FireEye ออก white paper สำหรับการวิเคราะห์ Malware ที่ใช้ Powershell

FireEye ได้ออก paper น่าสนใจในเรื่องการตรวจจับ Powershell ที่ทำมาเพื่อประสงค์ร้ายและพยายามการหลบเลี่ยงการตรวจจับด้วยวิธีการ obfuscate ต่างๆ ผมสรุปคร่าวๆไว้ให้ดังนี้ครับ การตรวจจับ 1.  Process Auditing and Command Line Logging เราสามารถตรวจจับและดู command line argument ได้โดยดูจาก EventID 4688 ซึ่ง Windows ที่ support การเก็บ log…
View Post

ความแตกต่างระหว่าง Encoding vs Encryption vs Hashing vs Obfuscation

มีหลายคนเข้าใจผิดกันมากเกี่ยวกับ Encoding, Encryption, Hashing และ Obfuscation จำสับสนกันไปหมด วันนี้เรามาดูกันว่าจริงๆแล้วแต่ละอันมันคืออะไรกันแน่ครับ 1. Encoding Encoding คือการแสดงหรือเปลี่ยนข้อมูลให้ออกมาเป็น format ที่ระบบนั้นๆสามารถเข้าใจได้ ซึ่งจุดประสงค์หลักของมันไม่ใช่เพื่อการเก็บข้อมูลให้ปลอดภัย เป็นเพียงการทำให้แน่ใจว่าระบบนั้นๆสามารถอ่านรู้เรื่องแค่นั้น การ encoding สามารถแปลงไปได้หลาย format ไม่ว่าจะเป็น ASCII, Unicode, URL Encoding, Base64 และอื่นๆ 2. Encryption Encryption หรือการเข้ารหัส…
View Post