Forget The Beer I Will Take Wine

Thursday, January 27, 2011 Posted by Corey Harrell 4 comments
Wine is a program that lets Windows software run on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r operating systems. This means Wine can be used to run Windows only forensic or malware analysis tools on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation and REMnux. It’s so easy to get Wine up and running I wasn’t even sure if a blog post was needed. However, it never hurts to be informed. Here's a quick post on installing Wine and running Windows tools on Sift and REMnux.

Install Wine

The Sift v2 workstation and REMnux v2 both were built using Ubuntu Linux. The Wine website shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different options for installing Wine on Ubuntu including using repositories, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se options require cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift and REMnux to have Internet access. I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line option since it only involved running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following commands:

          * sudo add-apt-repository ppa:ubuntu-wine/ppa
          * sudo apt-get update
          * sudo apt-get install wine1.3
               - Enter Yes to proceed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation

That’s right, just three commands to install Wine. The next few pictures show Wine being installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation.






Running Windows Programs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift and REMnux

Wine can be used to run standalone Windows programs or programs that require an installation process. I wanted Wine so I could run a few standalone Windows programs so this post won’t cover installing a program in Wine (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wine website has information on this topic). To run a standalone Windows program cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program needs to be launched with Wine. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs I’ve tested run without any issues but a couple programs required some tinkering. The pictures below show Windows programs running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift and REMnux.

First up is Nirsoft’s IEHistoryView running on Sift.


Next is McAfee’s BinText running on REMnux.


Here is PEID running on REMnux.


As I mentioned before, not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows programs will run without any issues. For example, Digital Detective’s Dcode program fails to run because of a missing dll. This is shown below with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missing dll highlighted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red box.


A quick search on a Windows system locates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 msvbvm60.dll in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows\System32 folder (this search was done on a Windows XP system). To fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missing dll error, just copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 msvbvm60.dll from a Windows system to Wine’s Windows\System32 folder as shown below.


Now here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture of Dcode running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift. Some messages appear while Dcode runs so testing has to be done to make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program still converts all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dates properly.



REMnux and Sift are great distributions since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y come preconfigured with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools I use. My main platform is Windows so REMnux and Sift save me a lot of time because I don’t have to setup my own Linux environments. At times I find myself switching between Windows and Linux to run certain tools. Wine gives me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option of bringing a few Windows tools over to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux so I won’t have to switch between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two operating systems as much.


Labels:

Forensicator Readiness

Sunday, January 23, 2011 Posted by Corey Harrell 0 comments
I attended a lot of trainings as a communications technician in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marines. There were formal trainings by outside parties, organized trainings by my unit, and formal education on my own to hone my troubleshooting skills. The goal of all of those trainings was to prepare me to perform my job regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation I might face. Even though I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marines, I carried over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same mentality to my career in information security especially for digital forensics. Using a mixture of formal education, paid training, and a lot of self training to ensure I'm capable of performing my job regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation I might encounter. However, outside of forensic challenges or forensic datasets I never had an organized way to approach self training until I wanted to learn about incident response investigations. This post will explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach I've been using but haven't documented until now.

Forensicator readiness is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method I've been using to help prepare myself to be able to investigate any situation regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances. If someone said "I need you to help figure out what caused this incident” I wanted to be able to hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground running. This is better than having to reply with "I'd like to help out but first I have to attend a training which by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way costs a few thousand dollars". I'm sharing my approach because I think it might be useful to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Experienced analysts/examiners can use it to learn how to investigate new types of cases or students can use it to help prepare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might face. Forensicator readiness consists of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following six steps:

          * Pick a Scenario
          * Establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Scenario’s Scope
          * Collect Digital Information
          * Examine Digital Information
          * Scenario Simulation
          * Identify Areas for Improvement

Ever since I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alexiou Principle (as described by Chris Pogue here and here) I've been using it in my cases. The principle has been helpful in planning out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation and keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation on track. I thought if it works for actual cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it should work for simulations. Well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principle does work in simulations so I use it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensicator readiness steps.

Pick a Scenario

There is always something to learn in digital forensics whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it’s a student studying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field in school or a forensicator who has been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field for a number of years. It could be trying to understand how to investigate different types of cases, how to examine new data, or how to extract data from certain devices. The first step is to pick a scenario containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 item or situation of what is to be learned. The scenario could be based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common types of cases processed in your organization or on a potential situation someone might need to investigate. A few scenario examples are: data leakage through USB device, sexual harassment involving company email, or a malware infected server.

Next a determination needs to be made to see if it’s possible to set up test systems to simulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario. Research is completed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, examination, and simulation steps and systems will be needed to run a few tests on. For example, I’d like to learn how to investigate a hacked database server. Unfortunately, I can’t use this scenario since I can’t simulate a SQL injection attack against a test database server. As a result, my focus is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenarios I can simulate in a test environment such as a malware infected system.

