Triaging with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf File
Monday, April 21, 2014
0
comments
When you look at papers outlining how to build an enterprise-scale incident response process it shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text book picture about what it should look like. It's not until you start building out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response (IR) process and/or responding to security events/incidents when you can truly see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critical pieces are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. In most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "text book style" IR documentation I've read (for my Masters, enjoyment, and research) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to gloss over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage. Triage is only mentioned as necessary to confirm an indicator and determine if a security event is an incident. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r if you are building out an IR process or doing internal IR work, triage is not an activity that should be glossed over. In my opinion, it is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important steps. Not only does it need confirm an indicator and determine if a security event is an incident but it also needs to provide guidance to staff for security events that are not incidents. In addition, a good percentage of one's work will be triaging indicators/events to determine what needs to be done - if anything. Seeing how important triage is I dedicated a lot of time to improving and refining techniques to triage security indicators and events. In this post I'm explaining a single technique, which is how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recentfilecache.bcf file can be used to quickly identify an infected system.
I'm not going to disclose my exact triage process nor any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r specifics about activities conducted during triaging. However, I will explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logic behind it to show my thought process and how it was structured. My goal for triage was to find a balance between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of resources and time one spends on triaging indicators and alerts. Too much time results in less items being looked at and resources being wasted on trivial things. Not enough time results in items potentially slipping through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cracks. The balance needs to be just enough time spent on triaging an indicator to perform a sufficient analysis so as many indicators/events as possible can be triaged. Lastly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process has to be understandable since I'm teaching ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs how to do it.
To satisfy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se goals I went with a tiered approach to triage. There are different levels in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process that does different activities. The lower levels are used to initially look into an indicator. Based on what is learned will determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r stop work on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicator (and update monitoring as needed) or do a more in-depth triage. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process repeats. Continuing triaging to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next steps and take action as necessary. There are four layers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top one being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most in-depth.
Each layer leverages various data and examines that data using various techniques. This way multiple techniques and various data sources are used to provide a more accurate picture. If attempts are made to bypass one technique one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs will catch it. One technique in one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 layers is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I'm discussing in this post. Collecting and examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recentfilecache.bcf file from a system suspected of being impacted with malicious code to confirm if it is infected and where malware may be located.
It's probably important to first revisit what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFilecache.bcf file is and why it is important. In my post Revealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf File I explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 significance of this file as it relates to digital forensics and incident response. The file records executables that executed on a Windows 7 system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listed executables mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
1. The program is probably new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
2. The program executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
3. The program executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system some time after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProgramDataUpdater task was last ran.
A good percentage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time when a machine is compromised with malicious code an executable is initially created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and executed. This is how both downloaders and droppers typically work and why both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools end up listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file. So when you are looking into an malicious code indicator checking this artifact is a fast way to determine if a new executable was created and executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I've been using this technique for some time and it is very effective in confirming a system infected with malware that occurred fairly recently (within last 24 hours or since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProgramDataUpdater task last ran).
If you haven't noticed Harlan Carvey has released some new things for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. There is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new RegRipper package which includes a bunch of new plug-ins. His new book Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 8 was published and he released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book materials online. Needless to say I'm still digesting all of this. However, I wanted to take a look at what is new. After reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper update file to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new plug-ins I went through his book archive. That's when I saw one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chapter 4 folder named rfc.exe. To see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool does you can read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Perl source code (wfa4e\ch4\source rfc.pl) but I'll say what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool does. It parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file.
Until now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are not many (if any) tools that parse this file. You can read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs listed in this artifact with a hex editor but doing so takes time. Using a parser is faster since all you need to do is execute one command to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listed programs. For example, running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rfc.exe tool against a Recentfilecache.bcf file from a machine recently infected shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
rfc.exe G:\Windows\AppCompat\Programs\RecentFilecache.bcf
c:\windows\system32\schtasks.exe
c:\program files\common files\java\java update\jusched.exe
c:\users\lab\appdata\local\microsoft\windows\temporary internet files\content.ie5\i87xk24w\n6up2014[1].com
c:\program files\common files\java\java update\jucheck.exe
I highlighted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one suspicious file; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 com file that executed from a user profile's temporary internet files folder. As you can see, rfc.exe makes a quick way to locate malware even quicker.
