Exploring Windows Error Reporting

Monday, February 24, 2014 Posted by Corey Harrell 2 comments
The Application Experience and Compatibility feature ensures compatibility of existing software between different versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows operating system. The implementation of this feature results in some interesting program execution artifacts that are relevant to Digital Forensic and Incident Response (DFIR). I already highlighted a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in my posts Revealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf File and Revealing Program Compatibility Assistant HKCU AppCompatFlags Registry Keys. There are more artifacts associated with this feature and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Error Reporting (WER) are one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few months WER has been discussed frequently due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential data it exposes when data is sent to Microsoft. However, WER can be a useful program execution artifact for incident response since malicious code - such as malware and exploited applications - can crash on systems. This short post provides discusses WER and illustrates how it is helpful to track malware on a system.

What is Windows Error Reporting


Windows Error Reporting is basically a feature to help solve problems associated with programs crashing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows operating system. The Windows Internals, Part 1: Covering Windows Server 2008 R2 and Windows 7  goes into more detail by stating:

"WER is a sophisticated mechanism that automates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submission of both user-mode process crashes as well as kernel-mode system crashes."

The service analyzes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crashed application's state and builds context information surrounding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crashed program. The book continues by saying:

On default configured systems, an error report (a minidump and XML file with various details, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLL version numbers loaded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process) is sent to Microsoft's online crash analysis server. Eventually, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service is notified of a solution for a problem, it will display a tooltip to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user informing her of steps that should be taken to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

How Does Windows Error Reporting Work?


There are two registry keys responsible for WER's configuration. These keys are listed below; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first key affects system-wide behavior while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second is user specific.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows Error Reporting
HKEY_CURRENT_USER\Software\Microsoft\Windows\Windows Error Reporting


The best resource I found explaining how WER works is a paper written by 0xdabbad00. Their paper is titled Notes on Windows Error Reporting and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual PDF can be found here. The paper "attempts to better explain what is and is not possible and to generalize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack classes for all error reporting" and touches on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following key points:

        - What traffic is sent unencrypted and what is sent encrypted
        - What data is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unencrypted traffic

I won't try to rehash what is written in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper since it really goes into great detail. Anyone who wants to know more about WER should read this.

What Artifacts Are Left By Windows Error Reporting?


One item I really liked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Notes on Windows Error Reporting paper is its Appendix. The focus of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper is on explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WER feature but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Appendix provides some useful DFIR tidbits about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WER artifacts present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. These artifacts are important because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y show a program was running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and it eventually crashed. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, WER artifacts have given me more context about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r program execution artifacts located on a system. The WER artifacts outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Appendix include: event logs, WER folder, AppCompat.txt file, and WERInternalMetadata.xml file.

WER records an entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event log when a crashed application is analyzed and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r event log entry is recorded if information is sent to Microsoft. The Appendix shows what this event log looks like including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information it contains. The event log also shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WER folder is located at C:\Users\username\AppData\Local\Microsoft\Windows\WER.

The paper also explains what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompat.txt and WERInternalMetadata.xml files are while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Appendix shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files provide a wealth of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program that crashed such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parent process, parent process command line, and process path. 

Additional about Windows Error Reports


I wanted to provide additional information about one WER artifact mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper. Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual Windows Error Report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. A Windows Error Report records a ton of information about a program that was running at some point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past. To illustrate I'll walk through a WER for a piece of malware that crashed on a system. The screenshot below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of a report and some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information shown is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program crashed and program was 32-bit (notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WOW64).



The next portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report starts to provide information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crashed program.


A little bit furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r down in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report you can see part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user interface message as shown below.


The report even recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program's loaded modules at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crash. This section contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crashed application and in this instance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program is highly suspicious (executable launching from a temp folder).


The end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last piece of useful information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crash.


A search on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppName in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analysis Search provides some leads about what malware was present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. It leads to VirusTotal reports and sandbox reports showing malware crashing such as this one.

WER's Relevance


WER provides more artifacts that show program execution. Overall this artifact is not as beneficial as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r program execution artifacts but once in a while malicious code will crash or cause an application to crash. When this occurs WER provides more context about what occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable listed means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

1.  The program executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
2.  The program crashed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
3.  The data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WER artifacts is information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it was running and crashed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.


Linkz 4 Mostly Malware Related Tools

Tuesday, February 11, 2014 Posted by Corey Harrell 2 comments
It's been awhile but here is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Linkz edition. In this edition I'm sharing information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various tools I came across over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few months.

