Improving Your Malware Forensics Skills

Wednesday, June 25, 2014 Posted by Corey Harrell 6 comments
By failing to prepare, you are preparing to fail.

~ Benjamin Franklin

In many ways preparation is key to success. Look at any sporting event and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team who usually comes out on top are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones who are better prepared. I'm not just referring to game day; I'm also talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coaching schemes and building a roster. Preparation is a significant factor to one's success in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensic and Incident Response field. This applies to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire field and not just malware forensics, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of this post. When you are confronted with a system potentially impacted with malware your ability to investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system successfully depends on your knowledge, experience, and toolset.  This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a conundrum. There is a tendency for people not to do malware cases (eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r through being hired or within an organization) due to a lack of knowledge and experience but people are unable to gain knowledge and experience without working malware cases. The solution is through careful preparation one can acquire knowledge, experience, and toolset that can eventual lead to working malware cases. This post outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process I used and currently use to improve my malware forensics skills.

The process described in this post helped me to develop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills I have today. I even use a similar process to create test systems to help develop malware forensic skills in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (if you read this blog cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you have already seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of doing this). With that said, what I am describing is a very time consuming process. However, if you decide to replicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path I took it will be worth it and along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way you'll improve your malware forensic skills. This post is specifically directed at those wanting to take this step using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own resources and time. Those wanting to lose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR music.

Process, Process, Process


Malware forensics is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of examining a system to: find malicious code, determine how it got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, and what changes it caused on system. The first place to start for improving one's skills is by exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process one should use. The purpose of starting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process is twofold. First and foremost it is to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques, examination steps, and knowing what to look for. The second reason is to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various tools to use to carry out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. There are only a few resources available specific to this craft such as: Malware Forensics Field Guide for Windows Systems and Windows Forensic Analysis Toolkit, Fourth Edition. In addition, this has been an area on my radar to add one more book to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion but in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meantime my jIIr methodology page outlines my process and links to various posts. My suggestion is to first review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodology I put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r which is furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r explained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posts: Overall DF Investigation Process and End to End Digital Investigation. Afterwards, review one or two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books I mentioned. As you work your way through this material pay attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware forensic process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author uses or references.

When it is all said and done and you completed reviewing what you set out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n document a malware forensic process you want to use. If this sounds familiar cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r started reading jIIr from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning or you are one of my early followers. This is exactly what I described in my second and third posts Where to start? and Initial Examination Steps & First Challenge that I wrote almost four years ago. However, a lot of time has passed since I wrote those posts and I improved my process as outlined below:

     - Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 master boot record
     - Obtain information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system and its configuration
     - Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volatile data
     - Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system that were identified in volatile data
     - Hash cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system
     - Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs ran on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system
     - Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auto-start locations
     - Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host-based logs
     - Examine file system artifacts
     - Malware searches
     - Perform a timeline analysis
     - Examine web browsing history
     - Examine specific artifacts
     - Perform a keyword search
     - Examine suspected malicious files

Tools, Tools, Tools


After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process you want to use is documented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step is to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools you will use in each examination step. There are numerous tools you can use; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools mentioned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reference material, tools talked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bloggers in my blog roll, or tools you already have experience with. To be honest, what tools someone should use depends. It really depends on what you prefer and are comfortable with. The tools I started out with are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same ones I use today; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 important thing is each tool helped me learn and grow. Pick any tools you want as a starting point and over time you will start to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pros and cons of various tools.

Testing Environment


With your process and tools selected, now it is finally time to stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 researching/documenting and to actually use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process you documented and tools you selected. To do this you first have to set up a testing environment. There is an inherit risk to using virtualization for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware may be virtualization aware and behave differently than on real computer. However, despite this risk I highly recommend to use virtualization as your testing environment. It's a lot faster to create multiple test systems (by copying virtual machines) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snapshot feature makes it easier to revert mistakes. There are various virtualization options available with great documentation such as VirtualBox and VMware. Pick a virtualization platform and install it using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provided instructions.

Creating your VMs


Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r decision you'll need to make is what operating systems to perform your testing on. This not only includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system versions (i.e. Windows 7 vs Windows 8) but what processor to use as well (32 bit vs 64 bit). I ended up selecting VMware for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtualization software and Windows 7 32 bit as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing platform. You will need to create your first VM by installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system of your choice. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation try to make things easier for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to be compromised.

First disabled security features. This includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 built-in firewall and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account control. Next make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account you are using has administrative privileges. Next you will want to make your test system a very juicy target. To do this you'll need to install vulnerable client-side applications including: Adobe flash, Adobe Reader, Java, Silverlight, Microsoft Office, Internet Explorer, and a non-patched operating system. One place to grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se applications is Old Apps and to determine what versions to install pick cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones targeted by exploit kits. At a minimum, make sure you don't patch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS and install Java, Silverlight, Adobe reader, and Adobe flash. This will make your VM a very juicy target.

