ในบทความนี้เราจะเล่า กระบวนการตรวจสอบและจัดการ หลังพบ Traffic ที่ถูก Deny จาก Firewall Fortigate ซึ่งนำไปสู่การพบแอปพลิเคชันต้องสงสัยบนเครื่อง Windows 10 และการลบแอปพลิเคชันนั้นออกจากระบบ
ขั้นตอนการทำงาน
1. ตรวจสอบ Traffic Log บนอุปกรณ์ Fortigate
จากหน้า Firewall Logs ของ Fortigate เราพบรายการที่มีการ Deny การเชื่อมต่อไปยัง IP 129.0.11.17 บนพอร์ต 54120 (TCP) หลายครั้ง จากเครื่อง IP ภายในเครือข่าย
ตัวอย่าง Log
- Source:
192.168.201.34- Destination:
129.0.11.17- Port:
54120- Result: Deny
2. ตรวจสอบ Process ที่ใช้ Port ดังกล่าวบน Windows 10
เพื่อหาว่าโปรแกรมใดพยายามเชื่อมต่อ เราใช้คำสั่ง netstat บน Command Prompt
netstat -ano | findstr 54120จากผลลัพธ์พบว่ามี Process ID (PID) เป็น 2740 ที่ทำการเชื่อมต่อแบบ SYN_SENT ไปยัง IP ดังกล่าว
ต่อมาใช้คำสั่งเพื่อดูรายละเอียดโปรเซส
tasklist /FI "PID eq 2740"พบว่าโปรแกรมที่ทำการเชื่อมต่อคือ abs_deployer.exe
3. ตรวจสอบ Application ผ่าน Task Manager
เมื่อเปิด Task Manager ไปที่แท็บ Processes พบว่า abs_deployer.exe อยู่ภายใต้บริการชื่อว่า Sangfor Deployer Service
4. การจัดการและลบแอปพลิเคชัน
ในตัวอย่างนี้สาเหตุเกิดจาก IP ของ sangfor endpoint ไม่ได้เป็นเลข 129.0.11.17 แล้ว เนื่องจากมีการปรับปรุงเครือข่ายภายใน ทำให้ IP ดังกล่าวถูกยกเลิก แต่ก็ยังมีเครื่อง client ที่ติดตั้ง agent ไว้ ก็ยังวิ่งหา server อยู่ แต่หากเราพบว่าแอปพลิเคชันนี้ไม่ได้อยู่ในรายการโปรแกรมที่อนุญาตใช้งาน และมีพฤติกรรมเชื่อมต่อภายนอกอย่างผิดปกติ ให้ดำเนินการ
- Disable Service: ปิดบริการ Sangfor Deployer Service ผ่าน Services.msc
- Uninstall Program: ลบโปรแกรมออกจากระบบผ่าน Settings → Apps → Uninstall
- ลบไฟล์ตกค้าง: ตรวจสอบโฟลเดอร์ที่เกี่ยวข้อง เช่น Program Files หรือ ProgramData เพื่อแน่ใจว่าไม่มีไฟล์เหลืออยู่
สรุป
กระบวนการนี้ช่วยให้สามารถ
- ตรวจจับการเชื่อมต่อผิดปกติจาก Firewall
- ระบุ Application ที่มีพฤติกรรมน่าสงสัย
- ดำเนินการจัดการความเสี่ยงโดยการลบโปรแกรมที่ไม่จำเป็นหรืออาจเป็นภัย
การตรวจสอบเป็นประจำช่วยลดความเสี่ยงของการโจมตีและเพิ่มความปลอดภัยให้กับระบบภายในองค์กรได้อย่างมาก
