Triage Practical Solution – Malware Event – Prefetch $MFT IDS
Wednesday, December 9, 2015
1 comments
You are staring at your computer screen thinking how you are going to tell your ISO what you found. Thinking about how this single IDS alert might have been overlooked; how it might have been lost among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sea of alerts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various security products deployed in your company. Your ISO tasked with you triaging a malware event and now you are ready to report back.
To fill in those readers who may not know what is going on you started out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting providing background information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event. The practical provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following abbreviated scenario (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full scenario refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Triage Practical – Malware Event – Prefetch $MFT IDS):
The ISO continued “I directed junior security guy to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts that came in over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend. He said something very suspicious occurred early Saturday morning on August 15, 2015.” Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO looked directly at you “I need you to look into whatever this activity is and report back what you find.” “Also, make sure you document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process you use since we are going to use it as a playbook for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se types of security incidents going forward.”
Below are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions you need to answer and report back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO.
* Is this a confirmed malware security event or was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior analyst mistaken?
* What type of malware is involved?
* What potential risk does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware pose to your organization?
* Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available information, what do you think occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?
Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wealth of information available to you within an enterprise, only a subset of data was provided for you to use while triaging this malware event. The following artifacts were made available:
* IDS alerts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame in question (you need to replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provide pcap to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts. pcap was not provided for you to use during triage and was only made available to enable you to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts in question)
* Prefetch files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch.ad1 file)
* File system metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master File Table is provided for this practical)
Each enterprise’s network is different and each one offers different information for triaging. As such, it is not possible to outline all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible locations where this information could be located in enterprises. However, it is possible to highlight common areas where this information can be found. To those reading this post whose environments do not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locations I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can evaluate your network environment for a similar system containing similar information or better prepare your network environment by making sure this information starts being collected in systems.
* IDS alerts within an enterprise can be stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS/IPS sensors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves or centrally located through a management console and/or logging system (i.e. SIEM)
* Prefetch files within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system
* File system metadata within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system
Knowing where information is available within an enterprise is only part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. It is necessary to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information so it can be used for triaging. Similar to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between enterprises’ networks, how information is collected varies from one organization to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next. Below are a few suggestions for how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information outlined above can be collected.
* IDS alerts don’t have to be collected. They only need to be made available so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be reviewed. Typically this is accomplished through a management console or security monitoring dashboard.
* Prefetch files are stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system. The collection of this artifact can be done by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files off remotely or locally. Remote options include an enterprise forensic tools such as F-Response, Encase Enterprise, or GRR Rapid Response, triage scripts such as Tr3Secure collection script, or by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share since Prefetch files are not locked files. Local options can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same options.
* File system metadata is very similar to prefetch files because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same collection methods work for collecting it. The one exception is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS Master File Table ($MFT) can’t be pulled off by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share.
The last part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation is what tools one should use to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that is collected. The tools I’m outlining below are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones I used to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical.
* Security Onion to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts
* Winprefetchview to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files
* MFT2CSV to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT file
Before I dive into how I triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event I wanted to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approaches used by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to tackle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same malware event. I find it helpful to see different perspectives and techniques tried to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issue. I also wanted to thank those who took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to do this so ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs could benefit from what you share.
Matt Gregory shared his analysis on his blog My Random Thoughts on InfoSec. Matt did a great job outlining not only what he found but by explaining how he did it and what tools he used. I highly recommend taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to read through his analysis and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process he used to approach this malware event.
An anonymous person (at least anonymous to me since I couldn’t locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir name) posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analysis on a newly created blog called Forensic Insights. Their post goes into detail on analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet capture including what was transmitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote device.
The diagram below outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr workflow for confirming malicious code events. The workflow is a modified version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Securosis Malware Analysis Quant. I modified Securosis process to make it easier to use for security event analysis.
Detection: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code event is detected. Detection can be a result of technologies alerting on it or a person reporting it. The workflow starts in response to a potential event being detected and reported.
Triage: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detected malicious code event is triaged to determine if it is a false positive or a real security event.
Compromised: after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first decision point is to decide if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine could potentially be compromised. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is a false positive or one showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine couldn’t be infected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow is exited and returns back to monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is confirmed or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a strong indication it is real cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow continues to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.
Malware Identified: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is identified two ways. The first way is identifying what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is including its purpose and characteristics using available information. The second way is identifying and obtaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware sample from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual system to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and its characteristics.