After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM is created and configured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you'll want to make multiple copies of it. Using copies makes things easier during analysis without having to deal with snapshots.

Manually Infecting Systems


The first approach to improving your skills is a manual method to help show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics. The purpose is to familiarize yourself with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts associated with malware executing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system you picked. These artifacts are key to be successful in performing malware forensics on a compromise system. The manual method involves you infecting your test VM and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n analyzing it to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts. The manual method consists of two parts: using known and unknown samples.

However, before proceeding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is very important configuration change. The virtual machine's network configuration needs to be isolated to prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware from calling home or attacking ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems.

Using Known (to you) Samples


Starting out it is better to practice with a sample that is known. By known I mean documented so that you can reference cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation in order to help determine what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware did. Again, we are trying to improve our ability to investigate a system potentially impacted with malware and not trying to reverse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. The documentation is just to help you account for what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware did to make it easier to spot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware running in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system.

The way to find known samples really depends. You could find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m using information on antivirus websites since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y list reports using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir malware naming convention. For example, Symantec's Threat Listing, Symantec's Response blog, Microsoft's Threat Reports, or Microsoft's Malware Encyclopedia to name a few. These are only a few but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a lot more out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re; just look at antivirus websites. The key is to find malware with a specific name that you can search on such as Microsoft's Backdoor:Win32/Bergat.B. Once you find one you like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical information to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware makes.

I suggested finding known malware by names first because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are more options to do this. A better route if you can find it is to use a hash of a known malware sample. Some websites share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hash of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are discussing but this doesn't occur frequently. A few examples are: Contagio Malware Dump, KernelMode.info, or MxLab blog. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option is to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public sandboxes for samples that people submitted such as Joe Sandbox or one listed on Lenny Zelster's automated malware analysis services list.

After you pick a malware name or hash to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step is to actually find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. Lenny Zelster has anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r great list outlining different malware sample sources for researchers. Anyone one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se could be used; it just needs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to search by detection name or hash. I had great success using: VirusShare, Open Malware, Contagio Malware Dump, and KernelMode.info.

Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of going through all of this is to improve your malware forensic skills and not your malware analysis skills. We are trying to find malware and determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection happened; not reversing malware to determine its functionality. Now that you have your sample just infect your virtual machine (VM) with it and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n power it down. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM  has any snapshots cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to make it easier.

Now that you have an infected image (i.e. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file) you can analyze it using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process you outlined and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools you selected. At this point you are making sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process and tools work for you. You are also looking to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts created during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection. You know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 behavior of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 known malware so don't focus on this. Malware is different and so will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir artifacts. Focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts created by a program executing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system you selected. Artifacts such as program execution, logs, and file system.

Using Unknown (to you) Samples


Using a known sample is helpful to get your feet wet but it gets old pretty quick. After you used a few different known samples it is not as challenging to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts. This is where you take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step by using an unknown (to you) sample. Just download a random sample from one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sources listed at malware sample sources for researchers.  Infect your virtual machine (VM) with it and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n power it down. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM  has any snapshots cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to make it easier.

Now you can start your examination using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same process and tools you used with a known malware sample. This method makes it a little more challenging because you don't know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware did to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system.

Automatically Infecting Systems


The manual method is an excellent way to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware forensic process. It allows you to get familiar with an examination process, tools, and artifacts associated with an infection. One important aspect about performing malware forensics is to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector which was used to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. The manual method infections always trace back to you executing malware samples so you need to use a different method. This method is automatically infecting systems to simulate how real infections appear.

Before proceeding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a very important configuration change. The virtual machine's network configuration needs to be connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. This can be done through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NAT or bridged configuration but you will want to be in a controlled environment (aka not your company's production network). There are some risks with doing this so you will need to take that into consideration. Personally, I accept this risk since improving my skills to help protect organizations is worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade off.

Using Known Websites Serving Malware


In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 automatically infecting systems approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first method is to use a known website serving malware. There are different ways to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se websites. I typically start by referring to Scumware.org (FYI, site hates Internet Explorer), Malc0de database, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Domain List. In both instances I look for URLs that point to a malicious binary. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources you can use are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones listed by Lenny Zelster on his Blocklists of Suspected Malicious IPs and URLs page. Again, you are trying to find a URL to a site hosting a malicious binary. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, source you shouldn't overlook is your email SPAM/Junk folder. I have found some nice emails with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious attachments or malicious links. Lastly, if you pay attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current trends being used to spread malware cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can found malicious sites leveraging what you read and Google. This is a bit harder to pull off but it's worth it since you see a technique currently being used in attacks.

