Case Study: Malware C2 Traffic – พฤติกรรม Command & Control
TH: บริบทเหตุการณ์ (Context)
(สรุปสถานการณ์ เช่น อาการที่พบ, ผู้แจ้งเหตุ, พื้นที่เครือข่ายที่เกี่ยวข้อง
อธิบายให้ผู้อ่านเห็น “จุดเริ่มต้นของเหตุการณ์”)
EN: Incident Context
(Explain symptoms, environment, what triggered the investigation.)
Evidence (หลักฐานที่ผู้สืบสวนได้รับ)
- PCAP / Logs
- ผู้ใช้แจ้งว่า…
- Firewall หรือ NAT มีข้อความ…
- Packet Pattern น่าสงสัย…
(ใส่ตารางหรือ bullets เพิ่มได้)
Investigation Steps (ขั้นตอนสืบสวน)
1. Formulate Initial Hypothesis
(TH + EN)
2. Inspect Key Packets
- Wireshark Filter
- Expected behavior vs abnormal behavior
3. Correlate Across Layers
(เชื่อม OSI/TCP-IP/Protocols)
4. Validate Hypothesis
(ยืนยันจากหลักฐาน)
Findings (สิ่งที่ค้นพบ)
- รายละเอียดสาเหตุ
- โปรโตคอลที่เกี่ยวข้อง
- ลักษณะผิดปกติใน Packet/Logs
Root Cause (สาเหตุหลัก)
(เขียนทั้ง TH + EN)
Mitigation & Prevention (แนวทางแก้ไข/ป้องกัน)
- Immediate fix
- Long-term prevention
- Hardening ที่ควรทำ
Instructor Notes
- จุดที่ผู้เรียนมักเข้าใจผิด
- ควรเน้นจุดไหนเป็นพิเศษ
- PCAP ที่ควรเตรียม