Finding An Infection Vector After IT Cleaned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System
Wednesday, November 7, 2012
Almost every “CSI” episode begins cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way. An attack took someone’s life, first responders secured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime scene, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main characters show up to start processing a well preserved scene. The technological equivalent of this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following: an attack compromises a system, first responders image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system’s memory before immediately powering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system down, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a forensicator shows up to process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scene. This is an ideal situation but life is not always ideal. Actions taken by users and first responders do not always leave a well preserved scene. Anti-virus scans are ran, files are deleted, temporary folders are emptied, programs are installed/removed, system restore points/volume shadow copies are deleted, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is left running resulting in data being altered. Only after all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se actions is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensicator consulted and asked to figure out how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise occurred. Needless to say conducting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis is more difficult and time consuming but it is not impossible. There still may be artifacts left on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system providing clues to what happened.
In order to demonstrate this, I setup a simulation where I purposely infected a Windows XP system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I mimicked actions someone would take to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection. Afterwards I examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to see what artifacts I could find. I wanted to simulate a real life scenario so I performed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following common troubleshooting techniques administrators do when trying to “clean” a system and get it back into working order as quickly as possible.
• McAfee antivirus scans were conducted and any detections were cleaned
• All temporary folders’ contents were deleted
• All prefetch files were deleted
• All recycle bins were emptied
• All system restore points were deleted
• Avast! was installed and a scan was conducted
The actions may be common troubleshooting techniques but I picked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for a different reason. All of those actions potentially destroy vital information that could help determine how an infection occurred. Antivirus software deleting malware not only removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system but it also destroys cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir filesystem metadata. This metadata can narrow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred. Deleting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows\Prefetch folder makes it harder to determine what programs executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Deleting files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows temporary, user profiles’ temporary, and Internet browser folders removes any secondary artifacts –such as exploit artifacts – that can provide additional information about an event. Emptying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recycle bin ensures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files are actually deleted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Windows System Restore Points are an interesting artifact because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y contain backup copies of registry hives and Windows system files. Deleting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Restore Points destroys cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 historical information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y contain. Lastly, installing and running additional anti-virus software makes more changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and potentially alters or deletes information beneficial to an analysis.
The common troubleshooting techniques destroyed some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I look for when faced with a malware infected system. Despite those actions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is still data left on a system providing clues about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred. Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions taken, four potential areas containing information are:
1. Host Based Logs
2. NTFS Artifact
3. Registry Artifacts
4. System Timeline
Antivirus software typically records installation and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system activities in text logs. The location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se text log files is specific to each antivirus product. One method used to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed antivirus products is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Uninstall Registry key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive[1]. Afterwards, Google searches on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products can show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folders containing logs are located. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Uninstall Registry key on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected system using RegRipper and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
Sun Apr 8 04:49:07 2012 (EDT)
avast! Free Antivirus v.7.0.1426.0
Sat Apr 7 10:52:52 2012 (EDT)
McAfee VirusScan Enterprise v.8.6.0
The above information showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were two installed antivirus products; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were McAfee antivirus and Avast!. The Google searches I performed showed me where both products store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir logs on a Windows XP system. In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se logs, antivirus products activity may also be recorded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows events logs. I examined both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 antivirus and Windows events logs looking for any information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection.
The McAfee logs are located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DesktopProtection folder located under “Documents and Settings\All Users\Application Data\McAfee\”[2]. Two specific logs of interest were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OnAccessScanLog and OnDemandScanLog. The OnAccessScanLog log records information regarding McAfee continuously monitoring a system. The second log – OnDemandScanLog – records information regarding scans conducted against a system. The OnAccessScanLog did not contain any entries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OnDemandScanLog contained entries outlining what had been deleted, cleaned, or quarantined by McAfee. Below were some entries found:
• 4/8/2012 4:06:46 PM (EDT) Deleted corey C:\SYSTEM VOLUME INFORMATION\_RESTORE{3F806DB1-464B-46B0-B724-4376EC868222}\RP6\A0003833.EXE BackDoor-AMQ(Trojan)
• 4/8/2012 4:06:46 PM (EDT) Deleted corey C:\SYSTEM VOLUME INFORMATION\_RESTORE{3F806DB1-464B-46B0-B724-4376EC868222}\RP6\A0003834.COM BackDoor-AMQ(Trojan)
• 4/8/2012 4:06:49 PM (EDT) Deleted corey C:\WINDOWS\SVCHOST.EXE BackDoor-AMQ(Trojan)
• 4/8/2012 4:06:50 PM (EDT) Deleted corey C:\WINDOWS\MSAGENT\MSQGIX.COM BackDoor-AMQ(Trojan)
• 4/8/2012 4:06:50 PM (EDT) Deleted corey C:\WINDOWS\SYSTEM32\MSMHXY.COM BackDoor-AMQ(Trojan)
The Windows Application Event log - AppEvent.Evt – collaborated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OnDemandScanLog log. There were numerous Event IDs 258 showing McAfee deleted numerous files detected as BackDoor-AMQ (Trojan) on 4/8/2012 4:06:50 PM (EDT). The OnDemandScanLog and Windows Application Event logs revealed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account conducted a McAfee On-demand scan around 4/8/12 4:06 PM (EDT). The scan deleted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files svchost.exe, msqgix.com, and msmhxy.com from different locations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows folder while files with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same extensions were deleted from a System Restore Point. The last piece of information indicated that McAfee detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BackDoor-AMQ Trojan. I searched McAfee’s website for additional information about BackDoor-AMQ[3] but it wasn’t useful without having access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual malware or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hashes.
