มาลองใช้การทำ Data Analytics และระบบ SIEM วิเคราะห์หา Ransomware ในองค์กรกันเถอะ!

การวิเคราะห์ข้อมูลนั้นสามารถนำไปประยุกต์ใช้ได้หลายรูปแบบตามแต่จะจินตนาการ แต่ในครั้งนี้เราจะมาลองดูกันว่าเทคโนโลยี Data Analytics จะสามารถนับไปใช้ตรวจจับ Ransomware ภายในองค์กรกันได้อย่างไรบ้าง

Credit: ShutterStock.com
Credit: ShutterStock.com

รู้จัก Ransomware กันก่อน

Ransomware นั้นเป็นที่รู้จักกันในอีกชื่อหนึ่งว่า Malware เรียกค่าไถ่ โดย Ransomware นี้จะพยายามใช้วิธีการที่หลากหลายในการพยายามเข้าไปฝังตัวอยู่ในเครื่องของผู้ใช้งาน แล้วทำการเข้ารหัสไฟล์ทั้งหมดจนผู้ใช้งานไม่สามารถเข้าถึงไฟล์ใดๆ บนเครื่องได้เลย

สิ่งเดียวที่ผู้ใช้งานทำได้หลังจากไฟล์บนเครื่องถูก Ransomware เข้ารหัสไปแล้วทั้งหมดก็คือ การพยายามหา Key มาเพื่อถอดรหัส ซึ่ง Ransomware บางตัวที่ถูกวิเคราะห์การทำงานและมี Key ให้ใช้ถอดรหัสได้ฟรีๆ ก็มีอยู่บ้าง แต่หากโชคร้ายไปเจอกับ Ransomware ตัวที่ยังไม่สามารถแกะ Key ออกมาได้เองล่ะก็ ผู้ใช้งานจะเหลือทางเลือกเดียวคือจ่ายเงินค่าไถ่ให้กับ Hacker เป็นเงินสกุล Bitcoin เพื่อแลกกับ Key ถอดรหัสนี้ ซึ่งอาจมีราคาที่หลักพันบาทไปจนถึงหลักหลายแสนหรือหลายล้านบาทได้

 

ใช้ Splunk ช่วยวิเคราะห์หา Ransomware ภายในองค์กร

Splunk นั้นมีทั้งคุณสมบัติของการทำหน้าที่เป็นระบบ Security Information and Event Management (SIEM) และ Data Analytics ภายในตัว ทำให้ Splunk สามารถรวบรวมข้อมูลที่จำเป็นในการค้นหา Ransomware และทำการวิเคราะห์ข้อมูลเหล่านั้นเพื่อทำการค้นหา Ransomware ภายในองค์กรได้ และทีมงาน Splunk ก็ได้ทดลองแนวคิดนี้ให้เราได้ใช้เป็นแนวทางการตรวจจับ Ransomware จากการทำ Data Analytics ให้เราได้เห็นกัน

ในเบื้องต้น ทีมงาน Splunk นั้นได้ทดลองใช้ระบบ System Monitor (Sysmon) บนระบบปฏิบัติการ Microsoft Windows ที่สามารถติดตามเหตุการณ์ต่างๆ ที่เกิดขึ้นบน Windows ได้ ไม่ว่าจะเป็นการสร้าง Process ใหม่, การเชื่อมต่อระบบเครือข่าย หรือแม้แต่การเปลี่ยนแปลงของเวลาที่สร้างแต่ละไฟล์ขึ้นมา และติดตั้ง Splunk Universal Forwarder เพื่อส่งข้อมูลเหล่านี้ออกมาให้ Splunk ทำการจัดเก็บและวิเคราะห์ได้