Process Explorer with VirusTotal Integration

By far cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most useful tool released this year is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 updated  Process Explorer program since it now checks running processes against VirusTotal. This added feature makes it very easy to spot malicious programs and should be a welcome toolset addition to those who are constantly battling malware. To turn on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality all you need to do is to select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Check Virustotal" option from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Options menu.

 
After it is selected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Virustotal column appears showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results as shown below:


The hyperlinks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VirusTotal results can be clicked, which brings you to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VirusTotal report. The new functionality is really cool and I can see it making life easier for those who don't have DFIR skills to find malware such as IT folks. Hence, my comment about this being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most useful tool released. The one thing I should warn ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs about is to think very hard before enabling is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Submit Unknown Executables" to VirusTotal since this will result in files being uploaded to Virustotal (and thus available for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to download).

Making Static Analysis Easier

I recently became aware about this tool from people tweeting about. PEStudio "is a tool that can be used to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 static investigation of any Windows executable binary." It quickly parses an executable file presenting you with indicators, VirusTotal results, imports, exports, strings, and a whole lot more as shown below.




Automating Researching URLs, Domains, and IPs

The next tool up to bat automates researching domains, IPs, hashes, and URLs. It's a pretty slick tool and I can see it being an asset when you need to get information quickly. TekDefense describes Automater as "a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis process easier for intrusion Analysts." If you are tasked with doing this type of analysis cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you will definitely want to check out this tool. The screenshot below is part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report generated for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MD5 hash ae2fc0c593fd98562f0425a06c164920; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hash was easily obtained from PEStudio.


Norben - Portable Dynamic Analysis Tool

The next tool makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dynamic analysis process a little easier. "Noriben is a Python-based script that works in conjunction with Sysinternals Procmon to automatically collect, analyze, and report on runtime indicators of malware. In a nutshell, it allows you to run your malware, hit a keypress, and get a simple text report of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample's activities." To see this tool in action you can check out Brian Baskin's post Malware with No Strings Attached - Dynamic Analysis; it's an excellent read. In order to get a screenshot, I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous sample inside a virtual machine with Noriben running.


I'm Cuckoo for Cocoa Puffs

You can probably guess what my kids ate for breakfast but this next tool is not child's play. Version 1 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cuckoo Sandbox has been released. The download is available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir download page. For those who don't want to set up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own in-house sandbox cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can use Malwr (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 online version).

Pinpointing

The next tool comes courtesy of Kahu Security. The best way to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's own words from his post Pinpoint Tool Released.

"There are many times where I come across a drive-by download, especially malvertisements, and it takes me awhile to figure out which file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromised website is infected. I wrote Pinpoint to help me find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious objects faster so I can provide that info to webmasters for clean-up purposes."

The post provides some examples on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool's use as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir most recent post Pinpointing Malicious Redirects (nice read by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way.) You can grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools page.

What You See May Not Be What You Should Get

I thought I'd share a post highlighting shortcomings in our tools while I'm on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic about malware. Harlan posted his write-up Using Unicode to hide malware within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system and it is a well written post. The post discusses an encounter with a system impacted by malware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anti-forensic techniques used to better hide on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. One method used was to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file attributes to hidden and system; to hide a folder from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default view settings. The second method and more interesting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of Unicode in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file name path. What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post really highlighted was how multiple tools - tools that are typically in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR toolset - do not show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unicode in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path. This would make it possible for anyone looking at a system to overlook cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory and possibly miss an important piece of information. This is something to definitely be aware about for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools we use to process our cases.

Do You Know Where You Are? You're In The NTFS Jungle Baby

If you haven't visited Joakim Schicht's MFT2CSV website lately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you may have missed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools he updated on his downloads page. The tools include: LogFileParser that parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logfile (only open source logfile parser available), mft2csv that parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT file, and UsnJrnl2Csv that parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Change Journal. The next time you find yourself in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS jungle you may want to visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mft2csv site to help you find your way out.

Still Lost in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS Jungle

Rounding out this linkz post are a collection of tools from Willi Ballenthin. Willi had previously released tools such as his INDX parser and python-registry. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few months he has released some more NTFS tools. These include: list-mft to timeline NTFS metadata, get-file-info to inspect $MFT records, and fuse-mft to mount an $MFT. I haven't had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to test out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools yet but it's at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of my list.
Labels: ,