I proceeded to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Avast! logs located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Log folder under “Documents and Settings\All Users\Application Data\AVAST Software\Avast”. I was looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder when I noticed one named Setup.log. The Setup.log shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information related to installation of Avast! and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log’s first entry stated “Started: 08.04.2012, 16:46:02”. Later on in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Setup.log I found an entry showing Avast! antivirus was installed at 4/08/12 4:49:06 PM (EDT). I wanted to correlate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows event log. The System Event log - SysEvent.Evt – Event ID 7035 showed at 4/08/12 4:48 PM (EDT) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows installer started. The first entries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Avast! in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Event log occurred one minute later (4:49 PM (EDT)) when numerous Avast! services were started (Event IDs 7035). Something I found interesting was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Avast! services were started under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local administrator user account.
I continued looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Avast! text log files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder and noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs starting with asw were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of any scans conducted against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The Avast! logs did not contain any entries related to files being deleted, cleaned, or quarantined on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test system.
The examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host based logs provided some indicators about what occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. There were numerous suspicious files (svchost.exe, msqgix.com, and msmhxy.com) located within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows folder. These files were detected as BackDoor-AMQ Trojans followed by being deleted when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account conducted a McAfee antivirus scan. I knew my best bet at finding artifacts showing how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was infected was to identify when those files first appeared or executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I turned my attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS artifacts to see what information was available.
When antivirus products delete or quarantine files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem may still maintain metadata about those files. One piece of information that can be pulled from this metadata is timestamps; this can be valuable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst, as it helps identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system first became infected. One NTFS artifact[4] that may shed light about an infection after a system is cleaned is INDX files.
INDX files contain records for each file within a directory. Each record contains information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file including: filename, file size, and timestamps[5]. The records in INDX files may remain after files are deleted from a system[6]. This behavior makes INDX files an excellent artifact to provide information about files deleted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in attempts to remove malware. An analyst can use Willi Ballenthin’s INDXParse python script to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 McAfee antivirus logs indicated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following files were deleted:
• A0003833.EXE and A0003834.COM from RP6 (System Restore Point)
• SVCHOST.EXE from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows folder
• MSMHXY.COM from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows\System32 folder
• MSQGIX.COM from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows\MSAGENT folder
I was interested to see if eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows, System32, or Msagent folders’ INDX files contained any timestamps for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 svchost.exe, msmhxy.com, and msqgix.com files. I examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows and System32 folders’ INDX files but it didn’t provide any information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps I was looking for. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Msagent folder’s INDX file contained timestamps for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 msqgix.com file.
• Filename: msqgix.com (slack at 0x5c0)
• Modified Time: 2012-04-08 4:06:50.390625 PM (EDT)
• Accessed Time: 2012-04-08 4:06:50.328125 PM (EDT)
• Changed Time: 2012-04-08 4:06:50.390625 PM (EDT)
• Created Time: 2004-08-04 12:00:00
Correlating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above timestamps to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I learned from examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host based logs shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps are around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time when McAfee deleted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. I also checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch folder’s INDX file hoping to find information about program execution but it did not provide any useful information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. This time around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 INDX files did not provide any new information about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack occurred but it is an NTFS artifact to keep in mind with respect to files that may have been deleted.
I still needed to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred since I didn’t get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host based logs and INDX files. I know when malware executes it may change system configuration settings in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry which is where I looked next.
When an administrator takes actions to remove malware from a system not only are important files deleted but many times, those files’ metadata is lost as well. Not having access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata makes it tougher to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was initially infected. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware makes changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last Write times associated with modified registry keys modify can help fill in some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se gaps. Different methods can be used to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, from checking common keys used by malware to performing keyword searches. The McAfee log file provided names of three files of interest that were used in a keyword search. The following list provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se searches.