As I demonstrated, combining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file with Harlan's rfc.exe (or rfc.pl) tool is a quick way to locate malware. This technique is excellent for use in triage to determine if a system is infected. All that needs to be done is to access or collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n parse it to see what is listed in it.
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r useful thing to know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file is it is not a locked file. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file can be accessed, collected, and parsed without anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool to unlock it. If you are triaging an indicator on a live system all you need to do is run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:
E:\DFIR-Tools\rfc.exe C:\Windows\AppCompat\Programs\RecentFileCache.bcf
The command will work but who wants to interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live system through its keyboard. This requires finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, walking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, explaining things to a person, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. It's not a fast method. The better approach is to do your triage remotely against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. It works regardless if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is on a different floor or in a different city. This is made even easier if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment you are in has Windows administrative shares. These shares "are hidden network shares created by Windows NT family of operating systems that allow system administrators to have remote access to every disk volume on a network-connected system." You can access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m by typing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full UNC path in Windows Explorer or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run dialog box. This will bring up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system's volume in Windows Explorer which is a GUI and not a fast method. The faster method is to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system's volume by creating a mapped network drive to it. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive is mapped you can eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file directly or copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file to your analysis machine for offline parsing. Let's walk through how to do this.
The command below maps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote C volume to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive letter R and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mapped drive is not persistent.
net use R: \\192.168.1.1\c$ /PERSISTENT:NO
The command below parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file remotely.
C:\DFIR-Tools\rfc.exe R:\Windows\AppCompat\Programs\RecentFileCache.bcf
The command below is to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file for offline parsing (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asterisk tells xcopy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 object is a file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /h switch is to copy system and hidden files)
xcopy R:\Windows\AppCompat\Programs\RecentFileCache.bcf C:\Collection\RecentFileCache.bcf* /h
After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parsed or copied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive letter to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote C volume can be deleted with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:
net use R: /delete /y
If you have access to Encase Enterprise (or Encase Forensic with F-response) and prefer to stay within Encase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use Lance's RecentFileCache.bcf enscript.
What I illustrated is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic technique for leveraging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recentfilecache.bcf file to quickly confirm if a system is infected and where malware may be located. The technique is even faster by automating it in a script. As you might have guessed, I use this technique remotely across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise when triaging indicators. It can be a standalone technique but I don't use it as such. It's just one technique out of many I incorporated into my layered triage process. Hopefully, people find this useful and it provides a little more context to my tweet last week.
It's All About Triage
I'm not going to disclose my exact triage process nor any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r specifics about activities conducted during triaging. However, I will explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logic behind it to show my thought process and how it was structured. My goal for triage was to find a balance between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of resources and time one spends on triaging indicators and alerts. Too much time results in less items being looked at and resources being wasted on trivial things. Not enough time results in items potentially slipping through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cracks. The balance needs to be just enough time spent on triaging an indicator to perform a sufficient analysis so as many indicators/events as possible can be triaged. Lastly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process has to be understandable since I'm teaching ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs how to do it.
To satisfy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se goals I went with a tiered approach to triage. There are different levels in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process that does different activities. The lower levels are used to initially look into an indicator. Based on what is learned will determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r stop work on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicator (and update monitoring as needed) or do a more in-depth triage. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process repeats. Continuing triaging to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next steps and take action as necessary. There are four layers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top one being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most in-depth.
Each layer leverages various data and examines that data using various techniques. This way multiple techniques and various data sources are used to provide a more accurate picture. If attempts are made to bypass one technique one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs will catch it. One technique in one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 layers is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I'm discussing in this post. Collecting and examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recentfilecache.bcf file from a system suspected of being impacted with malicious code to confirm if it is infected and where malware may be located.
Revisiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf File
It's probably important to first revisit what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFilecache.bcf file is and why it is important. In my post Revealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf File I explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 significance of this file as it relates to digital forensics and incident response. The file records executables that executed on a Windows 7 system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listed executables mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
1. The program is probably new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
2. The program executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
3. The program executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system some time after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProgramDataUpdater task was last ran.
