Mr Silverlight Drive-by Meet Volatility Timelines

Sunday, May 18, 2014 Posted by Corey Harrell 3 comments
I recently had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Windows Malware and Memory Forensics Training. Prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training, I used memory forensics (and thus Volatility) in different capacities but it wasn't a technique I leveraged when responding to security events and incidents during incident response activities. This was an area I wanted to improve upon going into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training went on and more material and labs were covered I kept thinking to myself how I intended to incorporate memory forensics into my response process. To use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique when triaging live systems remotely over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. The labs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training provided numerous scenarios about using memory forensics on compromised systems but I wanted to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r explore it with a simulated a security event. This post explores Volatility usage against an infected system's memory image by first determining: is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system infected and if so, how did it become infected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place.

Short Thought About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Training


Before diving into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory image I first wanted to provide a short thought about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training. The training is not just about a single memory forensics tool named Volatility. The training goes in-depth in numerous topics including Windows internals, malware reversing, Windows data structures, how those structures are parsed, and bypassing encryption. I was looking for an in-depth course and I found it with Volatility. It walks you through exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows internals, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structures, how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be parsed, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n actually doing it in labs. This layout results in knowing not just how to use tools for memory forensics but understanding what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are doing and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are suppose to be doing. To top it off, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content is put into context as it relates to Digital Forensics and Incident Response (DFIR). All in all, it was a great training and  I highly recommend it to anyone looking to get more memory forensics knowledge and skills. For a more detailed review refer to TekDefense's Review - Malware and Memory Forensics with Volatility (just keep in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content has been updated since his review.)

Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Infected?


To set up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simulation I configured an extremely vulnerable virtual machine and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n browsed to potentially malicious websites. I suspended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM to grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmem file (memory) once I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first indication cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system may be compromised. This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simulation starts to determine if this system is infected.

I first scanned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory image for any previous networking activity that may be tied to malware by executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command below:

python vol.py -f Win7.vmem --profile=Win7SP0x86 netscan

The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partial output from netscan. A few different items jump out. The first is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process 0320.dll PID 3812 listening on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP ports 61779 and 8681. These ports are not typically open on Windows systems which made this a good lead. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r item to note is that Internet Explorer was active at one point in time.


The netscan plug-in provided some information but additional information is needed for PID 3812 0320.dll. I first wnated to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command used to launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program and I did this with pstree plug-in with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -v switch

python vol.py -f Win7.vmem --profile=Win7SP0x86 pstree -v

The program's location in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temp folder made it even more suspicious as being malicious.


To get a better understanding about how PID 3812 started  I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pstree plug-in again without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -v switch to make it easier to see.

python vol.py -f Win7.vmem --profile=Win7SP0x86 pstree

The Internet Explorer process PID 572 spawned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PID 3812 0320.dll.


The netscan plug-in showed that this Internet Explorer was reaching out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address 176.9.176.166. A search with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analysis search provided a few different hits including one to VirusTotal. The passive DNS showed this IP associated with domains flagged as malicious as well as a malicious file being downloaded from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.


To get a better idea about any processes that may had started and exited around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time PID 3812 0320.dll executed I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 psscan plug-in.

python vol.py -f Win7.vmem --profile=Win7SP0x86 psscan

I highlighted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r processes that started around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time but it didn't provide any more substantial leads.

0x000000007dd8f510 iexplore.exe       3600   2504 0x7d7a75c0 2014-05-11 01:38:00 UTC+0000
0x000000007e4d1030 0320.dll           3812    572 0x7d7a7540 2014-05-11 01:46:02 UTC+0000
0x000000007dad3d40 msiexec.exe        4036    492 0x7d7a7700 2014-05-11 01:46:38 UTC+0000
0x000000007e243030 dllhost.exe        2292    612 0x7d7a71e0 2014-05-11 01:46:55 UTC+0000   2014-05-11 01:47:00 UTC+0000

To see what access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PID 3812 process had on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 getsids plug-in was used.

python vol.py -f Win7.vmem --profile=Win7SP0x86 getsids -p 3812

The lines below show 0320.dll was running in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab user account and had administrative rights to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

0320.dll (3812): S-1-5-21-2793522790-2301028668-542554750-1000 (lab)
0320.dll (3812): S-1-5-32-544 (Administrators)

I continued my focus on PID 3812 0320.dll to get more information about it by seeing what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r items it is interacting with. To see it's handles I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

python vol.py -f Win7.vmem --profile=Win7SP0x86 handles -p 3812

The only item of note in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handles output was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process's mutant; maybe it could help in researching in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.