1. C:\Windows\SVCHOST.EXE Search Hit 1
a. Last Write Time: 2012/04/08 3:06:31 PM (EDT)
b. Key: HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
c. Data: C:\Windows\svchost.exe
2. C:\Windows\System32\MSMHXY.COM Search Hit 1
a. Last Write Time: 2012/04/08 3:06:33 PM (EDT)
b. Key: HKLM\Software\Microsoft\Active Setup\Installed Components\{42CE4021-DE03-E3CC-EA32-40BB12E6015D}
c. Name: Stubpath
d. Data: C:\Windows\System32\MSMHXY.COM
3. C:\Windows\MSAGENT\MSQGIX.COM Search Hit 1
a. Last Write Time: 2012/04/08 3:06:33 PM (EDT)
b. Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
c. Name: COM Service
d. Data: C:\Windows\MSAGENT\MSQGIX.COM
4. C:\Windows\MSAGENT\MSQGIX.COM Search Hit 2
a. Last Write Time: 2012/04/08 3:06:33 PM (EDT)
b. Key: HCU\ntuser-corey\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
c. Name: COM Service
d. Data: C:\Windows\MSAGENT\MSQGIX.COM
I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry keyword searches enlighten because it showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware made when it executed. The earliest timestamp - 2012/04/08 3:06:31 PM (EDT) – is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall configuration was changed to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 svchost.exe file an authorized application. The search hits also identified how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware remains persistent; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 msqgix.com file was added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software and "corey" user account hives. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, I’ve seen when malware infects a system it adds a persistence mechanisms to both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logged on user account NTUSER.DAT and to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System or Software hives. It appears cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware did this by adding entries to two different Run keys. I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account was not only involved with running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 McAfee antivirus scan but might have been logged on when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred. Lastly, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry keys Last Write times were 04/08/2012 3:06 PM (EDT) and this provided me with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first indicator to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection may have occurred.
I wanted to see if any programs were run by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3:06 PM (EDT). I ran RegRipper with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 userassist plug-in against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account’s NTUSER.DAT hive which showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following activity (I adjusted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time from Coordinated Universal Time to Eastern Daylight Time).
Sun Apr 8 3:06:21 2012 PM (EDT)
UEME_RUNPATH:\\XP-SP3-SHARES\Main_Share\Software\npp.6.0.0.Installer.exe (1)
The Userassist registry key[7] showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account ran a program called “npp.6.0.0.Installer.exe” at 4/08/12 3:06:21 PM (EDT) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “Main_Share” network share. 10 seconds later cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 svchost.exe file was added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewalls authorized applications list which was immediately followed by persistence mechanisms being set for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 msqgix.com file. I identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of interest as 4/08/12 3:06 PM (EDT). Next I needed to see what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity was occurring on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system so I decided to create a timeline.
System timelines can provide a good deal of context about data found on a system. Timelines can reveal what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity was occurring on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time when an event (i.e. malware infection) occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. This ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity can help answer questions with respect to “how did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise happen?” This type of question can still be answered even if someone took actions to clean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process destroyed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best artifacts available. The registry artifacts provided indications that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account might have been responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware infection. As a result, I wanted my timeline to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last Write times of every Registry key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account NTUSER.DAT hive to help see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account was doing and what changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive. The only ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r timeline information I wanted initially was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem metadata since it shows activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. My timeline consisting of just filesystem metadata and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” NTUSER.DAT Registry hive metadata showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following activity occurring around 4/08/2012 3:06 PM (EDT). The table below illustrates some entries from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.
The timeline revealed a great deal of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry was modified to include references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account accessed a network share named Main_Share on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XP-SP3-Shares computer followed by executing a program named “npp.6.0.0.Installer.exe”.
The information I obtained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host based logs, Windows Registry, and a system timeline was enough to determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred.
The “corey” user account launched a program named "npp.6.0.0.Installer.exe" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Main_Share on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer XP-SP3-Shares. Within 15 seconds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were multiple indicators in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry showing when malware first executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Those indicators involved three files names (svchost.exe, msqgix.com, and msmhxy.com) that were eventually detected by McAfee antivirus as BackDoor-AMQ (Trojan) prior to being deleted.
The information I obtained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system confirmed how I purposely infected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I Trojanized a Notepad ++ installer[8] which drops malware when executed[9].
There are some instances when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “CSI” main characters show up to a crime scene that appears to be spotless. There is no victim, blood spatter, knocked over furniture, or anything else to indicate a crime took place. What happened was someone cleaned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime scene before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 characters arrived. When faced with a clean crime scene cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not throw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hands up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air and say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cleaning prevents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from investigating what happened. Instead cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scene looking for clues cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cleaning might have missed. Areas get sprayed with Fluorescein and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a UV light reveals where blood existed, cracks in objects are checked for blood, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drains in showers are checked for any evidence. Digital forensics is no different; when a “cleaned” system is encountered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination needs to find any information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left on a system.
Sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re might not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original malware samples, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir metadata, Prefetch files, temporary files, or historical information. It is still incumbent upon us to find any remaining artifacts whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are host based log files, NTFS artifacts, registry artifacts, or timelines. There are even additional remaining artifacts I didn’t discuss such as ones showing program execution and file access. The Registry contains more information about program execution including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MUICache[10] and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shim Cache[11] Registry keys. There are artifacts showing what folders and files were accessed by a user account including: Shellbags Registry keys[12], Windows LNK files[13], or Internet Explorer browser history.
The common troubleshooting techniques administrators do when trying to "clean" a system and get it back in working order makes it more challenging for us to perform our analysis. What artifacts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrators destroy will be different from system to system. However, it’s up to us to find what articles remain and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be pieced togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to explain what happened.
1. The full path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key is HKLM\Software\ Microsoft\Windows\CurrentVersion\Uninstall
2. McAfee outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log file locations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir knowledge base https://kc.mcafee.com/corporate/index?page=content&id=KB51377
3. McAfee write-up for BackDoor-AMQ http://vil.nai.com/vil/content/v_100037.htm
4. Refer to Brian Carrier’s File System Forensic Analysis book for additional information about NTFS and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts available
5. Willi Ballenthin INDXParse script webpage discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 INDX artifact http://www.williballenthin.com/forensics/indx/index.html
6. Chad Tilbury wrote an excellent article discussing this behavior http://computer-forensics.sans.org/blog/2011/09/20/ntfs-i30-index-attributes-evidence-of-deleted-and-overwritten-files
7. For additional information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Userassist Registry key see http://forensicartifacts.com/2010/07/userassist/
8. Virustotal scan showed 32/42 antivirus detected as malicious https://www.virustotal.com/file/84824963c0989568674f329e8dd92eb735f27609ef27e6352347288f62bf1d16/analysis/1334516889/
9. The Malwr dynamic analysis http://malwr.com/analysis/0916af77efc95add28e0abdd17b8a64c/
10. Harlan Carvey’s blog post about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MUICache http://windowsir.blogspot.com/2005/12/mystery-of-muicachesolved.html
11. Whitepaper about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic significance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shim Cache https://blog.mandiant.com/archives/2459
12. Chad Tilbury article about Windows 7 Shellbags http://computer-forensics.sans.org/blog/2011/07/05/shellbags
13. Article "Evidentiary Value of Link Files" http://www.forensicfocus.com/link-file-evidentiary-value
Article Edited By:
Harlan Carvey
Don C. Weber
In order to demonstrate this, I setup a simulation where I purposely infected a Windows XP system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I mimicked actions someone would take to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection. Afterwards I examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to see what artifacts I could find. I wanted to simulate a real life scenario so I performed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following common troubleshooting techniques administrators do when trying to “clean” a system and get it back into working order as quickly as possible.
• McAfee antivirus scans were conducted and any detections were cleaned
• All temporary folders’ contents were deleted
• All prefetch files were deleted
• All recycle bins were emptied
• All system restore points were deleted
• Avast! was installed and a scan was conducted
The actions may be common troubleshooting techniques but I picked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for a different reason. All of those actions potentially destroy vital information that could help determine how an infection occurred. Antivirus software deleting malware not only removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system but it also destroys cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir filesystem metadata. This metadata can narrow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred. Deleting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows\Prefetch folder makes it harder to determine what programs executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Deleting files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows temporary, user profiles’ temporary, and Internet browser folders removes any secondary artifacts –such as exploit artifacts – that can provide additional information about an event. Emptying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recycle bin ensures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files are actually deleted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Windows System Restore Points are an interesting artifact because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y contain backup copies of registry hives and Windows system files. Deleting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Restore Points destroys cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 historical information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y contain. Lastly, installing and running additional anti-virus software makes more changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and potentially alters or deletes information beneficial to an analysis.