จากนั้นทีมงาน Splunk ก็ได้ลองทำการวิเคราะห์หาเหตุการณ์การสร้างไฟล์ใหม่ๆ จำนวนมากที่เกิดขึ้นในช่วงเวลาสั้นๆ และก็ค้นพบว่าสามารถตรวจจับการสร้างไฟล์จำนวนมากในเวลาสั้นๆ ด้วยการวิเคราะห์ข้อมูลจาก Sysmon ได้สำเร็จ แต่การตรวจจับลักษณะนี้ก็ยังไม่แม่นยำนักเพราะนอกไปจากการเข้ารหัสไฟล์ของ Ransomware แล้ว การ Copy ไฟล์จำนวนมากก็จะถูกตรวจจับไปด้วยเช่นกัน

splunk_ransomware_search_screenshot

ถัดจากนั้นทีมงาน Splunk จึงได้ทำการสร้าง Workflow สำหรับตรวจสอบแต่ละไฟล์ว่าเป็นไฟล์ที่องค์กรใช้งานหรือรู้จักอยู่แล้วหรือไม่ด้วยการตรวจสอบจากค่า Hash และในขณะเดียวกันก็ตรวจสอบว่าไฟล์ .exe นั้นๆ ปลอดภัยหรือไม่ด้วยการส่งค่า Hash ไปตรวจสอบกับ VirusTotal ด้วย ทำให้องค์กรนั้นสามารถตรวจสอบความปลอดภัยของไฟล์และ .exe ต่างๆ บน PC ของทั้งองค์กรได้อยู่ตลอดเวลา

splunk_virtustotal_workflow_in_action

แนวคิดนี้ถือว่าค่อนข้างน่าสนใจแต่ยังไม่สมบูรณ์ดีนัก ซึ่งทางทีมงาน Splunk นั้นก็ยกกรณีนี้ขึ้นมาเป็นตัวอย่างให้เราได้นำไปศึกษาและต่อยอดกันเท่านั้น โดยผู้ที่สนใจสามารถอ่านรายละเอียดฉบับเต็มต่อได้ที่  http://blogs.splunk.com/2016/10/05/detecting-ransomware-attacks-with-splunk/

 

ติดต่อ STelligence ได้ทันที

stelligence_logo

ร่วมพูดคุยแลกเปลี่ยนความคิดเห็นทางด้านระบบ Data Analytics หรือสามารถสอบถามข้อมูลเพิ่มเติม ทดสอบระบบ Solution Network Monitoring หรือระบบ Data Center Monitoring, ระบบ Network Operation Center (NOC), ระบบ Security Operation Center (SOC), ระบบ SIEM ได้ทาง

  • ติดต่อบริษัท STelligence ได้ที่ info@stelligence.com
  • ติดต่อคุณธเนศ ฝ่ายขาย โทร 089-444-2443 หรือโทร 02-938-7475
  • สามารถกด Like เพื่อรับข่าวสารข้อมูลอัพเดต และ Use case ที่น่าสนใจมากมาย : www.facebook.com/stelligence
  • พูดคุยกับทางทีมงานได้แบบ Real-time ผ่าน Line ID : @stelligence
    stelligence-line-id


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนการโจมตี GhostHook บายพาส Windows PatchGuard แม้ Windows 10 ก็ไม่รอด

นักวิจัยด้านความมั่นคงปลอดภัยจาก CyberArk ค้นพบเทคนิคการบายพาสระบบป้องกัน Windows PatchGuard โดยอาศัยฟีเจอร์ของ Intel CPU และลอบส่งโค้ดแปลกปลอมเข้ามารันใน Windows Kernel เพื่อฝัง Rootkis บนระบบปฏิบัติการได้ โดยเรียกการโจมตีนี้ว่า …

Cisco ออก Patch อุด 3 ช่องโหว่รุนแรงระดับสูง และอีก 22 ช่องโหว่อื่น ควรอัปเดตทันที

Cisco ได้ประกาศออก Patch เพื่ออุด 3 ช่องโหว่ที่มีความรุนแรงระดับสูงให้กับ Cisco Prime Infrastructure, Cisco WebEx Network Recording Player และ …