Having a scenario by itself isn’t enough because an end goal hasn’t been established; what is trying to be accomplished. This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first question of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alexiou principle comes into play which is “what question are you trying to answer”. Identify a few potential questions to help guide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two potential questions of a suspected malware infected system I've been using are: is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system infected and how did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system become infected. The two questions identify what I’m trying to accomplish and helped guide my research in investigating a malware infected system.

Establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Scenario’s Scope

The selected scenario has an end goal and can be replicated in a test environment. The next step is to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment going to be one computer or multiple computers? What operating systems are going to be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re going to be any networking devices such as routers, switches, or firewalls? Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r consideration when determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment is what resources are available. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary hardware and software to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment? I'd like to be able to simulate a test environment of over 20 machines for my malware scenario but I can’t pull it off due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of resources. I had to settle on just a few test systems and I’m still able to simulate my scenario. The above questions are only some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that have to be considered when scoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment.

Setting up of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few steps may take some time. Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time required, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of setting up your own environment is learning about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology as you install and configure it. For example, if your scenario requires a web server running IIS (Windows Internet Information Service) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n setting up IIS will provide a better understanding of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default settings are and how it can be configured.

Collect Digital Information

At this point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario has been identified, goals have been established, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment has been identified. The next step is to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital information. The second question in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alexiou principle states “what data do you need to answer that question”. The data sources in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment need to be evaluated to determine which ones can help you answer your question(s). The data sources could include hard drives, memory, logs, or captured network traffic.

Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sources of interest are identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it’s time to research how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sources should be collected and what tools can be used. The amount of research required for this step will depend on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person conducting this exercise. In some instances, a person will already have a procedure in place for collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sources and will have knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to use so additional research may not be necessary. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person may be facing a new data source(s) so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re won’t be a procedure for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person won’t have knowledge about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to use. For example, in one of my scenarios I wanted to collect a hard drive and volatile data. I had experience with hard drives but collecting volatile data was new. I conducted research with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intention of modifying my collection procedures to include volatile data. The research involved reviewing RFC 3227, forensic books, blogs, and forums to determine what procedural steps were required to collect volatile data and what tools could be used to acquire volatile data from a system.

The new procedural steps and tools will need to be evaluated to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work as intended. This evaluation will require a small test environment. Continuing with my volatile data example, I tested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 procedural steps I researched and my list of tools to see which one best met my needs. I ran a few tests against Windows XP virtual machines by acquiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volatile data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This not only allowed me to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps were correct and what tool worked best but it also showed me what changes I had to make to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection steps.

Examine Digital Information

At this point it's time to identify and extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data required to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario questions. Continuing on with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alexiou principle's second question “what data do you need to answer that question”; this question can furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data needed to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions. The data sources have already been identified so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next part is to identify what information in those data sources can answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions. For example, in my scenario one of my data sources was volatile data so I had to figure out what information I needed from it. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 running processes, established network connections, and loaded drivers. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sources is identified, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third Alexiou principle comes into play which is "how do you extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data". Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volatile data example, this would be determining how to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 established network connections, loaded drivers, and running processes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.

As might be expected, research has to be conducted to decide what information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sources is needed to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions and how that information can be extracted. The same types of references used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection step can be used such as blogs, forums, and forensic books.

Similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection step, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new examination steps and tools need to be evaluated to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work as intended. The evaluation can use available forensic datasets or a small test environment. Forensic datasets can be used for testing different types of data sources and this is a faster option cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n setting up a test environment. The datasets available for testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination steps and tools for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volatile data example include: NIST CFReDS Project, Forensic Educational Datasets, Honeynet Challenges, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory images on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Incident Response blog. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't an available dataset cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a small test environment has to be set up. The fourth question of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alexiou principle is "what does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data tell you". This question should be kept in mind during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evaluation because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination steps and tools are to extract information needed to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario questions. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information doesn't help answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n additional research may have to be performed so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination steps and tools can be adjusted.

Scenario Simulation

This step is where all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard work of researching and evaluating pays off. The scenario simulation is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment is created and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario is simulated in that environment. The first scenario I've been working with is a computer infected with malware, and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ways I simulated this scenario was by visiting known malicious websites with a computer running vulnerable software. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario is simulated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step is to treat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment like a real investigation. The data sources of interest get collected, and information is extracted from those sources to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario's questions.

Identify Areas for Improvement

Now that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dust has settled from investigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario in a test environment; it's time to reflect back on what was done. The purpose of this step is to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is anything to improve upon. A few things for consideration are: did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools perform as expected, were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 procedures correct, what didn't work, and what can be done better. Something else to keep in mind during this reflection is to decide if any additional research has to be performed on any artifacts in order to get a better understanding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. During my simulation, I didn't have a good understanding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vector artifacts such as those left by exploits. I spent some time researching a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts so I'd have a better understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time I come across a similar artifact.

Summary

There isn’t a set time table to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensicator readiness steps. It could take days, weeks, or months to complete. The time all depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario and how much of an understanding someone wants. People prepare for things differently and forensicator readiness is no different. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps can accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end goal of preparing someone to investigate an incident regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances - like it did for me- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process has served its purpose.

So when someone said to me "I need your help to figure out what caused this infection"; I was ready to rock and roll. I’ve been successful numerous times locating malware on systems and identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vector that put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems. A few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vectors were: a malicious email attachment, a drive-by download using a malicious PDF, and third party content pointing to a website hosting Windows help center and Java exploits. I don't think my success is a string of luck. It's due to my preparation for a situation I thought I would face sooner or later. It just so happened to be sooner than I was expecting.
Labels:

Autoplay and Autorun Exploit Artifacts

Monday, January 10, 2011 Posted by Corey Harrell 0 comments
Artifact Name

Autoplay & Autorun Exploit Artifacts

Attack Vector Category

Exploit

Description

Microsoft stated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main purpose of Autorun is "to provide a software response to hardware actions that you start on a computer". The software response is to start media or applications on a computer when a drive is mounted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system. Prior to Windows XP, Windows only had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autorun feature which would start items based on commands in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive.

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of Windows XP, a new feature called autoplay was included and this feature is enabled by default starting with XP SP2. Autoplay will review a mounted drive for content such as multimedia and will prompt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to display cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate application. Autoplay will start to examine a drive as soon as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive is mounted and will parse an autorun.inf file if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 is present.

The Autorun and Autoplay features have been leverage to automatically start malicious software. One example of this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 w32/Autorun.worm.g (McAfee’s detection). According to McAfee’s write-up, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worm spreads using an autorun.inf to automatically start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worm when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media (removable media or network shares) is connected to a computer.

Attack Description

1. Create an autorun.inf file with a command to launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intended application.

2. Place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of a drive that will be mounted such as removable media or a network share.

3. Place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application in a location where it can be executed.

4. Have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive mounted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target computer in order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file to be parsed.

Exploits Tested

Two custom autorun.inf files, one file used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellexecute command. A renamed Windows command prompt was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload of both files.

The open command specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application to be started when a drive is mounted. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire autorun.inf file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command.

The shellexecute command uses file association to determine what application is used to launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire autorun.inf file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellexecute command.

Target System Information

* Two Windows XP SP3 virtual machines using an administrative user account (one VM was used for each autorun.inf)

* Two Windows XP SP3 virtual machines using an administrative user account (one VM was used for each autorun.inf)

* Two Windows XP SP2 virtual machines using an administrative user account (one VM was used for each autorun.inf)

* Two Windows XP SP2 virtual machines using an administrative user account (one VM was used for each autorun.inf)

Different Artifacts based on Administrator Rights

No

Different Artifacts based on Tested Software Versions

No difference between XP SP2 and XP SP3

Potential Artifacts

The potential artifacts include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system environment. The artifacts can be grouped in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following two categories:

        * Windows Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autorun.inf File
        * Registry Modification When Autoplay Window Closes

Note: The testing to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit artifacts involved using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autoplay window in XP SP3 while in XP SP2 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removable media icon in My Computer was double clicked to launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload. There were minimal exploit artifacts as compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery mechanism (removable media) and payload (Windows command prompt). The identified artifact  filenames and values are inside of brackets in order to distinguish what may be unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment.

        * Windows Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autorun.inf File

Windows makes modifications under \Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{GUID}\ registry key of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account that mounted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive. The modifications are made based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file. The picture below highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry modifications.


           - Autorun.inf action command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\Shell\AutoRun\command\(Default). [data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command was E:\dmc-test.exe while data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellexecute command was C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL dmc-test.exe]

           - Autorun.inf icon command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\_Autorun\DefaultIcon\(Default). [data was E:\dmc-test.exe,0]

           - Autorun.inf shell open command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\Shell\open\command\(Default). [data was E:\dmc-test.exe]

           - Autorun.inf shell explore command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\Shell\explore\command\(Default). [data was E:\dmc-test.exe]

           - Data in MountPoints2\{GUID}\Shell\Autoplay\DropTarget\CLSID was modified. [data was {f26a669a-bcbb-4e37-abf9-7325da15f931}]

        * Registry Modification When Autoplay Window Closes

           - The registry key MountPoints2\{GUID} was modified when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autoplay window closes (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window closes when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload is executed).

Timeline View of Potential Artifacts

The image below show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts in a timeline of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry (system, software, and ntuser.dat hives) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP SP3 with an administrator user account (autorun.inf file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command). A few entries from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system timeline were added.

References

   Autoplay Information

Microsoft support article on how to disable autorun http://support.microsoft.com/kb/967715

   Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information

Autorun.inf Wikipedia http://en.wikipedia.org/wiki/Autorun.inf

Autoplay Wikipedia http://en.wikipedia.org/wiki/AutoRun

McAfee W32/Autorun.worm.g AV write-up http://vil.nai.com/vil/content/v_142616.htm

CVE-2010-2883 (PDF Cooltype) Exploit Artifacts

Sunday, January 2, 2011 Posted by Corey Harrell 0 comments
Artifact Name

Exploit Artifacts for CVE-2010-2883 (PDF Cooltype) Vulnerability

Attack Vector Category

Exploit

Description

Vulnerability present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cooltype.dll affects Adobe Reader and Acrobat versions 9.x before 9.4 and 8.x before 8.2.5 on Windows and Mac OS X systems. Exploitation allows remote attackers to execute arbitrary code or cause a denial of service.

Attack Description

This description was obtained using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mitre and ISS X-Force Database references.

1. Create a PDF document with a “long field in a Smart Independent Glyphlets (SING) table in a TTF font".

2. Open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target system.

Exploits Tested

Metasploit v3.5 windows\fileformat\adobe_cooltype_sing

Target System Information

* Windows XP SP3 Virtual Machine with Adobe Reader v9.3 using administrative user account (No PDF files were opened on system prior to test)

* Windows XP SP3 Virtual Machine with Adobe Reader v9.3 using non-administrative user account (No PDF files were opened on system prior to test)

* Windows XP SP3 Virtual Machine with Adobe Reader v9.3 using administrative user account (Non-malicious PDF file was opened on system prior to test)

Different Artifacts based on Administrator Rights

Yes, MFT entry for "Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe" was modified when user account had administrative privileges.

Different Artifacts based on Tested Software Versions

Not tested

Potential Artifacts

The potential artifacts include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE 2010-2883 exploit and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit causes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system environment. The artifacts can be grouped under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following three areas:

    * PDF Document Creation

    * References of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF Document Being Accessed

    * Indications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerable Application Executing

note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documenting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts attempted to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability being exploited as opposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific artifacts unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit. As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual artifact storage locations and filenames are inside of brackets in order to distinguish what may be unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment.

    * PDF Document Creation

note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document will vary depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery mechanism involved

         - PDF document being created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of interest. [C:\msf-cooltype.pdf which VirusTotal confirmed as being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit]

    * References of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF Document Being Accessed

note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts may vary depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method used to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document. For example, Windows Explorer will leave different artifacts as compared to a web browser involved in a drive-by download. The testing involved opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document using Windows Explorer.

         - Web browser history with entries containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document. Entries may involve HTTP or file. [Internet Explorer entry file:///C:\msf-cooltype.pdf]

         - Link files of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document being opened. [C:\Documents and Settings\Administrator\Recent\msf-cooltype.pdf.lnk]

        -User registry keys with values containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document. [HKCU-\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.pdf. This key had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRU]

    * Indications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerable Application Executing

         - Prefetch files of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable application executing. [C:\WINDOWS\Prefetch\ACRORD32.EXE-3A1F13AE.pf and C:\WINDOWS\Prefetch\ACRORD32INFO.EXE-242CE4AA.pf]

         - Registry modifications involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable application. [modifications made to subkeys under HKCU-\Software\Adobe\Acrobat Reader\9.0\]

         - Folder activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable application. [C:\Program Files\Adobe\Reader 9.0, C:\Documents and Settings\Administrator\Application Data\Adobe\Acrobat\9.0, or C:\Documents and Settings\Administrator\Local Settings\Application Data\Adobe\Acrobat\9.0]

         - Temp files being created. [C:\Documents and Settings\Administrator\Local Settings\Temp\A9R9E95.tmp. The file signature indicated it was a PDF.]

Timeline View of Potential Artifacts

The images below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts in a timeline of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP SP3 system that had a non-malicious PDF file opened on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system prior to test. The timeline includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant registry and Internet explorer history entires.











References

Vulnerability Information

     Mitre’s CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=2010-2883

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Information

     Metasploit Blog Post http://blog.metasploit.com/2010/09/return-of-unpublished-adobe.html

     Mila's Contagio Malware Dump David Leadbetter Post

     ISS X-Force Database http://xforce.iss.net/xforce/xfdb/61635