Potential Artifacts
The common troubleshooting techniques destroyed some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I look for when faced with a malware infected system. Despite those actions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is still data left on a system providing clues about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred. Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions taken, four potential areas containing information are:
1. Host Based Logs
2. NTFS Artifact
3. Registry Artifacts
4. System Timeline
Host Based Logs
Antivirus software typically records installation and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system activities in text logs. The location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se text log files is specific to each antivirus product. One method used to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed antivirus products is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Uninstall Registry key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive[1]. Afterwards, Google searches on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products can show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folders containing logs are located. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Uninstall Registry key on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected system using RegRipper and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
Sun Apr 8 04:49:07 2012 (EDT)
avast! Free Antivirus v.7.0.1426.0
Sat Apr 7 10:52:52 2012 (EDT)
McAfee VirusScan Enterprise v.8.6.0
The above information showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were two installed antivirus products; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were McAfee antivirus and Avast!. The Google searches I performed showed me where both products store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir logs on a Windows XP system. In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se logs, antivirus products activity may also be recorded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows events logs. I examined both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 antivirus and Windows events logs looking for any information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection.
The McAfee logs are located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DesktopProtection folder located under “Documents and Settings\All Users\Application Data\McAfee\”[2]. Two specific logs of interest were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OnAccessScanLog and OnDemandScanLog. The OnAccessScanLog log records information regarding McAfee continuously monitoring a system. The second log – OnDemandScanLog – records information regarding scans conducted against a system. The OnAccessScanLog did not contain any entries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OnDemandScanLog contained entries outlining what had been deleted, cleaned, or quarantined by McAfee. Below were some entries found:
• 4/8/2012 4:06:46 PM (EDT) Deleted corey C:\SYSTEM VOLUME INFORMATION\_RESTORE{3F806DB1-464B-46B0-B724-4376EC868222}\RP6\A0003833.EXE BackDoor-AMQ(Trojan)
• 4/8/2012 4:06:46 PM (EDT) Deleted corey C:\SYSTEM VOLUME INFORMATION\_RESTORE{3F806DB1-464B-46B0-B724-4376EC868222}\RP6\A0003834.COM BackDoor-AMQ(Trojan)
• 4/8/2012 4:06:49 PM (EDT) Deleted corey C:\WINDOWS\SVCHOST.EXE BackDoor-AMQ(Trojan)
• 4/8/2012 4:06:50 PM (EDT) Deleted corey C:\WINDOWS\MSAGENT\MSQGIX.COM BackDoor-AMQ(Trojan)
• 4/8/2012 4:06:50 PM (EDT) Deleted corey C:\WINDOWS\SYSTEM32\MSMHXY.COM BackDoor-AMQ(Trojan)
The Windows Application Event log - AppEvent.Evt – collaborated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OnDemandScanLog log. There were numerous Event IDs 258 showing McAfee deleted numerous files detected as BackDoor-AMQ (Trojan) on 4/8/2012 4:06:50 PM (EDT). The OnDemandScanLog and Windows Application Event logs revealed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account conducted a McAfee On-demand scan around 4/8/12 4:06 PM (EDT). The scan deleted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files svchost.exe, msqgix.com, and msmhxy.com from different locations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows folder while files with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same extensions were deleted from a System Restore Point. The last piece of information indicated that McAfee detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BackDoor-AMQ Trojan. I searched McAfee’s website for additional information about BackDoor-AMQ[3] but it wasn’t useful without having access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual malware or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hashes.
I proceeded to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Avast! logs located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Log folder under “Documents and Settings\All Users\Application Data\AVAST Software\Avast”. I was looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder when I noticed one named Setup.log. The Setup.log shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information related to installation of Avast! and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log’s first entry stated “Started: 08.04.2012, 16:46:02”. Later on in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Setup.log I found an entry showing Avast! antivirus was installed at 4/08/12 4:49:06 PM (EDT). I wanted to correlate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows event log. The System Event log - SysEvent.Evt – Event ID 7035 showed at 4/08/12 4:48 PM (EDT) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows installer started. The first entries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Avast! in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Event log occurred one minute later (4:49 PM (EDT)) when numerous Avast! services were started (Event IDs 7035). Something I found interesting was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Avast! services were started under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local administrator user account.
I continued looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Avast! text log files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder and noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs starting with asw were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of any scans conducted against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The Avast! logs did not contain any entries related to files being deleted, cleaned, or quarantined on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test system.
The examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host based logs provided some indicators about what occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. There were numerous suspicious files (svchost.exe, msqgix.com, and msmhxy.com) located within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows folder. These files were detected as BackDoor-AMQ Trojans followed by being deleted when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account conducted a McAfee antivirus scan. I knew my best bet at finding artifacts showing how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was infected was to identify when those files first appeared or executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I turned my attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS artifacts to see what information was available.
NTFS Artifact
When antivirus products delete or quarantine files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem may still maintain metadata about those files. One piece of information that can be pulled from this metadata is timestamps; this can be valuable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst, as it helps identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system first became infected. One NTFS artifact[4] that may shed light about an infection after a system is cleaned is INDX files.