Inside your VM open a web browser, enter in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL you identified, and if necessary click any required buttons to execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary. Wait a minute or two for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to run and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n power it down. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM  has any snapshots cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to make it easier.

Now you can start your examination using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same process and tools you used with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manual approach. The purpose is to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector. Infecting a VM in this manner simulates a social engineering attack where a user is tricked into infecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. If a SPAM email was used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it simulates a email based attack.

To see how beneficial this method is for creating test images to analyze you can check out my posts Examining IRS Notification Letter SPAM and Coming To A System Near You. The first post simulates a phishing email while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 later simulates social engineering through Google image search.

Using Potentially Malicious Websites


The second method in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 automatically infecting systems approach is to use potentially malicious websites. This method tries to infect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM through software vulnerabilities present in eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system or installed client-side applications. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most time consuming out of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methods I described in this post. It's pretty hard to infect a VM on purpose so you will end up going through numerous URLs before hitting one that works. This is where you may need to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM snapshot feature.

To find potentially malicious URLs you can look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Domain List. Look for any URLs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current or previous day that are described as exploit or exploit kit as shown below. You can ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older URLs since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are most likely no longer active.


Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option I recently discovered but haven't tried yet is using information posted at Malware-Traffic-Analysis.net. The site doesn't obfuscate websites used so you may be able to use it to find active websites serving up exploits. The last option I'm sharing is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URLs ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are submitting to URLQuery.net. Just keep in mind, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are certain things that can't be unseen and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some really screwed up people submitting stuff to URLQuery. When reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submitted URLs you want to pay attention to those that have detections as shown below:


After you see a URL with detections cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you'll need to examine it closer by reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URLQuery report. To save yourself time, focus on any URLs whose reports mention: malicious iframes, exploits, exploit kits, or names of exploit kits. These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better candidates to infect your VM. The pictures below show what I am referring to.






Before proceeding make sure your VM is powered on and you created a snapshot. The snapshot comes in handy when you want to start with a clean slate after visiting numerous URLs with no infection. An easy way to determine if an infection occurred is to monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts. One way I do this is by opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows\Prefetch folder with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 items sorted by last modification time. If an infection occurs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n prefetch files are modified which lets me know. Now you can open a web browser inside your VM, enter in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL you identified, and monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts (i.e. prefetch files). If nothing happens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n move on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next URL. Continue going through URLs until one successfully exploits your VM. Upon infection wait a minute or two for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to run and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n power it down. Make sure you delete any snapshots to make it easier.

Now you can start your examination using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same process and tools you have been using. The purpose is to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector. The initial infection vector will be a bit of a challenge since your VM has various vulnerable programs. Infecting a VM in this manner simulates a drive-by which is a common attack vector used to load malware onto a system. To see how beneficial this method is for creating test images you can check out my post Mr Silverlight Drive-by Meet Volatility Timelines (FYI, I suspended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM to capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmem file in addition instead to powering it down to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk image).

Summary


Benjamin Franklin said "by failing to prepare, you are preparing to fail." To be successful when confronted with a system potentially impacted with malware we should be preparing for this moment now. Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to improve our malware forensic skills including our process, tools, and knowledge of artifacts. Making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right preparations so when game day approaches we will come out on top. The process I use to improve my malware forensic skills and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I described in this post is not for everyone. It takes time and a lot of work; I've spent countless days working through it. However, working your way through this process you will attain something that can't be bought with money. There is no book, training, college course, or workshop that can replicate or replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills, knowledge, and experience you gain through careful preparation by training yourself.

Review of Windows Forensic Analysis 4th Edition

Sunday, June 15, 2014 Posted by Corey Harrell 5 comments
About a month ago I finished reading Windows Forensic Analysis 4th Edition by Harlan Carvey. Due to personal obligations I was unable to post my WFA 4/e review until now. All in all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4th edition is good update to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Forensic Analysis series.

It's an Update and Not a Companion Book


I think it is necessary to first address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expectations for WFA 4/e. In my Review of Windows Forensic Analysis 3rd Edition I mentioned " at first I was worried about reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same information I read in Windows Forensic Analysis 2nd Edition or Windows Registry Forensics but my worries were unfounded. The author has said numerous times WFA 3/e is not a rewrite to his ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r books and is a companion book." In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WFA series, Syngress has kept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same title and just increased cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edition number. In a way, this can have an impact on people's expectations. WFA third edition was a complete rewrite of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition. This meant cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books were complimentary and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third edition didn't contain any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous material from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second. I can see how this can create an expectation that with each new edition it will follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same path. However, this is not how newer editions are typically done since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y usually contain updated material and are not complete rewrites. With WFA 4/e cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is not a complete rewrite but it does contain some great updated content. This review is focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 updated content since I already discussed some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material in my WFA 3/e review.

