Wednesday, March 4, 2015

USN Journal: Where have you been all my life


One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of IR engagements is to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector and/or patient zero. In order to determine this, timeline analysis becomes critical, as does determining when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365  malware was created and/or executed on a system.

This file create time may become extremely critical if you're dealing with multiple or even hundreds of systems and trying to determine when and where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware first made its way into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment.

But what happens when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware has already been remediated  by a Systems Administrator, deleted by an attacker, or new AV signatures are being pushed out, resulting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware being removed?

Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 residual artifacts demonstrate execution,  however, it seems very few actually document when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal recently helped me on a case. The USN Journal is by no means new.. but I just wanted to talk about a case study and share my experience with it, as I feel it's an often overlooked artifact.

For purposes of demonstrative data, I downloaded and infected a Windows 7 VM with malware.  This malware was from a phishing email that contained a zip file, voice#5734223.zip. This zip file contained a payload, voice.exe. For more details on this malware sample, check out http://malware-traffic-analysis.net/2015/01/27/index.html
 
So lets run through some typical artifacts that demonstrate execution along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available timestamps and see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do and don't tell us...

MFT
The MFT contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem information - Modified, Accessed and Created dates, file size etc. However, a deleted file's MFT record may be overwritten. If you're lucky, your deleted malware file will still have an entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT - however, in my case this was not to be.

The ShimCache
I won't go into to much detail here as Mandiant has a great white paper on this artifact. Basically, on most systems this artifact contains information on files that have been executed including path, file size and last modified date. I parsed this registry key with RegRipper, and located an entry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test malware, voice.exe:

C:\Users\user1\Downloads\voice#5734223\voice.exe
ModTime: Wed Jan 28 15:28:46 2015 Z
Executed

So what does this tell me? That voice.exe was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Downloads path, was executed, and has a last modified date of 01/28/2015 - no create date .
 
UserAssist
The User Assist is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r awesome key... it displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last time a file was executed, along with a run count. Once again, using RegRipper to parse this I located an entry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test malware:

{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}
Mon Feb 23 02:33:34 2015 Z C:\Users\user1\Downloads\voice#5734223\voice.exe (2)*

By looking at this artifact, I can see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was executed twice - once on February 23rd, however, I don't know when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time was. It could have been minutes, hours or days earlier. It still does very little to let me know when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, although I do know it should be sometime before this time stamp.

Prefetch File
This is a great artifact that can show execution and even multiple times of execution. But what if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is a Server, where prefetching may not be enabled?  In my case, prefetching was enabled, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no prefetch file for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in question - at least that is what I thought until I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal. And, once again, it does not contain information related to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Ok, so I've reviewed a couple of typical artifacts that demonstrated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware executed (for more artifacts related to execution, check out this blog post by Mandiant "Did it Execute") With timeline analysis, I may even get an idea of when this file was most likely introduced on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system - however, a definitive create date would be nice to have. This brings me too.....cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal.

USN Journal
There are a couple of tools I use to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal. A quick, easy to use script is usnj.pl available from Harlan Carvey's GitHub page.

Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal and looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in question, I see some interesting entries for voice.exe, highlighted in red below:



Sweeet! I now have a File_Create timestamp for voice.exe I can use in my timeline. I can also see that voice.exe was deleted relatively quickly ~ 30 seconds after it was created. This deletion occured about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file for it was created. This might be an indication that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware deleted itself upon execution.

It's also interesting to note that around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file was created for voice.exe, a file called testmem.exe was created and executed (highlighted in yellow)..hmmmm.

Time to dig deeper. For a little more detail on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TriForce tool. This tool processes three files: $MFT, $J and $Logfile. It cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cross references cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se three files to build out some additional relationships. In my experience, this tool takes a bit longer to run. As you can see by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output below, I now have full file paths that may help add a little more context:


That testmem.exe just became all that more suspicious due to it's location - a temp folder.

By reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal file, I was able to establish a create date of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. This create date located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal gave me an additional pivot point to work with. This pivot point lead to some additional findings -  a suspicious file, testmem.exe. (For some more on timeline pivoting, check out Harlan's post here). Not only did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 create date help locate additional artifacts, but it can also help me home in on which systems may be patient zero. Malware may arrive on a system long before its executed.
 
Just because it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re - doesn't mean it didn't exist. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case I was working, I did not have any existing prefetch files for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. However, when I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal, I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware get created and deleted within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 span of 40 minutes. I also saw some additional temporary files get created and deleted, some of which were not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT.

Alass, as sad as it is, my relationship with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal does have some shortcomings (and it's not my fault). Since it is a log file, it does "roll over" The USJ Journal can be limited in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of data that it holds - sometimes it seems all I see in it are Windows Update files. If a system is heavily used, and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was deleted months ago, it may no longer be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal. However, all is not lost though, Rumor has it that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be some USN Journal files located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volume Shadow Copies so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may still be hope. Also, David Cowen points out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log file is not circular (as I once thought), and just frees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old pages to disk:

"After talking to Troy Larson though I now understand that this behavior is due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 journal is not circular but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pages are allocated and deallocated as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 journal grows"

This means that you can carve USN Journals records! Check out his blog post here for more information.

Happy Hunting!

Additional reading on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal

http://journeyintoir.blogspot.com/2013/01/re-introducing-usnjrnl.html

http://forensicsfromcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sausagefactory.blogspot.com/2010/08/usn-change-journal.html

https://msdn.microsoft.com/en-us/library/windows/desktop/aa363798%28v=vs.85%29.aspx

*The run count number was modified from 1 to 2 on this output to illustrate a point.











5 comments:

  1. Mari,

    Yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r excellent post! I've found a great deal of value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Change Journal, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r during exams where IR has been relatively soon after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, or if I'm testing various malware. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason I wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change journal parser...so that I could add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 info to a timeline. This has been really helpful...thanks for highlighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of this data source again!

    ReplyDelete
    Replies
    1. Thanks for providing such a helpful script to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. :)

      Delete
  2. I've got a USN parser here that you can supply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT to and it will print cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full path, if you don't want to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full TriForce tool on it:

    https://github.com/superponible/DFIR

    ReplyDelete
  3. TZ Works also puts out a great USN Journal parser, jp64.exe, which provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full path and great reference points as far as where something existed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT. Thanks for this info!!

    ReplyDelete