INDX files contain records for each file within a directory. Each record contains information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file including: filename, file size, and timestamps[5]. The records in INDX files may remain after files are deleted from a system[6]. This behavior makes INDX files an excellent artifact to provide information about files deleted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in attempts to remove malware. An analyst can use Willi Ballenthin’s INDXParse python script to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 McAfee antivirus logs indicated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following files were deleted:
• A0003833.EXE and A0003834.COM from RP6 (System Restore Point)
• SVCHOST.EXE from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows folder
• MSMHXY.COM from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows\System32 folder
• MSQGIX.COM from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows\MSAGENT folder
I was interested to see if eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows, System32, or Msagent folders’ INDX files contained any timestamps for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 svchost.exe, msmhxy.com, and msqgix.com files. I examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows and System32 folders’ INDX files but it didn’t provide any information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps I was looking for. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Msagent folder’s INDX file contained timestamps for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 msqgix.com file.
• Filename: msqgix.com (slack at 0x5c0)
• Modified Time: 2012-04-08 4:06:50.390625 PM (EDT)
• Accessed Time: 2012-04-08 4:06:50.328125 PM (EDT)
• Changed Time: 2012-04-08 4:06:50.390625 PM (EDT)
• Created Time: 2004-08-04 12:00:00
Correlating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above timestamps to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I learned from examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host based logs shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps are around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time when McAfee deleted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. I also checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch folder’s INDX file hoping to find information about program execution but it did not provide any useful information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. This time around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 INDX files did not provide any new information about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack occurred but it is an NTFS artifact to keep in mind with respect to files that may have been deleted.
I still needed to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred since I didn’t get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host based logs and INDX files. I know when malware executes it may change system configuration settings in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry which is where I looked next.
Registry Artifacts
When an administrator takes actions to remove malware from a system not only are important files deleted but many times, those files’ metadata is lost as well. Not having access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata makes it tougher to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was initially infected. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware makes changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last Write times associated with modified registry keys modify can help fill in some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se gaps. Different methods can be used to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, from checking common keys used by malware to performing keyword searches. The McAfee log file provided names of three files of interest that were used in a keyword search. The following list provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se searches.
1. C:\Windows\SVCHOST.EXE Search Hit 1
a. Last Write Time: 2012/04/08 3:06:31 PM (EDT)
b. Key: HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
c. Data: C:\Windows\svchost.exe
2. C:\Windows\System32\MSMHXY.COM Search Hit 1
a. Last Write Time: 2012/04/08 3:06:33 PM (EDT)
b. Key: HKLM\Software\Microsoft\Active Setup\Installed Components\{42CE4021-DE03-E3CC-EA32-40BB12E6015D}
c. Name: Stubpath
d. Data: C:\Windows\System32\MSMHXY.COM
3. C:\Windows\MSAGENT\MSQGIX.COM Search Hit 1
a. Last Write Time: 2012/04/08 3:06:33 PM (EDT)
b. Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
c. Name: COM Service
d. Data: C:\Windows\MSAGENT\MSQGIX.COM
4. C:\Windows\MSAGENT\MSQGIX.COM Search Hit 2
a. Last Write Time: 2012/04/08 3:06:33 PM (EDT)
b. Key: HCU\ntuser-corey\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
c. Name: COM Service
d. Data: C:\Windows\MSAGENT\MSQGIX.COM
I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry keyword searches enlighten because it showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware made when it executed. The earliest timestamp - 2012/04/08 3:06:31 PM (EDT) – is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall configuration was changed to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 svchost.exe file an authorized application. The search hits also identified how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware remains persistent; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 msqgix.com file was added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software and "corey" user account hives. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, I’ve seen when malware infects a system it adds a persistence mechanisms to both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logged on user account NTUSER.DAT and to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System or Software hives. It appears cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware did this by adding entries to two different Run keys. I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account was not only involved with running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 McAfee antivirus scan but might have been logged on when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred. Lastly, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry keys Last Write times were 04/08/2012 3:06 PM (EDT) and this provided me with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first indicator to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection may have occurred.
I wanted to see if any programs were run by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3:06 PM (EDT). I ran RegRipper with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 userassist plug-in against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account’s NTUSER.DAT hive which showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following activity (I adjusted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time from Coordinated Universal Time to Eastern Daylight Time).
Sun Apr 8 3:06:21 2012 PM (EDT)
UEME_RUNPATH:\\XP-SP3-SHARES\Main_Share\Software\npp.6.0.0.Installer.exe (1)
The Userassist registry key[7] showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account ran a program called “npp.6.0.0.Installer.exe” at 4/08/12 3:06:21 PM (EDT) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “Main_Share” network share. 10 seconds later cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 svchost.exe file was added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewalls authorized applications list which was immediately followed by persistence mechanisms being set for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 msqgix.com file. I identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of interest as 4/08/12 3:06 PM (EDT). Next I needed to see what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity was occurring on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system so I decided to create a timeline.