0x8583b278   3812       0xd0   0x1f0001 Mutant           Y7X-TYAA-X7A

The next item I explored was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process's loaded DLLs.

python vol.py -f Win7.vmem --profile=Win7SP0x86 dlllist -p 3812

Listed among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLLs was one item located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab user profile; C:\Users\lab\AppData\Local\sattech.dll.


The last item I wanted to explore was to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process leveraged code injection with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command.

python vol.py -f Win7.vmem --profile=Win7SP0x86 malfind

The output showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following processes had injected code into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m: explorer.exe (PID 300), wmpnetwk.exe (PID 2116), iexplore.exe (PID 2504), iexplore.exe (PID 2504), iexplore.exe (PID 572), iexplore.exe (PID 3600), and msiexec.exe (PID 4036).

Exploring 0320.dll and sattech.dll


Volatility enabled me to quickly identify two suspicious files indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is infected. The next step was to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files to actually confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection. Both files were dumped from memory with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following commands (first one dumps 0320.dll while second dumps sattech.dll.)

python vol.py -f Win7.vmem --profile=Win7SP0x86 procdump -p 3812 -D .

python vol.py -f Win7.vmem --profile=Win7SP0x86 dlldump -p 3812 -b 0x10000000 -D .

For brevity I'm not posting everything I did to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se dumped files. The one item I wanted to note was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings in 0320.dll referenced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key SOFTWARE\Microsoft\Windows\CurrentVersion\Run which may be its persistence.  Knowing this was a simulated environment I ran both files through VirusTotal on 5/11/14 (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detections were low: 1/52 for 3020.dll and 10/52 for sattech.dll). I rescanned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m while writing this post and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detections increased as can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 0320.dll VT report and sattech.dll VT report.

How Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Become Infected?


Memory forensics so far was able to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection, locate malware, provide clues about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware's purpose, and extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware for furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysis. The next question I needed memory forensics to help me answer was how did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occur in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. An effective technique to address this question is timeline analysis and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility training really opened my eyes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional capabilities memory provides to this technique. To fully explore Volatility timelines I'm performing timeline analysis in three separate stages. First only using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeliner plug-in (numerous time related objects), and finally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS change journal ($USNJrnl).

Exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory image to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection provided a few leads I leveraged in timeline analysis. There were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two files of interest: C:\Users\lab\AppData\Local\Temp\0320.dll and C:\Users\lab\AppData\Local\sattech.dll. Plus, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of interest was 2014-05-11 01:46:02 UTC+0000 since this was when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 0320.dll process started. I searched on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se indicators and looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system activity that proceeded it and occurred after it. However, for clarity I'm presenting my timeline analysis in sequential order.

$MFT Timeline


The commands below generates a timeline in bodyfile format with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT records found in memory. Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline is converted with mactime, grep for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date of interest, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n formatted with awk to remove unneeded columns.

python vol.py -f Win7.vmem --profile=Win7SP0x86 mftparser --output=body --output-file=mft-body

mactime -b mft-body -d -z UTC > mft_timeline.csv

cat mft-timeline.csv | grep -i "Sun May 11 2014" | awk -F, '{print $1, $3, $8}' > mft-timeline_05-11-14.csv

The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT timeline starting at 05/11/14 01:45:59 UTC.


The first few lines show Internet activity with files being created in Internet Explorer's temporary files cache. The last three lines shows activity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows\SoftwareDistribution folder (which is associated with Windows update) and file creation inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silverlight application folder (C:\Users\lab\AppData\LocalLow\Microsoft\Silverlight). The timeline continues as shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below.


