรือกลุ่มผู้ใช้ใหม่ โดยเฉพาะผู้ใช้ที่มีสิทธิ์เป็นผู้ดูแลระบบ
- แชร์โฟลเดอร์
- ไฟล์ที่ถูกสร้างขึ้นใหม่ ซึ่งอาจจะเป็นไฟล์ที่มีชื่อที่คุ้นเคยแต่อยู่ในที่แปลก ๆ
- พอร์ตที่ถูกเปิดเพิ่มขึ้นมา
การตรวจเช็คโพรเซสและเซอร์วิสที่กำลังทำงานอยู่ เพื่อช่วยลดโพรเซสที่รันอยู่ก็สามารถทำได้โดยการปิดโปรแกรมหรือแอพพลิเคชันที่ไม่จำเป็น
ไม่มีเครื่องมือเฉพาะสำหรับการวิเคราะห์โพรเซส วินโดวส์เองก็มีเครื่องมือที่ใช้ดูโพรเซสได้ การวิเคราะห์ว่าโพรเซสนั้นอยู่ที่โฟลเดอร์ใดนั้น
การตรวจเช็คสตาร์ทอัพโฟลเดอร์ โฟลเดอร์ที่เก็บโปรแกรมที่จะรันโดยอัตโนมัติเมื่อเปิดใช้งาน มัลแวร์บางตัวพยายามจะรันตัวเอง
การตรวจเช็คสตาร์ทอัพโฟลเดอร์ โฟลเดอร์ที่เก็บโปรแกรมที่จะรันโดยอัตโนมัติเมื่อเปิดใช้งาน มัลแวร์บางตัวพยายามจะรันตัวเอง
การแก้ไขสตาร์ทอัพโฟลเดอร์ของระบบ มีสองที่ที่ควรเช็คสำหรับสตาร์ทอัพโฟลเดอร์ที่แรกคือ โฟลเดอร์ของ All Users
ส่วนอีกที่หนึ่งคือ โฟลเดอร์ของยูสเซอร์โพรไฟล์ของผู้ใช้ปัจจุบันที่กำลังล็อกออนเข้าใช้งาน เพื่อความรอบคอบก็ให้เช็คโฟลเดอร์ของทุกยูสเซอร์ที่มีในระบบ
การตรวจค้นหามัลแวร์และคอร์รัปต์ไฟล์ ส่วนใหญ่มัลแวร์จะแก้ไขและปรับเปลี่ยนบางไฟล์ที่อยู่ในฮาร์ดิสก์
การตรวจค้นหามัลแวร์และคอร์รัปต์ไฟล์ ส่วนใหญ่มัลแวร์จะแก้ไขและปรับเปลี่ยนบางไฟล์ที่อยู่ในฮาร์ดิสก์
การที่จะค้นหาว่าไฟล์ไหนที่ถูกแก้ไข ถ้าระบบถูกติดตั้งและไม่มีการปรับเปลี่ยนใด ๆ อาจสามารถเช็คโดยการเปรียบเทียบระบบที่ถูกโจมตีกับ
ระบบที่ถูกติดตั้งใหม่จากซอร์สเดียวกัน ถ้ามีการปรับเปลี่ยนระบบและมีการติดตั้งโปรแกรมเพิ่มเติมวิธีการค้นหาไฟล์ใหม่ที่เพิ่มโดยมัลแวร์
หรือไฟล์ที่ถูกแก้ไข วิธีการค้นหาไฟล์ที่ถูกแก้ไขตั้งแต่มัลแวร์เข้ามาในระบบเป็นครั้งแรก การค้นหาอาจใช้เครื่องมือค้นหาไฟล์ที่มีมาพร้อมกับวินโดวส์
การตรวจสอบแชร์โฟลเดอร์ เป็นอาการที่พบเห็นบ่อย ๆ ของมัลแวร์ การใช้แชร์โฟลเดอร์ในการแพร่กระจายมัลแวร์ในเครือข่าย
การตรวจสอบแชร์โฟลเดอร์ เป็นอาการที่พบเห็นบ่อย ๆ ของมัลแวร์ การใช้แชร์โฟลเดอร์ในการแพร่กระจายมัลแวร์ในเครือข่าย
ควรตรวจสอบสถานะของโฟลเดอร์ที่แชร์ไว้ โดยใช้ MMC หรือคำสั่งคอมมานด์ไลน์ จะไม่แชร์ไฟล์หรือโพลเดอร์ถ้าผู้ใช้ไม่สั่งให้แชร์เอง
ถ้าระบบมีการแชร์ก็อาจเป็นเพราะอาจมีซอฟต์แวร์ที่ใช้สำหรับการควบคุมระยะไกลติดตั้งอยู่บนเครื่องเท่านั้น ซึ่งมีโอกาสน้อยมาก
การตรวจสอบพอร์ตที่เปิดไว้ การโจมตีของมัลแวร์หลายตัวจะสร้างแบ็คดอร์ เพื่อเป็นช่องทางสำหรับการโจมตีในอนาคต
การตรวจสอบพอร์ตที่เปิดไว้ การโจมตีของมัลแวร์หลายตัวจะสร้างแบ็คดอร์ เพื่อเป็นช่องทางสำหรับการโจมตีในอนาคต
เทคนิคอย่างหนึ่งที่ใช้บ่อย ๆ คือ การเปิดพอร์ตบนโฮสต์ซึ่งเป็นอีกช่องทางหนึ่งสำหรับการโจมตีครั้งต่อไป มีเครื่องมือที่สามารถใช้ตรวจเช็คดูว่า มีพอร์ตใดเปิดอยู่บ้างจากไมโครซอฟต์
เครื่องมือที่นิยมใช้และมีอยู่ในวินโดวส์และระบบปฏิบัติการอื่น ๆ คือ คำสั่งซึ่งเป็นยูทิลิตี้ที่แสดงการเชื่อมต่อทางเครือข่ายรวมทั้งพอร์ตที่เปิดอยู่ขณะนั้น
เครื่องมือที่นิยมใช้และมีอยู่ในวินโดวส์และระบบปฏิบัติการอื่น ๆ คือ คำสั่งซึ่งเป็นยูทิลิตี้ที่แสดงการเชื่อมต่อทางเครือข่ายรวมทั้งพอร์ตที่เปิดอยู่ขณะนั้น
การตรวจว่าพอร์ตที่เปิดไว้เป็นพอร์ตที่ควรจะเปิดไว้หรือไม่ เครื่องมือที่นิยมใช้สำหรับระบบวินโดวส์คือ PortQRY
รั้วไฟฟ้า กล้องวงจรปิด สัญญาณกันขโมย
สนใจติดตั้งกล้องวงจรปิด >>> บริษัท มีเดีย เสิร์ซ จำกัด โทร. 02-8883507-8, 081-700-4715
ไม่มีความคิดเห็น:
แสดงความคิดเห็น