Don’t Overlook cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Materials Accompanying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Book


There are very few DFIR authors who not only produce content outlining processes and artifacts but also create and release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary tools to carry out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y described. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR authors I've read (including training content authors) usually point people to tools created by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. They don't provide tools of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own or source code to help you better understand how artifacts are parsed. When reviewing a DFIR book it's necessary to take into consideration cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book as a whole including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 materials provided with it. This is one area where I think Harlan excels and it's something I always liked about his work. The material for his books contain a wealth of resources from cheat sheets to open source tools to explanations about how to do something.

Along with WFA 4/e Harlan provided new and updated material to accompany cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more notable mentions are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new plug-ins for RegRipper (link to most recent version at time of this post). Seriously, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are so many updates that you'll really need to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 updates.txt file he provides. Some plug-ins were updated to support Wow6432Node, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs had alerts added, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a bunch of new plug-ins. Besides RegRipper cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are tools (and source code) to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf, index.dat, and $UsnJrnl to name a few.

It's not always about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chapter 5 folder cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a file called usbdev.pdf. This document outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 USB device analysis including what RegRipper plug-ins pull what, how various registry values tie togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information to perform this analysis. The Chapter 9 folder contains even more documents related to report writing. Hands down, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material provided with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is outstanding.

Tying Things Togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r


One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 updates to this edition are two new chapters that tie things togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. First is Chapter 8 Correlating Artifacts while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second is Chapter 9 Reporting. To be successful in DFIR one needs to be able to tie information togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r from different sources to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions presented to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This is why I really like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se updated chapters. Throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Harlan discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 significance of various Windows artifacts and clearly explains how those artifacts can help a case. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts are discussed individually to make it easier to understand. The Correlating Artifacts chapter is where things are tied togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Various artifacts are brought togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to illustrate how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y contain can help address certain questions. The sample questions addressed are ones commonly encountered on various types of cases such as: correlating Windows shortcuts to USB devices, detecting system time changes, and determining data exfiltration. Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information contained from different artifacts to make sense of it is really what we do in DFIR. The information was laid out in a clear manner and followed up with how to communicate your findings in reporting.

Overall Thoughts


As I said before, all in all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4th edition is good update to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Forensic Analysis series. There are updates throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book including some Windows 8 artifacts and on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back end it's completely new content. The book materials are loaded with new goodies. Personally, I tend to shy away from purchasing updated editions that contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same material as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous edition with updates. However, I took a chance with WFA 4/e (based on who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author is) and I wasn't disappointed with my purchase.
Labels:

Malware Root Cause Analysis Dont Be a Bone Head Slide Deck

Tuesday, June 3, 2014 Posted by Corey Harrell 0 comments
Today I gave a presentation titled Malware Root Cause Analysis Don't Be a Bone Head at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New York State Cyber Security Conference. This presentation was a follow-up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation I gave last year titled Finding Malware Like Iron Man. Last year I laid out a triage process to find malware and this year I went into more depth discussing how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. This post contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following for my talk: CFP, slide deck, and video I showed.

CFP


Computer users are confronted with a reoccurring issue every day. This happens regardless if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is an employee doing work for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir company or a person doing online shopping trying to catch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summer sales. The user is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next thing you know it is infected with malware. Even Hollywood is not immune to this issue as illustrated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TV show Bones.  The most common action to address a malware infection is to reimage, rebuild, and redeploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system back into production.  Analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to understand where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware came from is not a priority or goal.

Root case analysis needs to be performed on systems impacted by malware to improve decision making. The most crucial question to answer is how did this happen since it will determine if we were targeted and more importantly what can be done to mitigate this from re-occurring. Last year, in my presentation Finding Malware Like Iron Man I explored cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step in root cause analysis, which is locating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. The next step in root cause analysis is to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware's source.

In this technical presentation Corey will discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root cause analysis process to determine how malware infected a computer running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows operating system. The topics will include: why perform root cause analysis, how not to perform root cause analysis,  compromise root cause analysis model, attack vector artifacts, and scenarios.

Slide Deck


Malware Root Cause Analysis Don't Be a Bone Head slides viewable online

Malware Root Cause Analysis Don't Be a Bone Head slides PDF file

Video


I chopped up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bones TV episode The Crack in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Code (Season 7 episode 6) I purchased through iTunes. However, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 segment I used in my presentation. For your viewing pleasure here is "Malware on Bone".