A good percentage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time when a machine is compromised with malicious code an executable is initially created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and executed. This is how both downloaders and droppers typically work and why both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools end up listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file. So when you are looking into an malicious code indicator checking this artifact is a fast way to determine if a new executable was created and executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I've been using this technique for some time and it is very effective in confirming a system infected with malware that occurred fairly recently (within last 24 hours or since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProgramDataUpdater task last ran).
Still Digesting Harlan Carvey's Latest Work
If you haven't noticed Harlan Carvey has released some new things for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. There is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new RegRipper package which includes a bunch of new plug-ins. His new book Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 8 was published and he released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book materials online. Needless to say I'm still digesting all of this. However, I wanted to take a look at what is new. After reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper update file to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new plug-ins I went through his book archive. That's when I saw one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chapter 4 folder named rfc.exe. To see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool does you can read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Perl source code (wfa4e\ch4\source rfc.pl) but I'll say what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool does. It parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file.
Until now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are not many (if any) tools that parse this file. You can read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs listed in this artifact with a hex editor but doing so takes time. Using a parser is faster since all you need to do is execute one command to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listed programs. For example, running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rfc.exe tool against a Recentfilecache.bcf file from a machine recently infected shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
rfc.exe G:\Windows\AppCompat\Programs\RecentFilecache.bcf
c:\windows\system32\schtasks.exe
c:\program files\common files\java\java update\jusched.exe
c:\users\lab\appdata\local\microsoft\windows\temporary internet files\content.ie5\i87xk24w\n6up2014[1].com
c:\program files\common files\java\java update\jucheck.exe
I highlighted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one suspicious file; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 com file that executed from a user profile's temporary internet files folder. As you can see, rfc.exe makes a quick way to locate malware even quicker.
Triaging with RecentFileCache.bcf File and rfc.exe
As I demonstrated, combining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file with Harlan's rfc.exe (or rfc.pl) tool is a quick way to locate malware. This technique is excellent for use in triage to determine if a system is infected. All that needs to be done is to access or collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n parse it to see what is listed in it.
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r useful thing to know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file is it is not a locked file. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file can be accessed, collected, and parsed without anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool to unlock it. If you are triaging an indicator on a live system all you need to do is run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:
E:\DFIR-Tools\rfc.exe C:\Windows\AppCompat\Programs\RecentFileCache.bcf
The command will work but who wants to interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live system through its keyboard. This requires finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, walking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, explaining things to a person, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. It's not a fast method. The better approach is to do your triage remotely against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. It works regardless if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is on a different floor or in a different city. This is made even easier if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment you are in has Windows administrative shares. These shares "are hidden network shares created by Windows NT family of operating systems that allow system administrators to have remote access to every disk volume on a network-connected system." You can access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m by typing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full UNC path in Windows Explorer or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run dialog box. This will bring up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system's volume in Windows Explorer which is a GUI and not a fast method. The faster method is to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system's volume by creating a mapped network drive to it. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive is mapped you can eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file directly or copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file to your analysis machine for offline parsing. Let's walk through how to do this.
The command below maps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote C volume to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive letter R and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mapped drive is not persistent.
net use R: \\192.168.1.1\c$ /PERSISTENT:NO
The command below parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file remotely.
C:\DFIR-Tools\rfc.exe R:\Windows\AppCompat\Programs\RecentFileCache.bcf
The command below is to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file for offline parsing (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asterisk tells xcopy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 object is a file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /h switch is to copy system and hidden files)
xcopy R:\Windows\AppCompat\Programs\RecentFileCache.bcf C:\Collection\RecentFileCache.bcf* /h
After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parsed or copied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive letter to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote C volume can be deleted with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:
net use R: /delete /y
If you have access to Encase Enterprise (or Encase Forensic with F-response) and prefer to stay within Encase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use Lance's RecentFileCache.bcf enscript.
Wrapping Things Up
What I illustrated is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic technique for leveraging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recentfilecache.bcf file to quickly confirm if a system is infected and where malware may be located. The technique is even faster by automating it in a script. As you might have guessed, I use this technique remotely across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise when triaging indicators. It can be a standalone technique but I don't use it as such. It's just one technique out of many I incorporated into my layered triage process. Hopefully, people find this useful and it provides a little more context to my tweet last week.
Labels:
program execution,
triage
Posts