System Timeline
System timelines can provide a good deal of context about data found on a system. Timelines can reveal what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity was occurring on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time when an event (i.e. malware infection) occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. This ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity can help answer questions with respect to “how did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise happen?” This type of question can still be answered even if someone took actions to clean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process destroyed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best artifacts available. The registry artifacts provided indications that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account might have been responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware infection. As a result, I wanted my timeline to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last Write times of every Registry key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account NTUSER.DAT hive to help see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account was doing and what changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive. The only ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r timeline information I wanted initially was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem metadata since it shows activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. My timeline consisting of just filesystem metadata and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” NTUSER.DAT Registry hive metadata showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following activity occurring around 4/08/2012 3:06 PM (EDT). The table below illustrates some entries from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.
The timeline revealed a great deal of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry was modified to include references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “corey” user account accessed a network share named Main_Share on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XP-SP3-Shares computer followed by executing a program named “npp.6.0.0.Installer.exe”.
How cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Compromise Occurred
The information I obtained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host based logs, Windows Registry, and a system timeline was enough to determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred.
The “corey” user account launched a program named "npp.6.0.0.Installer.exe" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Main_Share on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer XP-SP3-Shares. Within 15 seconds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were multiple indicators in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry showing when malware first executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Those indicators involved three files names (svchost.exe, msqgix.com, and msmhxy.com) that were eventually detected by McAfee antivirus as BackDoor-AMQ (Trojan) prior to being deleted.
The information I obtained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system confirmed how I purposely infected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I Trojanized a Notepad ++ installer[8] which drops malware when executed[9].
Summary
There are some instances when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “CSI” main characters show up to a crime scene that appears to be spotless. There is no victim, blood spatter, knocked over furniture, or anything else to indicate a crime took place. What happened was someone cleaned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime scene before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 characters arrived. When faced with a clean crime scene cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not throw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hands up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air and say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cleaning prevents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from investigating what happened. Instead cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scene looking for clues cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cleaning might have missed. Areas get sprayed with Fluorescein and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a UV light reveals where blood existed, cracks in objects are checked for blood, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drains in showers are checked for any evidence. Digital forensics is no different; when a “cleaned” system is encountered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination needs to find any information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left on a system.
Sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re might not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original malware samples, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir metadata, Prefetch files, temporary files, or historical information. It is still incumbent upon us to find any remaining artifacts whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are host based log files, NTFS artifacts, registry artifacts, or timelines. There are even additional remaining artifacts I didn’t discuss such as ones showing program execution and file access. The Registry contains more information about program execution including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MUICache[10] and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shim Cache[11] Registry keys. There are artifacts showing what folders and files were accessed by a user account including: Shellbags Registry keys[12], Windows LNK files[13], or Internet Explorer browser history.
The common troubleshooting techniques administrators do when trying to "clean" a system and get it back in working order makes it more challenging for us to perform our analysis. What artifacts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrators destroy will be different from system to system. However, it’s up to us to find what articles remain and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be pieced togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to explain what happened.
References
1. The full path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key is HKLM\Software\ Microsoft\Windows\CurrentVersion\Uninstall
2. McAfee outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log file locations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir knowledge base https://kc.mcafee.com/corporate/index?page=content&id=KB51377
3. McAfee write-up for BackDoor-AMQ http://vil.nai.com/vil/content/v_100037.htm
4. Refer to Brian Carrier’s File System Forensic Analysis book for additional information about NTFS and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts available
5. Willi Ballenthin INDXParse script webpage discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 INDX artifact http://www.williballenthin.com/forensics/indx/index.html
6. Chad Tilbury wrote an excellent article discussing this behavior http://computer-forensics.sans.org/blog/2011/09/20/ntfs-i30-index-attributes-evidence-of-deleted-and-overwritten-files
7. For additional information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Userassist Registry key see http://forensicartifacts.com/2010/07/userassist/
8. Virustotal scan showed 32/42 antivirus detected as malicious https://www.virustotal.com/file/84824963c0989568674f329e8dd92eb735f27609ef27e6352347288f62bf1d16/analysis/1334516889/
9. The Malwr dynamic analysis http://malwr.com/analysis/0916af77efc95add28e0abdd17b8a64c/
10. Harlan Carvey’s blog post about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MUICache http://windowsir.blogspot.com/2005/12/mystery-of-muicachesolved.html
11. Whitepaper about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic significance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shim Cache https://blog.mandiant.com/archives/2459
12. Chad Tilbury article about Windows 7 Shellbags http://computer-forensics.sans.org/blog/2011/07/05/shellbags
13. Article "Evidentiary Value of Link Files" http://www.forensicfocus.com/link-file-evidentiary-value
Article Edited By:
Harlan Carvey
Don C. Weber
Labels:
malware,
malware analysis,
timeline
Posts
Cory,
Great job.