The activity for involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SoftwareDistribution and Silverlight folders continues before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 0320.dll file is created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system at 05/11/14 01:46:02. Solely, based on this activity it provides a clue to how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system became infected. There was Internet activity followed by Silverlight activity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n malware appearing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. This activity points to a drive-by that targeted a vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silverlight application. This shows again cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 significance of exploring attack vector artifacts and it's an area I've been looking in to for some time (it applies to all types of attacks). I just opted to stop blogging about it and only recently posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE 2013-0074 & 3896 Silverlight Exploit Artifacts documenting Silverlight exploits to provide context to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity in this timeline. The image below continues with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT timeline.


It shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sattech.dll file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system one second after 3020.dll. The last portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline I'm discussing is shown below.


The Silverlight application activity surrounds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r confirming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vector used against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. In addition, at 01:46:10 artifacts associated with program execution started appearing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. There are prefetch files showing both Silverlight application and malware executed.

Volatility Timeliner and $MFT Timeline


The $MFT timeline created from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory image enabled me to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "how" question. However, adding addition timeline data will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events surrounding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection more clear. The commands below generates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeliner timeline in bodyfile format and combines it with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT bodyfile. Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline is converted with mactime, grep for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date of interest, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n formatted with awk to remove unneeded columns. Side note: one item I'm hoping Volalitity incorporates into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeliner plug-in is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to specify what timeline artifacts to parse instead of parsing everything (this change should make timeline creation faster and more focused.)

python vol.py -f Win7.vmem --profile=Win7SP0x86 timeliner --output=body --output-file=timeline-body

cat mft-body timeline-body > timeliner-mft-body

mactime -b timeliner-mft-body -d -z UTC > timeliner-mft-timeline.csv

cat timeliner-mft-timeline.csv | grep -i "Sun May 11 2014" | awk -F, '{print $1, $3, $8}' > mft-timeliner_05-11-14.csv

The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeliner and $MFT timeline starting at 05/11/14 01:45:59 UTC.


Right off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r timeline data pulled from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory image provided more context about what happened. Various Internet explorer processes were connecting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 freshdekor[dot]com domain. Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility netscan plug-in output showed Internet Explorer connecting to two different IP addresses and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m was 74.125.226.218. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google searches on this IP address lead to a VirusTotal report containing passive DNS information. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passive domains listed for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address was freshdekor[dot]com. It's nice stuff how everything ties togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r more clearly. The image below continues with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.


The activity is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files in Internet Explorer's temporary files cache but now I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se came from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 freshdekor[dot]com domain. The image below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.


The first line shows something very cool. The Internet Explorer PID 572 is loading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coreclr.dll dll at 01:46:00. Running grep across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dlllist plug-in showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dll which was c:\Program Files\Microsoft Silverlight\5.0.61118.0\coreclr.dll. A Google search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dll indicated it is a Silverlight plug-in. This line is showing iexplore.exe loading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silverlight plug-in within a second after visiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 freshdekor[dot]com domain. The third line from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top is cut off in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot but it shows Internet Explorer PID 572 accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key SOFTWARE\APPDATALOW\SOFTWARE\MICROSOFT\SILVERLIGHT\PERMISSIONS for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab user account. The rest of this timeline portion is more IE history artifacts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain in question. Continuing on with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below.


This activity is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT and was shown previously. However, now it's clear Internet Explorer loaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silverlight plug-in for a Silverlight application on a website. The Silverlight activity in this timeline portion was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of a Silverlight application which was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit. The image below continues with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.


Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threads it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same activity shown previously involving Silverlight and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SoftwareDistribution folder. Continuing on with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline below.


This brings us to 01:46:02 which is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 0320.dll process started. The activity shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dlls being loaded (minus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sattech.dll dll), process created, and first thread started for 0320.dll PID 3812. This confirmed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 0320.dll executed as soon as it was dropped onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The image below shows what happened next.


The sattech.dll was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and loaded by 0320.dll PID 3812 one second after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process started. The last section I'm highlighting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeliner/$MFT timeline is below.


The activity is from $MFT records and is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts mentioned previously.

