สร้าง Yara Signature โดยใช้ yarGen

ก่อนหน้านี้เราเคยพูดถึงการเขียน Yara Rule เพื่อรองรับการเขียน rule ใน IDS/IPS หรือ APT หรือ Antivirus สมัยใหม่ไปแล้ว ซึ่งหลักการสำคัญของ Yara คือเราต้องเข้าใจถึงลักษณะ pattern ของไฟล์ที่เราต้องการตรวจจับแบบ Unique (แบบไม่เหมือนใคร) ไม่งั้นจะกลายเป็นเกิด false positive จำนวนมากแทนได้ นั่นคือที่มาของการใช้งาน YarGen YarGen เป็นเครื่องมือสำหรับการสร้าง Signature และ Yara…
View Post

วิธีการใช้ Yara Rule

หากใครเคยคุ้นชินเรื่อง IDS/IPS (Intrusion Detection System/Intrusion Prevention System) ซึ่งเป็นระบบในการตรวจจับการโจมตี รวมถึงการใช้งานที่ผิดปกติต่างๆ สิ่งที่เครื่องมือเหล่านี้ใช้เพื่อตรวจจับเป็นด่านแรกคือ Signature นั่นเอง โดย IDS/IPS ที่เป็น Open Source ที่ได้รับความนิยมคือ Snort ซึ่งเราสามารถเขียน Signature ขึ้นมาเพื่อป้องกันหรือดักจับพฤติกรรมใดๆได้เอง แต่ Signature ดังกล่าวเป็นอะไรที่ซับซ้อนและเน้นเรื่อง traffic Rule เป็นหลัก จึงได้มีการคิด Rule ที่ซับซ้อนน้อยลงและใช้สำหรับการค้นหาไฟล์ที่มีลักษณะเป็น…
View Post