Anything in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appcompatcache? How about an entry in UserAssist for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 npp.6.0.0.Installer.exe?
Harlan,
Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment. Typically looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first steps I do but I wanted to highlight ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts that can contain useful info. Here is some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from program execution which falls within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time frame. I extracted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 info with Regrigger so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 times are in UTC. To make it into EDT use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -4 offset. Also, I modified some output to make it easier for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to read
Appcompatcache from System hive
UNC\XP-SP3-SHARES\Main_Share\Software\npp.6.0.0.Installer.exe
UpdTime: Sun Apr 8 19:06:21 2012 Z
Size : 5574272 bytes
C:\WINDOWS\system32\msmhxy.com
UpdTime: Sun Apr 8 19:33:59 2012 Z
Size : 30869 bytes
C:\WINDOWS\svchost.exe
UpdTime: Sun Apr 8 19:34:02 2012 Z
Size : 30869 bytes
C:\WINDOWS\msagent\msqgix.com
UpdTime: Sun Apr 8 19:34:10 2012 Z
Size : 30869 bytes
MUIcache from corey's ntuser.dat hive
C:\DOCUME~1\corey\LOCALS~1\Temp\npp.5.9.3.Installer.exe (npp.5.9.3.Installer)
C:\DOCUME~1\corey\LOCALS~1\Temp\server.exe (server)
C:\WINDOWS\svchost.exe (svchost)
C:\WINDOWS\system32\msmhxy.com (msmhxy)
C:\WINDOWS\msagent\msqgix.com (msqgix)
userassist from corey's ntuser.dat hive
Sun Apr 8 19:06:21 2012 Z
UEME_RUNPATH:\\XP-SP3-SHARES\Main_Share\Software\npp.6.0.0.Installer.exe (1)
Corey,
All this is very cool. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I try to express to analysts when this sort of thing comes up is that cleaners typically don't clean everything, and knowing where to look for indicators or artifacts can really mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between an exam coming to a complete halt, and finding an answer.
Corey,
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r excellent blog post, my friend. I really learned a lot from it.
I just watched a Mandiant webinar from August last night about INDX records and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y occurred to me as I started reading this. I was interested to see what you found, and didn't find with regards to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.
Did you use Log2Timeline or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means to create your timeline of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ntuser and file system?
Well done!
KP
@Ken
I made this timeline last Spring so I do things differently now. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I used Sleuthkit's fls.exe to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem metadata and regtime.pl to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ntuser.dat. Afterwards, I used log2timelime against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 regtime.pl and fls.exe output files to convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into csv. I still do things similar but I'm now using RegRipper to get all timeline data from registry hives
Great, thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 info!
KP
Corey,
In a lot of ways, I really think that this post goes along with your root cause analysis posts, in that analysts don't go after this sort of thing enough. I don't know why...perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel it will take too long, or that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of effort it takes to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root cause/IIV is too much.
Regardless, it's something that *NEEDS* to be done, as without it, how does an organization defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves? Where do you focus your efforts in defense if you don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intel that lets you make those decisions effectively?
Excellent post Corey. Not only does this type of thing happen in IR, but across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 board of computer forensics. Loved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analogies and summary....
Great write up Corey. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r possible artifact could be found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network logs. You could use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 times you extrapolated in your analysis to cross reference cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network logs to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command and control.
Hi Corey,
This is my first time reading your blog and I'd just like to say that your post was awesome.
I never realized how much information still remains on a system even after AV "cleans" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection.
This is also a great real-world scenario and analysis that anyone can immediately incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se steps into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own incident response procedures.
I am new to computer forensics, so out of curiosity, how much time did it take you to perform this analysis?
Thanks for your post.
@Alexander
Great point about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network and it's something to keep in mind for when this type of thing occurs for real
@anon
Thanks for stopping by to check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog and leaving a comment. As for how much time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination I did for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post is a bad example since I set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario up. I recently worked a case similar to this scenario. "Cleaning" attempts destroyed a lot of artifacts but over a span of a week cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were reoccurring infections with reoccurring cleaning attempts. That examine took my 3 hours from start to finish. On most cases it takes between 2 to 3 hours; depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive size.
The 3 hour time is when nothing is automated in my process and I am not using baselines. I am working on automation so I should be a lot faster; my goal is to make it 90 minutes or less.