Root Cause Analysis: a quick root cause analysis is performed to determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine was compromised and to identify indicators to use for scoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. This root cause analysis does not call for a deep dive analysis taking hours and/or days but one only taking minutes.
Quarantine: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is finally quarantined from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network it is connected to. This workflow takes into account performing analysis remotely so disconnecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is done at a later point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is initially disconnected after detection cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n analysis cannot be performed until someone eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r physically visits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine or ships cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine to you. If an organization’s security monitoring and incident response capability is not mature enough to perform root cause analysis in minutes and analysis live over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quarantine activity should occur once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision is made about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine being compromised.
To triage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario does not require one to use all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supplied information. The triage process could had started with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst saw or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files from system in question to see what program executed early Saturday morning on August 15, 2015. For completeness, my analysis touches on each data source and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information it contains. As a result, I started with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signature to ensure I included it in my analysis.
The screenshot below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signatures that triggered by replaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provided malware-event.pcap file in Security Onion. I highlighted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert of interest.
The IDS alert by itself provides a wealth of information. The Emerging Threats (ET) signature that fired was "ET TROJAN HawkEye Keylogger FTP" and this occurred when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine in question (192.168.200.128) made a connection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address 107.180.21.230 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP destination port 21. To determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert is a false positive it’s necessary to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature (if available) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet responsible for triggering it. The screenshot below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature in question:
The signature is looking for a system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $HOME_NET going to an external system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP port 21 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system has to initiate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection (as reflected by flow:established,to_server). The packet needs to contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string “STOR HAWKEye_”. The packet that triggered this signature meets all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se requirements. The system connected to an external IP address on port 21 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string of interest.
Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert is not a false positive. I performed Internet research to obtain more context about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event. A simple Google search on HawkEye Keylogger produces numerous hits. From You Tube videos showing how to use it to forums posting cracked versions to various articles discussing it. One article is TrendMicro’s paper titled Piercing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HawkEye: Nigerian Cybercriminals Use a Simple Keylogger to Prey on SMBs Worldwide and just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pictures in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper provide additional context (remember during triage you won’t have time to read 34 page paper.) The keylogger is easily customizable since it has a builder and it can delivery logs through SMTP or FTP. Additional functionality includes: stealing clipboard data, taking screenshots, downloading and executing ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files, and collecting system information.
Research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination IP address shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AS is GODADDY and numerous domain names map back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address.
When I review programs executing on a system I tend to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high level indicators below in mind. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se indicators have enabled me to quickly identify malicious programs that are or were on a system.
The collected prefetch files were parsed with Winprefetchview and I initially sorted by process path. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed prefetch files using my general indicators and I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program highlighted in red.
The program in question is suspicious for two reasons. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program executed from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporarily Internet files folder. The second reason and more important one was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program, which was OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE (%20 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encoding for a space). The name resembles a program trying to be disguised as a document. This is a social engineering technique used with phishing emails. To gain more context around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sorted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last Run time to see what else was executing around this time.
The OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE program executed on 8/15/15 at 5:33:55 AM UTC, which matches up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst mentioned. The file had a MD5 hash of ea0995d9e52a436e80b9ad341ff4ee62. This hash was used to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was malicious as reflected in an available VirusTotal report. Shortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r executable ran named VBC.exe but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process path was not reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file itself. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r prefetch files did not show anything else I could easily tie to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event.
At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question had network activity related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HawkEye Keylogger. The prefetch files revealed a suspicious program named OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE and it executed on 8/15/15 at 5:33:55 AM UTC. The next step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process is to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious software on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and to try to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata in a timeline to make it easier to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest.
For this practical I leveraged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT2CSV program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration below to generate a timeline. However, an effective technique - but not free - is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home plate feature in Encase Enterprise against a remote system. This enables you to see all files and folders while being able to sort different ways. The Encase Enterprise method is not as comprehensive as a $MFT timeline but works well for triaging.
In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline I went to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest, which was 8/15/15 at 5:33:55 AM UTC. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n proceeded forward in time to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r suspicious files. A few files were created within seconds of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE program executing. The files’ hashes will need to be used to determine more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m since I am unable to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.
The timeline cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VBC.EXE program executing followed by activity associated with a user surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.
The timeline was reviewed for about a minute after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program executed and nothing else jumps out. The next step is go back to 8/15/15 at 5:33:55 AM UTC in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline to see what proceeded this event. There was more activity related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet as shown below.
I kept working my way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browsing files to find something to confirm what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was actually doing. I worked my way through Yahoo cookies and cache web pages containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word “messages”. There was nothing definite so I continued going back in time. I worked my way back to around 5:30 AM UTC where cookies for Yahoo web mail were created. This activity was three minutes prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection; three minutes is a long time. At this point additional information is needed to definitely answer how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system became infected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. At least I know that it came from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet using a web browser. note: in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pcap file was meant for IDS alerts only so I couldn’t use it to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vector question.
The analysis is not complete without researching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious files discovered through triage. I performed additional research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE using its MD5 hash ea0995d9e52a436e80b9ad341ff4ee62. I went back to its VirusTotal report and noticed there didn’t appear to be a common name in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various security product detections. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were unique detection names I used to conduct additional research. Microsoft’s detection name was TrojanSpy:MSIL/Golroted.B and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir report said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware “tries to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information stored on your PC”. A Google search of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hash also located a Malwr sandbox report for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. The report didn’t shed any light on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files I found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.
The VBC.EXE file was no longer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system preventing me from performing additional research on this file. The pid.txt and pidloc.txt files’ hashes were associated with a Hybrid Analysis report for a sample with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MD5 hash 242e9869ec694c6265afa533cfdf3e08. The report had a few interesting things. The sample also dropped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pid.txt and pidloc.txt files as well as executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 REGSVCS.EXE as a child process. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same behavior I saw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata and prefetch files. The report provided a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r nuggets such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample tries to dump Web browser and Outlook stored passwords.
The triage process did confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was infected with malicious code. The infection was a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user doing something on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and additional information is needed to confirm what occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system for it to become infected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. The risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code tries to capture and exfiltrate information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system including passwords. The next step would be to escalate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response process so a deeper analysis can be done to answer more questions. Questions such as what data was potentially exposed, what did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user do to contribute to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack random or targeted, and what type of response should be done.
Triage Scenario
To fill in those readers who may not know what is going on you started out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting providing background information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event. The practical provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following abbreviated scenario (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full scenario refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Triage Practical – Malware Event – Prefetch $MFT IDS):
The ISO continued “I directed junior security guy to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts that came in over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend. He said something very suspicious occurred early Saturday morning on August 15, 2015.” Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO looked directly at you “I need you to look into whatever this activity is and report back what you find.” “Also, make sure you document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process you use since we are going to use it as a playbook for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se types of security incidents going forward.”
Below are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions you need to answer and report back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO.
* Is this a confirmed malware security event or was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior analyst mistaken?
* What type of malware is involved?
* What potential risk does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware pose to your organization?
* Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available information, what do you think occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?
Information Available
Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wealth of information available to you within an enterprise, only a subset of data was provided for you to use while triaging this malware event. The following artifacts were made available:
* IDS alerts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame in question (you need to replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provide pcap to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts. pcap was not provided for you to use during triage and was only made available to enable you to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts in question)
* Prefetch files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch.ad1 file)
* File system metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master File Table is provided for this practical)
Information Storage Location within an Enterprise
Each enterprise’s network is different and each one offers different information for triaging. As such, it is not possible to outline all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible locations where this information could be located in enterprises. However, it is possible to highlight common areas where this information can be found. To those reading this post whose environments do not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locations I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can evaluate your network environment for a similar system containing similar information or better prepare your network environment by making sure this information starts being collected in systems.
* IDS alerts within an enterprise can be stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS/IPS sensors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves or centrally located through a management console and/or logging system (i.e. SIEM)
* Prefetch files within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system
* File system metadata within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system
Collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Storage Locations
Knowing where information is available within an enterprise is only part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. It is necessary to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information so it can be used for triaging. Similar to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between enterprises’ networks, how information is collected varies from one organization to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next. Below are a few suggestions for how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information outlined above can be collected.
* IDS alerts don’t have to be collected. They only need to be made available so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be reviewed. Typically this is accomplished through a management console or security monitoring dashboard.
* Prefetch files are stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system. The collection of this artifact can be done by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files off remotely or locally. Remote options include an enterprise forensic tools such as F-Response, Encase Enterprise, or GRR Rapid Response, triage scripts such as Tr3Secure collection script, or by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share since Prefetch files are not locked files. Local options can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same options.
* File system metadata is very similar to prefetch files because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same collection methods work for collecting it. The one exception is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS Master File Table ($MFT) can’t be pulled off by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share.
Potential DFIR Tools to Use
The last part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation is what tools one should use to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that is collected. The tools I’m outlining below are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones I used to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical.
* Security Onion to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts
* Winprefetchview to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files
* MFT2CSV to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT file
Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs’ Approaches to Triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Event
Before I dive into how I triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event I wanted to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approaches used by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to tackle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same malware event. I find it helpful to see different perspectives and techniques tried to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issue. I also wanted to thank those who took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to do this so ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs could benefit from what you share.
Matt Gregory shared his analysis on his blog My Random Thoughts on InfoSec. Matt did a great job outlining not only what he found but by explaining how he did it and what tools he used. I highly recommend taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to read through his analysis and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process he used to approach this malware event.
An anonymous person (at least anonymous to me since I couldn’t locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir name) posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analysis on a newly created blog called Forensic Insights. Their post goes into detail on analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet capture including what was transmitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote device.
Partial Malware Event Triage Workflow
The diagram below outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr workflow for confirming malicious code events. The workflow is a modified version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Securosis Malware Analysis Quant. I modified Securosis process to make it easier to use for security event analysis.
Detection: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code event is detected. Detection can be a result of technologies alerting on it or a person reporting it. The workflow starts in response to a potential event being detected and reported.
Triage: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detected malicious code event is triaged to determine if it is a false positive or a real security event.
Compromised: after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first decision point is to decide if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine could potentially be compromised. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is a false positive or one showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine couldn’t be infected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow is exited and returns back to monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is confirmed or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a strong indication it is real cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow continues to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.
Malware Identified: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is identified two ways. The first way is identifying what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is including its purpose and characteristics using available information. The second way is identifying and obtaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware sample from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual system to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and its characteristics.
Root Cause Analysis: a quick root cause analysis is performed to determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine was compromised and to identify indicators to use for scoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. This root cause analysis does not call for a deep dive analysis taking hours and/or days but one only taking minutes.
Quarantine: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is finally quarantined from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network it is connected to. This workflow takes into account performing analysis remotely so disconnecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is done at a later point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is initially disconnected after detection cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n analysis cannot be performed until someone eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r physically visits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine or ships cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine to you. If an organization’s security monitoring and incident response capability is not mature enough to perform root cause analysis in minutes and analysis live over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quarantine activity should occur once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision is made about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine being compromised.
Triage Analysis Solution
To triage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario does not require one to use all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supplied information. The triage process could had started with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst saw or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files from system in question to see what program executed early Saturday morning on August 15, 2015. For completeness, my analysis touches on each data source and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information it contains. As a result, I started with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signature to ensure I included it in my analysis.
IDS alerts
The screenshot below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signatures that triggered by replaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provided malware-event.pcap file in Security Onion. I highlighted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert of interest.
The IDS alert by itself provides a wealth of information. The Emerging Threats (ET) signature that fired was "ET TROJAN HawkEye Keylogger FTP" and this occurred when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine in question (192.168.200.128) made a connection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address 107.180.21.230 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP destination port 21. To determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert is a false positive it’s necessary to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature (if available) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet responsible for triggering it. The screenshot below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature in question:
The signature is looking for a system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $HOME_NET going to an external system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP port 21 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system has to initiate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection (as reflected by flow:established,to_server). The packet needs to contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string “STOR HAWKEye_”. The packet that triggered this signature meets all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se requirements. The system connected to an external IP address on port 21 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string of interest.
Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert is not a false positive. I performed Internet research to obtain more context about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event. A simple Google search on HawkEye Keylogger produces numerous hits. From You Tube videos showing how to use it to forums posting cracked versions to various articles discussing it. One article is TrendMicro’s paper titled Piercing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HawkEye: Nigerian Cybercriminals Use a Simple Keylogger to Prey on SMBs Worldwide and just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pictures in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper provide additional context (remember during triage you won’t have time to read 34 page paper.) The keylogger is easily customizable since it has a builder and it can delivery logs through SMTP or FTP. Additional functionality includes: stealing clipboard data, taking screenshots, downloading and executing ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files, and collecting system information.
Research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination IP address shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AS is GODADDY and numerous domain names map back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address.
Prefetch files
When I review programs executing on a system I tend to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high level indicators below in mind. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se indicators have enabled me to quickly identify malicious programs that are or were on a system.
- Programs executing from temporary or cache folders
- Programs executing from user profiles (AppData, Roaming, Local, etc)
- Programs executing from C:\ProgramData or All Users profile
- Programs executing from C:\RECYCLER
- Programs stored as Alternate Data Streams (i.e. C:\Windows\System32:svchost.exe)
- Programs with random and unusual file names
- Windows programs located in wrong folders (i.e. C:\Windows\svchost.exe)
- Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around suspicious files
The collected prefetch files were parsed with Winprefetchview and I initially sorted by process path. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed prefetch files using my general indicators and I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program highlighted in red.
The program in question is suspicious for two reasons. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program executed from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporarily Internet files folder. The second reason and more important one was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program, which was OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE (%20 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encoding for a space). The name resembles a program trying to be disguised as a document. This is a social engineering technique used with phishing emails. To gain more context around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sorted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last Run time to see what else was executing around this time.
The OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE program executed on 8/15/15 at 5:33:55 AM UTC, which matches up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst mentioned. The file had a MD5 hash of ea0995d9e52a436e80b9ad341ff4ee62. This hash was used to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was malicious as reflected in an available VirusTotal report. Shortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r executable ran named VBC.exe but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process path was not reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file itself. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r prefetch files did not show anything else I could easily tie to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event.
File System Metadata
At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question had network activity related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HawkEye Keylogger. The prefetch files revealed a suspicious program named OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE and it executed on 8/15/15 at 5:33:55 AM UTC. The next step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process is to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious software on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and to try to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata in a timeline to make it easier to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest.
For this practical I leveraged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT2CSV program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration below to generate a timeline. However, an effective technique - but not free - is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home plate feature in Encase Enterprise against a remote system. This enables you to see all files and folders while being able to sort different ways. The Encase Enterprise method is not as comprehensive as a $MFT timeline but works well for triaging.
In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline I went to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest, which was 8/15/15 at 5:33:55 AM UTC. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n proceeded forward in time to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r suspicious files. A few files were created within seconds of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE program executing. The files’ hashes will need to be used to determine more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m since I am unable to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.
The timeline cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VBC.EXE program executing followed by activity associated with a user surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.
The timeline was reviewed for about a minute after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program executed and nothing else jumps out. The next step is go back to 8/15/15 at 5:33:55 AM UTC in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline to see what proceeded this event. There was more activity related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet as shown below.
I kept working my way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browsing files to find something to confirm what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was actually doing. I worked my way through Yahoo cookies and cache web pages containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word “messages”. There was nothing definite so I continued going back in time. I worked my way back to around 5:30 AM UTC where cookies for Yahoo web mail were created. This activity was three minutes prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection; three minutes is a long time. At this point additional information is needed to definitely answer how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system became infected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. At least I know that it came from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet using a web browser. note: in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pcap file was meant for IDS alerts only so I couldn’t use it to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vector question.
Researching Suspicious Files
The analysis is not complete without researching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious files discovered through triage. I performed additional research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE using its MD5 hash ea0995d9e52a436e80b9ad341ff4ee62. I went back to its VirusTotal report and noticed there didn’t appear to be a common name in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various security product detections. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were unique detection names I used to conduct additional research. Microsoft’s detection name was TrojanSpy:MSIL/Golroted.B and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir report said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware “tries to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information stored on your PC”. A Google search of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hash also located a Malwr sandbox report for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. The report didn’t shed any light on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files I found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.
The VBC.EXE file was no longer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system preventing me from performing additional research on this file. The pid.txt and pidloc.txt files’ hashes were associated with a Hybrid Analysis report for a sample with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MD5 hash 242e9869ec694c6265afa533cfdf3e08. The report had a few interesting things. The sample also dropped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pid.txt and pidloc.txt files as well as executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 REGSVCS.EXE as a child process. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same behavior I saw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata and prefetch files. The report provided a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r nuggets such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample tries to dump Web browser and Outlook stored passwords.
Triage Analysis Wrap-up
The triage process did confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was infected with malicious code. The infection was a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user doing something on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and additional information is needed to confirm what occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system for it to become infected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. The risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code tries to capture and exfiltrate information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system including passwords. The next step would be to escalate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response process so a deeper analysis can be done to answer more questions. Questions such as what data was potentially exposed, what did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user do to contribute to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack random or targeted, and what type of response should be done.
Posts