NTFS Change Journal, Volatility Timeliner and $MFT Timeline


The timeliner combined with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mftparser plug-in provided a wealth of information about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system became infected. It even provide additional information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack that would never be found on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host. There is still yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r source of timeline data that can be added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 week I was taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility training, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructors gave us cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heads up that Tom Spencer released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USNParser plug-in to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS change journal. The $USNJrnl is an excellent source to reference as I illustrated in my post Re-Introducing $UsnJrnl. To furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r explore memory timelines, I downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug-in and ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands below. It first generates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $USNJrnl in bodyfile format and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n combines it with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeliner/MFT bodyfile. The timeline is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n converted with mactime, grep for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date of interest, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n formatted with awk to remove unneeded columns.

python vol.py -f Win7.vmem --profile=Win7SP0x86 usnparser --output=body --output-file=usn-body

cat usn-body timeliner-mft-body > timeline-all-body

mactime -b timeline-all-body -d -z UTC > timeline-all-timeline.csv

cat timeline-all-timeline.csv | grep -i "Sun May 11 2014" | awk -F, '{print $1, $3, $8}' > timeline-all_05-11-14.csv

The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $USNJrnl, $MFT, and timeliner timeline starting at 05/11/14 01:45:59 UTC.


The $USNJrnl didn't provide much useful in this portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline since it only shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edb.log inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SoftwareDistribution\DataStore\Logs folder. The timeline continues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below.


The first $USNJrnl activity shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mssl.lck being referenced. This file was referenced in my CVE 2013-0074 & 3896 Silverlight Exploit Artifacts post. Even if I wasn't aware about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se exploit artifacts, mssl.lck can still be tied to Silverlight by grepping for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filescan plug-in output. This shows mssl.lck located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Users\lab\AppData\LocalLow\Microsoft\Silverlight folder. The image below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.


The additional information shown in this activity highlights an item that was present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous timelines. Prior to Internet Explorer PID 572 loading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silverlight plug-in (coreclr.dll), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 webpage stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary Internet files cache was named 8fdhe54wg1[1].htm was visited. This highlights anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file to examine closer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host to determine if it was responsible for serving up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious Silverlight application. The image below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.


The activity is involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same files and domains already discussed. The timeline continues below.


Just prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BITFC11.tmp file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silverlight folder cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is more activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows\SoftwareDistribution\DataStore\Logs folder. This time around it is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tmp.edb file. The image below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.


There is no additional items to note so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline continues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below.


Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't any additional activity of interest but I'm still posting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se images for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline in its entirely. The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.


The $USNJrnl shows activity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silverlight application and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline continues below.


This portion was shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeliner/$MFT timeline where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 0320.dll PID 3812 process started. The image below shows what happens next.


After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 0320.dll PID 3812 process started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a lot of activity for a tmp file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows\Temp folder as shown below.


The $USNJrnl also reflects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sattech.dll file being created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The last image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline shows more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silverlight application and program execution artifacts I mentioned previously.


Memory Forensics for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win


As I went into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Windows Malware and Memory Forensics Training I wanted to leverage memory forensics more when responding to security events and incidents during incident response. The way I intend to use this technique is for analysis of live systems remotely over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. As a method to investigate a security alert such as a system reaching out to a known malicious domain. Memory forensics could provide a wealth of information for this type of alert. Tying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific network activity to a process and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n determining where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process came from in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. Very similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simulation I did for this post. I may had started out wanting to leverage memory forensics more but I ended up with more knowledge and an improved skillset to help me hold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last line of defense for my organization.

CVE 2013-0074 & 3896 Silverlight Exploit Artifacts

Tuesday, May 13, 2014 Posted by Corey Harrell 0 comments
Artifact Name

Exploit Artifacts for CVE 2013-0074/3896 (Silverlight) Vulnerabilities

Attack Vector Category

Exploit

Description

Two vulnerabilities present in Microsoft Silverlight 5 that in combination enable an attacker to execute arbitary code.

CVE 2013-3896 affects Microsoft Silverlight 5 before 5.1.20913.0. The vulnerability is due to not properly validating pointers during access to Silverlight elements, which allows remote attackers to obtain sensitive information via a crafted Silverlight application. The significance of this vulnerability as explained in TrendMicro's  A Look At A Silverlight Exploit article:

"The exploit uses this vulnerability to leak a pointer address in memory, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n uses this leaked address to compute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base address of mscorlib.ni.dll, bypassing ASLR. Later, this base address is used to compute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ROP gadgets in order to bypass DEP."  

