Malware Root Cause Analysis

Sunday, July 29, 2012 Posted by Corey Harrell
The purpose to performing root cause analysis is to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cause of a problem. Knowing a problem’s origin makes it easier to take steps to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r resolve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem or lessen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem happens again. Root cause analysis can be conducted on a number of issues; one happens to be malware infections. Finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cause of an infection will reveal what security controls broke down that let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware infect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. In this post I’m expanding on my Compromise Root Cause Analysis Model by showing how a malware infection can be modeled using it.

Compromise Root Cause Analysis Revisited


The Compromise Root Cause Analysis Model is a way to organize information and artifacts to make it easier to answer questions about a compromise. The attack artifacts left on a network and/or computer fall into one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se categories: source, delivery mechanism, exploit, payload, and indicators. The relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 categories is shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below.


I’m only providing a brief summary about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model but for more detailed information see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Compromise Root Cause Analysis Model. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model’s core is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack; this is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack came from. The delivery mechanisms are for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit and payload being sent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target. Lastly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicators category is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post compromise activity artifacts. The only thing that needs to be done to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model during an examination is to organize any relevant artifacts into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se categories. I typically categorized every artifact I discover as an indicator until additional information makes me move cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to a different category.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Day Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Java Exploit


I completed this examination earlier in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year but I thought it made a great case to demonstrate how to determine a malware infection’s origin by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Root Cause Analysis Model. The examination was kicked off when someone saw visual indicators on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir screen that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computer was infected. My antivirus scan against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 powered down computer confirmed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was an infection as shown below.


The antivirus scan flagged four files as being malicious. Two binaries (fuo.exe and 329991.exe) were identified as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat: Win32:MalOb-GR[Cryp]. One cached webpage (srun[1].htm) was flagged as JS:Agent-PK[Trj] while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ad_track[1].htm file was identified as HTML:RedirME-inf[Trj]. A VirusTotal search on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fuo.exe file’s MD5 hash provided more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.

I mentally categorized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four files as indicators of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection until it’s proven ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise. The next examination step that identified additional artifacts was timeline analysis because it revealed what activity was occurring on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time when malware appeared. A search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files fuo.exe and 329991.exe brought me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline shown below.


The timeline showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fuo.exe file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 329991.exe file. There were also indications that Java executed; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hsperfdata_username file was modified which is one artifact I highlighted in my Java exploit artifact research. I was looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fuo.exe file appeared which is shown below.


The timeline confirmed Java did in fact execute as can be seen by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modification made to its prefetch file. The file 329991.exe was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system at 1/15/2012 16:06:22 which was one second after a jar file appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anon user profile’s temporary folder. This activity resembles exactly how an infection looks when a Java exploit is used to download malware onto a system. However, additional legwork was needed to confirm my cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory. Taking one look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jar_cache8544679787799132517.tmp file in JD-GUI was all that I needed. The picture below highlights three separate areas in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jar file.


The first area labeled as 1 shows a string being built where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temp folder (str1) is added to 329991.exe. The second area labeled as 2 first shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InputStream function sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL to read from while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FileOutputStream function writes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to a file which happens to be str3. Remember that str3 contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string 329991.exe located inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temp folder. The last highlighted area is labeled as 3 which is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Runtime function starts to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly created 329991.exe file. The analysis on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jar file confirmed it was responsible for downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first piece of malware onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. VirusTotal showed that only 8 out of 43 scanners identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file as a CVE-2010-0840 Java exploit. (for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r write-up about how to examine a Java exploit refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Initial Infection Vector). At this point I mentally categorized all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts associated with Java executing and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java exploit under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit category. The new information made me move 329991.exe from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicator to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload category since it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack.

I continued working cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline by looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java exploit (jar_cache8544679787799132517.tmp) appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I noticed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a PrivacIE entry for a URL ending in ad_track.php. PrivacIE entries are for 3rd party content on websites and this particular URL was interesting because Avast flagged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cached webpage ad_track[1].htm. I started tracking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URLs in an attempt to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 website that served up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3rd party content. I didn’t need to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 website per say since I already reached my examination goal but it was something I personally wanted to know. I gave up looking after spending about 10 minutes working my way through a ton of Internet Explorer entries and temporary Internet files for advertisements.


I answered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “how” question but I wanted to make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack only downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two pieces of malware I already identified. I went back in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fuo.exe file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I started looking to see if any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files were created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only activity I really saw involved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 antivirus software installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.


Modeling Artifacts


The examination identified numerous artifacts and information about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was compromised. The diagram below shows how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts are organized under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Compromise Root Cause Analysis Model.


As can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture above cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination did not confirm all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. However, categorizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts helped make it possible to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question how did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system become infected. It was a patching issue that resulted in an extremely vulnerable Java version running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end not only did anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r person get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computer cleaned but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y also learned about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of installing updates on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computer.


Usual Disclaimer: I received permission from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person I assisted to discuss this case publicly.
  1. Corey,

    Great stuff! This really goes a long way toward helping to codify and document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root cause of an incident. Thanks so much for sharing this insightful, well written, and well thought out post.

  2. Corey,

    I'd be interested in knowing if anything appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shimcache data...

  3. Harlan,

    I wanted to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing when I went back over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case for this post. I did my analysis in January 2012 and I first learned about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shim cache in April 2012 when Mandiant’s post came out about it. The shim cache would have been useful since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files didn’t show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware executing or provide additional timestamps. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only thing I held onto from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit, my timeline, and my notes.

  4. Anonymous

    Hi Corey,

    Very interesting stuff. How would you compare this to VERIS or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work on malware root cause analysis that I did in http://download.microsoft.com/download/0/3/3/0331766E-3FC4-44E5-B1CA-2BDEB58211B8/Microsoft_Security_Intelligence_Report_volume_11_Zeroing_in_on_Malware_Propagation_Methods_English.pdf ?

  5. @anon,

    Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment; it took a bit to respond since I was reading a few things about what you mentioned.

    First, I really enjoy reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft security reports because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide a wealth of information. I missed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report you mentioned but read it once I saw your link. It was good by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way. We are both talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issue but doing it from different perspectives. I think this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main difference between your report and what I'm talking about. The report like most Microsoft or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security reports are coming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware analysis perspective. Looking at understnading malware once it is already on a computer. Don't get me wrong, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware analysis perspective is needed and I enjoy reading about it. However, my perspective is coming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware forensics side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house. Looking at a system to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and determine how it got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Your report even mentions on page 12 "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual method of infection is very difficult to determine without performing forensic work on each computer". The comment was made in reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSRT detections but that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Compromise Root Cause Analysis Model. To help those performing forensic work to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual method of infection.

    I never tried to compare my model against ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs such as VERIS. Thinking about it I don't think its comparable to any model. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r models may be helpful by providing a language to describe security incidents. To me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't much help in telling me about if malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system came from a drive-by targetting Java, a malicious email attachment, or a network share. This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Root Cause Analysis Model comes into play; it helps to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "how" of a security incident occured.

  6. Hi Corey,

    Great post. It seems like a server of mine got infected, as md5sum of /bin/ps file dont match up with original one and that file has been marked as malicious by avast av in my window pc. are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any tools i can use to analyse in my linux server to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entry point of that malware?
    pointing me articles regarding my question will also be very helpful. thanks

Post a Comment