CVE 2013-0074 affects Microsoft Silverlight 5 before 5.1.20125.0. The vulnerability is due to not properly validating pointers during HTML object rendering, which allows remote attackers to execute arbitrary code via a crafted Silverlight application. The TrendMicro article stated this vulnerability "is used to control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution flow to jump to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ROP gadget."

Attack Description

The significance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se Silverlight vulnerabilities is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir usage in mass attacks through exploit kits. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, Packetstorm security posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit code for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se vulnerabilities making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m public and thus available to anyone to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m including exploit kits' authors.

This description was obtained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very detailed Malware don't need Coffee blog post CVE-2013-0074/3896 (Silverlight) integrates Exploit Kits. To truly understand this attack I highly recommend reading this blog post.

     1. User visits a malicious website.

     2. The website serves up a malicious Silverlight application to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Exploits Tested

Metasploit exploit/windows/browser/ms13_022_silverlight_script_object

Target System Information

Windows 7 SP0 x86 Virtual Machine with Silverlight v 5.0.60818.0 (no Silverlight applications were executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system prior to test)

Different Artifacts based on Administrator Rights

Not tested

Different Artifacts based on Tested Software Versions

Not tested

Potential Artifacts

The potential artifacts include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2013-0074/3896 exploit and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit causes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system environment. The artifacts can be grouped under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following three areas:

     * Temporary File Creation
     * Indications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerable Application Executing
     * Internet Activity

Note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documenting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts attempted to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability being exploited as opposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific artifacts unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit. As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual artifact storage locations and filenames are inside of brackets in order to distinguish what may be unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment.

     Temporary File Creation

- Webpage created in a temporary Internet files storage location on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of interest. [C:\ Users\lab\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I87XK24W\nXKoGc[1].htm] The webpage contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code to load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silverlight application exploit. The code includes: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data/type variables indicating " application/x-silverlight-2" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InitParams indicating what to load. The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 webpage code (please note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InitParams in Metasploit contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code to execute while on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems it may point to an actual file)



     Indications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerable Application Executing

- Folder activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silverlight application. [C:\Users\lab\AppData\LocalLow\Microsoft\Silverlight]

- File creation inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silverlight application folder. [C:\ Users\lab\AppData\LocalLow\Microsoft\Silverlight\BIT65AC.tmp and C: \Users\lab\AppData\LocalLow\Microsoft\Silverlight\mssl.lck]

- Registry modification involving Silverlight in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile's NTUSER.DAT hive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit executed under. [HKU\Software\AppDataLow\Software\Microsoft\Silverlight and HKU\ Software\AppDataLow\Software\Microsoft\Silverlight\Permissions] (note: this artifact may be due to Silverlight executing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time)

- Entries for Silverlight programs that executed for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file (Windows 7 artifact) [c:\program files\microsoft silverlight\5.0.61118.0\agcp.exe]

- References to Silverlight programs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CONHOST.EXE's prefetch file handles [\DEVICE\HARDDISKVOLUME1\PROGRAM FILES\MICROSOFT SILVERLIGHT\5.0.61118.0\COREGEN.EXE]

     Internet Activity

- Web browser history of user accessing websites within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of interest. [lab user account accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer running Metasploit]

- Files located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files folder. [Users\lab\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5]

Timeline View of Potential Artifacts

The images below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts in a timeline of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test Windows 7 SP0 system. The timeline only includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata. The purpose of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline is to help illustrate what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts look like on a compromised system.

A few tidbits about items listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline that are not discussed above. First, in numerous tests when Silverlight executes it initiates activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows\SoftwareDistribution\DataStore. This folder is associated with Windows updates and at times it referenced Silverlight activity.  Secondly, in numerous tests when Silverlight executes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows\System32\wdi folder. The files didn't specifically reference Silverlight but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity was consistent. In both cases, I opted to not include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts until it can be determined that this activity is directly associated with Silverlight being exploited.

     * MFT Timeline




     * Change Journal Timeline
 



Labels: