Finally... Timeline Analysis Links

Tuesday, February 22, 2011 Posted by Corey Harrell 0 comments
Finally

As I’m writing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first paragraph of a paper for my Masters of Science program cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only thought that keeps running through my mind is finally. I finally reached not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last week of class but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last week of my master’s program. In a few days I will finally complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSIA program when I submit my paper and my experience -not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge- will gradually become a distant memory.

The second thought to run through my mind was everything on my to do list. My list has been piling up over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 months and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more recent items on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of my blog posts over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few weeks. This will hopefully change once I’m done with school and a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future posts will cover some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I’m looking at including Java vulnerability exploit artifacts, my introduction to log analysis, and possibly a new crime scene camera that people are putting into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir homes.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meantime here are a few links about timelines.

Timeline Analysis Links

Kristinn has an excellent post about analyzing timelines which can be found here. I previously blogged about reviewing timelines with Excel (post is here) and Calc (post is here). I created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timelines using mactime and redirected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output to a csv file which I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n imported into Excel. Kristinn approaches analyzing timelines with Excel a different way. Kristinn mentioned that filtering is not optimal with mactime and Excel so he uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSV output module in log2timeline to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limitations I found with Excel was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of variables you can filter on using basic filters (Calc had a higher limit but it was still only eight variables). This was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons I looked into using advanced filters, Kristinn's approach is really interesting since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSV module breaks up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description field which makes it easier to filter on using basic filters. His write-up is very informative and educational. Trying out this approach has been added to my to do list. Kristinn, thanks again for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up and sharing this information.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downsides to being state public sector employee – especially for New York state- is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of funds to attend trainings and conferences. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main reason why I like when speakers share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir conference presentation slides since it lets people who couldn’t attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference (aka me) to see some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presented material. Mandiant posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir DoD Cyber Crime 2011 presentations and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m was Rob Lee’s Super Timeline Analysis presentation. My biggest take away from Rob's slides was his research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows time rules (I was already familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r content in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides since I read Rob's post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANs forensic blog about supertimelines and volume shadow copy timelines). The Windows time rules (slides 15 and 16) outline how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Standard Information Attribute and Filename Attribute are changed by actions taken against a file. For example, you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes to a file's timestamps when it is moved locally as compared being moved to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r volume. The charts are a great reference and thank you Rob for sharing this information.

(Almost) Cooked Up Some Java

Monday, February 7, 2011 Posted by Corey Harrell 4 comments
I was working on a computer a few weeks ago (non-work related issue) when my antivirus scanner flagged two files. The names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two files were 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032; both files were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sun Java cache folder. The first time I came across this type of artifact I mentioned it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr post Anatomy of Drive-by Part II. This time around things were different because I didn’t have to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 antivirus software marked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2010-0094 exploit. I thought this known Java exploit was a good candidate for a sample to practice on. Not only could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample be used to learn how to analyze Java exploits with REMnux but it could also be used to try out a few recipes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analyst’s Cookbook. This post is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 files which consists of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

        * Understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache folder
        * Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDX File
        * Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File
        * Extract Java Source from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File
        * Examine Java Source

Understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache folder

The 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 files were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following folder: Users\\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\. This folder is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default location where Java stores temporary files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files can be executed faster in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. The picture below highlights where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary file location can be changed from its default value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel. Note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture was taken from a Windows XP system but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 samples came from a Windows 7 system which is why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path shown below is different than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I mentioned.

Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDX File

The storage location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are temporary files. The files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache folder with an extension of IDX are Java applet cache index. The index tracks information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache folder such as: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s name, URL cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from, IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last modified date of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, and what appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was downloaded. The picture below shows this information stored in an index file I grabbed from my Java cache folder. Note: Skillport is a legitimate website so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information below is not malicious.

The temporary files’ indexes can be viewed using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 View button in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 button is to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Settings button in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel above). I verified this by comparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of an IDX file on my computer with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel viewer. The picture below highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDX file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 viewer.

As can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture above, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache Viewer doesn’t provide all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that’s available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index file. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last modified date only shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index file also contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache Viewer not showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address is present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index.

The 2371d6c6-2a6da032.idx file is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file and this index provides valuable information about where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file’s index (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was viewed using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vi text editor in REMnux).

The index file contains some valuable information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file and some of that information is listed below.

        * Filename: 7909df6ac8d.jar
        * URL where file came from: hxxp://partersl(dot)com/new/2fcf33c783
        *File size: 23996
        * File's last modified date: Wed Oct 27, 2010 14:44:55 GMT
        * IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer where file came from: 91.213.217.35
        * Web software involved: Apache
        * Deploy request content type: application/ java archive
        * Date when file was downloaded: Sun Oct 31, 2010 21:49:25 GMT

Side note: I conducted a few tests on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download date. I'm not sure if any actions alter this date but during my testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date didn’t change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same file was accessed on a server at a later time.

Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File

The 2371d6c6-2a6da032.idx file provided some interesting information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r research could be done on some of this information such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address or domain names; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analyst Cookbook has a few recipes for this type of research. The index file indicated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file was an application/java archive but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information about what was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file's purpose. A closer examination was needed to find out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s purpose.

JAR files are package with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ZIP file format; this means JAR files can be used for ZIP tasks such as archiving files. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 JAR file is an archival. I wanted to become more familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JD-GUI program so I downloaded it to REMnux in order to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file (I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .jar extension when I had an issue with JD-GUI not seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file).

A JAR contains a manifest which “is a special file that can contain information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files packaged in a JAR file”. The information contained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manifest enables cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file to be used for multiple purposes. This also means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manifest can help determine what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of an unknown JAR is. The picture below shows 2371d6c6-2a6da032 file’s manifest.

The 2371d6c6-2a6da032.idx file indicated this JAR was an application and if an application is bundled in a JAR file cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re needs to be a way to indicate which class file within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application’s entry point. The entry point is identified using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Main-Class header and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture above shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main class is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 starting point for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bundled application. This information established cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 starting point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eight class files.

Extract Java Source from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File

The SANs Internet Storm Center posted an entry -Java Exploits- and this post discussed how Java exploits can be analyzed. To examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class files a Java decomplier is required in order to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files. I wanted to become familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jad decomplier in REMnux so I attempted to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Java Exploits.

The class files were unzip from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR.

Jad was used to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following error was encountered.

I looked into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error and came across a forum that stated jad has issues handling Java 5.0. To get around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue I used JD-GUI to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code.

Examine Java Source Code

This post is called (Almost) Cooked Up Some Java because I wasn't successful in examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source code. I wanted to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6-2 recipe in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analyst Cookbook to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit could be identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java code. This would have completed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 files. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit wasn't identified because of an error running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code. I received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error when running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code through jsunpack-n and spidermonkey (REMxun has both programs). The screenshots of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errors are shown below.


The error referenced a missing semicolon but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't a semicolon missing. I even ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source code through Wepawet to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result would be different but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site doesn't show if an error occurred similar to jsunpack-n. I reached out for help on this issue and someone helped identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code causing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errors. The lines had string variables with values containing numbers. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers were removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error would disappear. However, removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers wasn’t a solution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error so this meant I couldn’t examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source code.

               ******** Update ********

A reader responded and pointed out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errors were due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs I was using. Spidermonkey and jsunpack-n are used to analyze Javascript instead of Java code. Thank you again to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader who took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to contact me.

I was hoping someone would see what I was doing wrong because I still wanted to know how to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java code in order to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit and its payload. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are any more updates to this post in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, I'll put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summary.


               ******** Update ********

At this point I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step could be to conduct a few searches using keywords from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file. I performed a few quick searches using different combinations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file. I wasn’t able to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same 2371d6c6-2a6da032 file but I found ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files that had similar class file names. A few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search hits are listed below.

        * Oct 7, 2010: JAR file was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no detections
        * Oct 29, 2010: JAR file was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no detections
        * Oct 31, 2010: 2371d6c6-2a6da032 file being examined was downloaded
        * Dec 06, 2010: JAR file was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was one detection
        * Dec 23, 2010: Microsoft Malware Protection write-up on TrojanDownloader:Java/Rexec.C
        * Feb 03, 2010: 2371d6c6-2a6da032 file being examined was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were numerous detections

Summary

The Java cache folder is one location on a system where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could be artifacts of a Java exploit. The folder’s location can be changed but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default location for Windows 7 is \\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\ while Windows XP is \\Application Data\Sun\Java\Deployment\cache\6.0.

For each temporary file downloaded into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache folder will result in two files being present. One file will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual temporary file while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second file will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java applet cache index for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary file. The index tracks information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary file such as: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s name, URL cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s last modified date. The temp file and its index can provide valuable information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s purpose and where it came from.

Now back to my examination. I was unable to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java code in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few quick Google searches I performed didn’t provide a good hit (around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of 10/31/2010) to confirm my suspicions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. However, I was able to quickly confirm my suspicions using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index file. A quick Google search of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address 91.213.217.35 resulted in a hit for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malc0de database. The Malc0de database entry is shown below.

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first entry was on 11/01/2010 which was one day after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file was downloaded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The database entry contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address and domain that was tracked in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx file.

For anyone interested here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VirusTotal report about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file. The report analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file three months after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was downloaded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I was looking at.

Forget The Beer I Will Take Wine

Thursday, January 27, 2011 Posted by Corey Harrell 4 comments
Wine is a program that lets Windows software run on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r operating systems. This means Wine can be used to run Windows only forensic or malware analysis tools on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation and REMnux. It’s so easy to get Wine up and running I wasn’t even sure if a blog post was needed. However, it never hurts to be informed. Here's a quick post on installing Wine and running Windows tools on Sift and REMnux.

Install Wine

The Sift v2 workstation and REMnux v2 both were built using Ubuntu Linux. The Wine website shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different options for installing Wine on Ubuntu including using repositories, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se options require cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift and REMnux to have Internet access. I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line option since it only involved running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following commands:

          * sudo add-apt-repository ppa:ubuntu-wine/ppa
          * sudo apt-get update
          * sudo apt-get install wine1.3
               - Enter Yes to proceed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation

That’s right, just three commands to install Wine. The next few pictures show Wine being installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation.






Running Windows Programs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift and REMnux

Wine can be used to run standalone Windows programs or programs that require an installation process. I wanted Wine so I could run a few standalone Windows programs so this post won’t cover installing a program in Wine (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wine website has information on this topic). To run a standalone Windows program cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program needs to be launched with Wine. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs I’ve tested run without any issues but a couple programs required some tinkering. The pictures below show Windows programs running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift and REMnux.

First up is Nirsoft’s IEHistoryView running on Sift.


Next is McAfee’s BinText running on REMnux.


Here is PEID running on REMnux.


As I mentioned before, not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows programs will run without any issues. For example, Digital Detective’s Dcode program fails to run because of a missing dll. This is shown below with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missing dll highlighted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red box.


A quick search on a Windows system locates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 msvbvm60.dll in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows\System32 folder (this search was done on a Windows XP system). To fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missing dll error, just copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 msvbvm60.dll from a Windows system to Wine’s Windows\System32 folder as shown below.


Now here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture of Dcode running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift. Some messages appear while Dcode runs so testing has to be done to make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program still converts all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dates properly.



REMnux and Sift are great distributions since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y come preconfigured with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools I use. My main platform is Windows so REMnux and Sift save me a lot of time because I don’t have to setup my own Linux environments. At times I find myself switching between Windows and Linux to run certain tools. Wine gives me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option of bringing a few Windows tools over to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux so I won’t have to switch between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two operating systems as much.


Labels:

Forensicator Readiness

Sunday, January 23, 2011 Posted by Corey Harrell 0 comments
I attended a lot of trainings as a communications technician in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marines. There were formal trainings by outside parties, organized trainings by my unit, and formal education on my own to hone my troubleshooting skills. The goal of all of those trainings was to prepare me to perform my job regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation I might face. Even though I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marines, I carried over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same mentality to my career in information security especially for digital forensics. Using a mixture of formal education, paid training, and a lot of self training to ensure I'm capable of performing my job regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation I might encounter. However, outside of forensic challenges or forensic datasets I never had an organized way to approach self training until I wanted to learn about incident response investigations. This post will explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach I've been using but haven't documented until now.

Forensicator readiness is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method I've been using to help prepare myself to be able to investigate any situation regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances. If someone said "I need you to help figure out what caused this incident” I wanted to be able to hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground running. This is better than having to reply with "I'd like to help out but first I have to attend a training which by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way costs a few thousand dollars". I'm sharing my approach because I think it might be useful to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Experienced analysts/examiners can use it to learn how to investigate new types of cases or students can use it to help prepare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might face. Forensicator readiness consists of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following six steps:

          * Pick a Scenario
          * Establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Scenario’s Scope
          * Collect Digital Information
          * Examine Digital Information
          * Scenario Simulation
          * Identify Areas for Improvement

Ever since I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alexiou Principle (as described by Chris Pogue here and here) I've been using it in my cases. The principle has been helpful in planning out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation and keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation on track. I thought if it works for actual cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it should work for simulations. Well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principle does work in simulations so I use it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensicator readiness steps.

Pick a Scenario

There is always something to learn in digital forensics whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it’s a student studying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field in school or a forensicator who has been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field for a number of years. It could be trying to understand how to investigate different types of cases, how to examine new data, or how to extract data from certain devices. The first step is to pick a scenario containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 item or situation of what is to be learned. The scenario could be based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common types of cases processed in your organization or on a potential situation someone might need to investigate. A few scenario examples are: data leakage through USB device, sexual harassment involving company email, or a malware infected server.

Next a determination needs to be made to see if it’s possible to set up test systems to simulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario. Research is completed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, examination, and simulation steps and systems will be needed to run a few tests on. For example, I’d like to learn how to investigate a hacked database server. Unfortunately, I can’t use this scenario since I can’t simulate a SQL injection attack against a test database server. As a result, my focus is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenarios I can simulate in a test environment such as a malware infected system.

Having a scenario by itself isn’t enough because an end goal hasn’t been established; what is trying to be accomplished. This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first question of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alexiou principle comes into play which is “what question are you trying to answer”. Identify a few potential questions to help guide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two potential questions of a suspected malware infected system I've been using are: is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system infected and how did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system become infected. The two questions identify what I’m trying to accomplish and helped guide my research in investigating a malware infected system.

Establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Scenario’s Scope

The selected scenario has an end goal and can be replicated in a test environment. The next step is to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment going to be one computer or multiple computers? What operating systems are going to be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re going to be any networking devices such as routers, switches, or firewalls? Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r consideration when determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment is what resources are available. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary hardware and software to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment? I'd like to be able to simulate a test environment of over 20 machines for my malware scenario but I can’t pull it off due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of resources. I had to settle on just a few test systems and I’m still able to simulate my scenario. The above questions are only some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that have to be considered when scoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment.

Setting up of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few steps may take some time. Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time required, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of setting up your own environment is learning about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology as you install and configure it. For example, if your scenario requires a web server running IIS (Windows Internet Information Service) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n setting up IIS will provide a better understanding of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default settings are and how it can be configured.

Collect Digital Information

At this point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario has been identified, goals have been established, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment has been identified. The next step is to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital information. The second question in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alexiou principle states “what data do you need to answer that question”. The data sources in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment need to be evaluated to determine which ones can help you answer your question(s). The data sources could include hard drives, memory, logs, or captured network traffic.

Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sources of interest are identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it’s time to research how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sources should be collected and what tools can be used. The amount of research required for this step will depend on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person conducting this exercise. In some instances, a person will already have a procedure in place for collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sources and will have knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to use so additional research may not be necessary. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person may be facing a new data source(s) so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re won’t be a procedure for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person won’t have knowledge about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to use. For example, in one of my scenarios I wanted to collect a hard drive and volatile data. I had experience with hard drives but collecting volatile data was new. I conducted research with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intention of modifying my collection procedures to include volatile data. The research involved reviewing RFC 3227, forensic books, blogs, and forums to determine what procedural steps were required to collect volatile data and what tools could be used to acquire volatile data from a system.

The new procedural steps and tools will need to be evaluated to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work as intended. This evaluation will require a small test environment. Continuing with my volatile data example, I tested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 procedural steps I researched and my list of tools to see which one best met my needs. I ran a few tests against Windows XP virtual machines by acquiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volatile data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This not only allowed me to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps were correct and what tool worked best but it also showed me what changes I had to make to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection steps.

Examine Digital Information

At this point it's time to identify and extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data required to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario questions. Continuing on with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alexiou principle's second question “what data do you need to answer that question”; this question can furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data needed to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions. The data sources have already been identified so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next part is to identify what information in those data sources can answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions. For example, in my scenario one of my data sources was volatile data so I had to figure out what information I needed from it. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 running processes, established network connections, and loaded drivers. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sources is identified, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third Alexiou principle comes into play which is "how do you extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data". Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volatile data example, this would be determining how to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 established network connections, loaded drivers, and running processes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.

As might be expected, research has to be conducted to decide what information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sources is needed to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions and how that information can be extracted. The same types of references used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection step can be used such as blogs, forums, and forensic books.

Similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection step, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new examination steps and tools need to be evaluated to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work as intended. The evaluation can use available forensic datasets or a small test environment. Forensic datasets can be used for testing different types of data sources and this is a faster option cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n setting up a test environment. The datasets available for testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination steps and tools for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volatile data example include: NIST CFReDS Project, Forensic Educational Datasets, Honeynet Challenges, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory images on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Incident Response blog. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't an available dataset cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a small test environment has to be set up. The fourth question of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alexiou principle is "what does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data tell you". This question should be kept in mind during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evaluation because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination steps and tools are to extract information needed to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario questions. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information doesn't help answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n additional research may have to be performed so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination steps and tools can be adjusted.

Scenario Simulation

This step is where all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard work of researching and evaluating pays off. The scenario simulation is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment is created and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario is simulated in that environment. The first scenario I've been working with is a computer infected with malware, and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ways I simulated this scenario was by visiting known malicious websites with a computer running vulnerable software. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario is simulated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step is to treat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test environment like a real investigation. The data sources of interest get collected, and information is extracted from those sources to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario's questions.

Identify Areas for Improvement

Now that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dust has settled from investigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario in a test environment; it's time to reflect back on what was done. The purpose of this step is to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is anything to improve upon. A few things for consideration are: did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools perform as expected, were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 procedures correct, what didn't work, and what can be done better. Something else to keep in mind during this reflection is to decide if any additional research has to be performed on any artifacts in order to get a better understanding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. During my simulation, I didn't have a good understanding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vector artifacts such as those left by exploits. I spent some time researching a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts so I'd have a better understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time I come across a similar artifact.

Summary

There isn’t a set time table to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensicator readiness steps. It could take days, weeks, or months to complete. The time all depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario and how much of an understanding someone wants. People prepare for things differently and forensicator readiness is no different. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps can accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end goal of preparing someone to investigate an incident regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances - like it did for me- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process has served its purpose.

So when someone said to me "I need your help to figure out what caused this infection"; I was ready to rock and roll. I’ve been successful numerous times locating malware on systems and identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vector that put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems. A few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vectors were: a malicious email attachment, a drive-by download using a malicious PDF, and third party content pointing to a website hosting Windows help center and Java exploits. I don't think my success is a string of luck. It's due to my preparation for a situation I thought I would face sooner or later. It just so happened to be sooner than I was expecting.
Labels:

Autoplay and Autorun Exploit Artifacts

Monday, January 10, 2011 Posted by Corey Harrell 0 comments
Artifact Name

Autoplay & Autorun Exploit Artifacts

Attack Vector Category

Exploit

Description

Microsoft stated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main purpose of Autorun is "to provide a software response to hardware actions that you start on a computer". The software response is to start media or applications on a computer when a drive is mounted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system. Prior to Windows XP, Windows only had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autorun feature which would start items based on commands in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive.

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of Windows XP, a new feature called autoplay was included and this feature is enabled by default starting with XP SP2. Autoplay will review a mounted drive for content such as multimedia and will prompt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to display cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate application. Autoplay will start to examine a drive as soon as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive is mounted and will parse an autorun.inf file if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 is present.

The Autorun and Autoplay features have been leverage to automatically start malicious software. One example of this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 w32/Autorun.worm.g (McAfee’s detection). According to McAfee’s write-up, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worm spreads using an autorun.inf to automatically start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worm when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media (removable media or network shares) is connected to a computer.

Attack Description

1. Create an autorun.inf file with a command to launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intended application.

2. Place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of a drive that will be mounted such as removable media or a network share.

3. Place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application in a location where it can be executed.

4. Have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive mounted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target computer in order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file to be parsed.

Exploits Tested

Two custom autorun.inf files, one file used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellexecute command. A renamed Windows command prompt was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload of both files.

The open command specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application to be started when a drive is mounted. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire autorun.inf file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command.

The shellexecute command uses file association to determine what application is used to launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire autorun.inf file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellexecute command.

Target System Information

* Two Windows XP SP3 virtual machines using an administrative user account (one VM was used for each autorun.inf)

* Two Windows XP SP3 virtual machines using an administrative user account (one VM was used for each autorun.inf)

* Two Windows XP SP2 virtual machines using an administrative user account (one VM was used for each autorun.inf)

* Two Windows XP SP2 virtual machines using an administrative user account (one VM was used for each autorun.inf)

Different Artifacts based on Administrator Rights

No

Different Artifacts based on Tested Software Versions

No difference between XP SP2 and XP SP3

Potential Artifacts

The potential artifacts include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system environment. The artifacts can be grouped in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following two categories:

        * Windows Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autorun.inf File
        * Registry Modification When Autoplay Window Closes

Note: The testing to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit artifacts involved using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autoplay window in XP SP3 while in XP SP2 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removable media icon in My Computer was double clicked to launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload. There were minimal exploit artifacts as compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery mechanism (removable media) and payload (Windows command prompt). The identified artifact  filenames and values are inside of brackets in order to distinguish what may be unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment.

        * Windows Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autorun.inf File

Windows makes modifications under \Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{GUID}\ registry key of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account that mounted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive. The modifications are made based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file. The picture below highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry modifications.


           - Autorun.inf action command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\Shell\AutoRun\command\(Default). [data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command was E:\dmc-test.exe while data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellexecute command was C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL dmc-test.exe]

           - Autorun.inf icon command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\_Autorun\DefaultIcon\(Default). [data was E:\dmc-test.exe,0]

           - Autorun.inf shell open command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\Shell\open\command\(Default). [data was E:\dmc-test.exe]

           - Autorun.inf shell explore command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\Shell\explore\command\(Default). [data was E:\dmc-test.exe]

           - Data in MountPoints2\{GUID}\Shell\Autoplay\DropTarget\CLSID was modified. [data was {f26a669a-bcbb-4e37-abf9-7325da15f931}]

        * Registry Modification When Autoplay Window Closes

           - The registry key MountPoints2\{GUID} was modified when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autoplay window closes (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window closes when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload is executed).

Timeline View of Potential Artifacts

The image below show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts in a timeline of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry (system, software, and ntuser.dat hives) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP SP3 with an administrator user account (autorun.inf file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command). A few entries from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system timeline were added.

References

   Autoplay Information

Microsoft support article on how to disable autorun http://support.microsoft.com/kb/967715

   Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information

Autorun.inf Wikipedia http://en.wikipedia.org/wiki/Autorun.inf

Autoplay Wikipedia http://en.wikipedia.org/wiki/AutoRun

McAfee W32/Autorun.worm.g AV write-up http://vil.nai.com/vil/content/v_142616.htm

CVE-2010-2883 (PDF Cooltype) Exploit Artifacts

Sunday, January 2, 2011 Posted by Corey Harrell 0 comments
Artifact Name

Exploit Artifacts for CVE-2010-2883 (PDF Cooltype) Vulnerability

Attack Vector Category

Exploit

Description

Vulnerability present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cooltype.dll affects Adobe Reader and Acrobat versions 9.x before 9.4 and 8.x before 8.2.5 on Windows and Mac OS X systems. Exploitation allows remote attackers to execute arbitrary code or cause a denial of service.

Attack Description

This description was obtained using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mitre and ISS X-Force Database references.

1. Create a PDF document with a “long field in a Smart Independent Glyphlets (SING) table in a TTF font".

2. Open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target system.

Exploits Tested

Metasploit v3.5 windows\fileformat\adobe_cooltype_sing

Target System Information

* Windows XP SP3 Virtual Machine with Adobe Reader v9.3 using administrative user account (No PDF files were opened on system prior to test)

* Windows XP SP3 Virtual Machine with Adobe Reader v9.3 using non-administrative user account (No PDF files were opened on system prior to test)

* Windows XP SP3 Virtual Machine with Adobe Reader v9.3 using administrative user account (Non-malicious PDF file was opened on system prior to test)

Different Artifacts based on Administrator Rights

Yes, MFT entry for "Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe" was modified when user account had administrative privileges.

Different Artifacts based on Tested Software Versions

Not tested

Potential Artifacts

The potential artifacts include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE 2010-2883 exploit and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit causes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system environment. The artifacts can be grouped under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following three areas:

    * PDF Document Creation

    * References of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF Document Being Accessed

    * Indications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerable Application Executing

note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documenting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts attempted to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability being exploited as opposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific artifacts unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit. As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual artifact storage locations and filenames are inside of brackets in order to distinguish what may be unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment.

    * PDF Document Creation

note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document will vary depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery mechanism involved

         - PDF document being created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of interest. [C:\msf-cooltype.pdf which VirusTotal confirmed as being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit]

    * References of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF Document Being Accessed

note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts may vary depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method used to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document. For example, Windows Explorer will leave different artifacts as compared to a web browser involved in a drive-by download. The testing involved opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document using Windows Explorer.

         - Web browser history with entries containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document. Entries may involve HTTP or file. [Internet Explorer entry file:///C:\msf-cooltype.pdf]

         - Link files of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document being opened. [C:\Documents and Settings\Administrator\Recent\msf-cooltype.pdf.lnk]

        -User registry keys with values containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document. [HKCU-\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.pdf. This key had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRU]

    * Indications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerable Application Executing

         - Prefetch files of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable application executing. [C:\WINDOWS\Prefetch\ACRORD32.EXE-3A1F13AE.pf and C:\WINDOWS\Prefetch\ACRORD32INFO.EXE-242CE4AA.pf]

         - Registry modifications involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable application. [modifications made to subkeys under HKCU-\Software\Adobe\Acrobat Reader\9.0\]

         - Folder activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable application. [C:\Program Files\Adobe\Reader 9.0, C:\Documents and Settings\Administrator\Application Data\Adobe\Acrobat\9.0, or C:\Documents and Settings\Administrator\Local Settings\Application Data\Adobe\Acrobat\9.0]

         - Temp files being created. [C:\Documents and Settings\Administrator\Local Settings\Temp\A9R9E95.tmp. The file signature indicated it was a PDF.]

Timeline View of Potential Artifacts

The images below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts in a timeline of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP SP3 system that had a non-malicious PDF file opened on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system prior to test. The timeline includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant registry and Internet explorer history entires.











References

Vulnerability Information

     Mitre’s CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=2010-2883

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Information

     Metasploit Blog Post http://blog.metasploit.com/2010/09/return-of-unpublished-adobe.html

     Mila's Contagio Malware Dump David Leadbetter Post

     ISS X-Force Database http://xforce.iss.net/xforce/xfdb/61635

Sizing up CVE-2010-1885 Exploit Artifacts

Monday, December 13, 2010 Posted by Corey Harrell 0 comments
There are numerous resources available to assist you during a system examination. A few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m include search engines, blogs, books, forums, and listservs. These resources have helped me gain a better understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I’m seeing when processing cases. I thought one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of documenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit artifacts left on a system would be to have a resource that could be referenced during examinations of compromised systems. I felt this would have been helpful during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Anatomy of a Drive-by II. I was unfamiliar with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and this made it difficult to determine what vulnerability was exploited which lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware being downloaded.

The one area of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vector I wasn't as confident about was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit used. The examination showed it could have involved Java, Adobe Reader, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center Vulnerability. This was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons of why I started documenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various attack vector artifacts by focusing on exploits instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery mechanisms. To identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential exploit artifacts I’m using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits in Metasploit by running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits against various test systems in order to see what artifacts are created. The first vulnerability I researched using Metasploit was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2010-1885 (Windows Help Center vulnerability) explot and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts I found are documented here. However, this testing made me question if it’s feasible to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by Metasploit as a reference to compare against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits being used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild. I wondered if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was enough similarity between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various implementations of exploits (various exploit packs available) to make identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various artifacts meaningful. One way to find out is to compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by Metasploit against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by an exploit pack being used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild. I'm going to be comparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2010-1885 exploit artifacts against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I suspected this vulnerability was exploited by an exploit pack. This will not only help determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feasibility of using Metasploit to document exploit artifacts but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison can also show how useful a reference about attack vector artifacts could be.

Metasploit Potential Artifacts Summary
The potential artifacts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE 2010-1885 exploit included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit itself and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit caused in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system environment. As a reminder, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five artifact areas and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts located in those areas:

        * Artifact with references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables
            - htm file located in a temporary folder

        * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files specified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables being accessed
            - ASX file located in a temporary folder (parname = )
            - htm file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iframe pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp string
            - Image file located in a temporary folder
            - References to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts being accessed [Internet Explorer history contained entries of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files being accessed].

        * Folder of interest associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit
            - Activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder

        * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol
            - Internet Explorer’s index.dat file recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol
            - Files located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files folder. Files located in this folder are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same files which were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder

        * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows programs executed during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit
           - Programs were executed verclsid.exe, helpctr.exe, and helpsvc.exe

Review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Anatomy of a Drive-by Examination
The comparison will be made using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline and image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Anatomy of a Drive-by posts. The system will be examined to identify any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center vulnerability being exploited. The bullets below show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack artifacts I located when I examined this system (I copied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bullets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive-by post):

* 09/12/10 06:38:25PM show[1].htm file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. This file had references to a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts (jar file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center vulnerability). Also, this file was associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 xhaito[dot]com domain.

* 09/12/10 06:38:35PM The hcp[1].htm file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The content of this file is associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center vulnerability.

* 09/12/10 06:38:35PM 0.8503427712213907.exe (Hiloti MD5 a06e417b9743e65bbb9ace16d6d3a65f) was created.

To be safe I'm starting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review one minute before 06:38:25PM and five minutes afterwards. I think this timeframe is sufficient to identify if any CVE-2010-1885 exploit artifacts are present. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help center vulnerability.

The xhaito domain was hosting an exploit pack used to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. There was a hidden iframe in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rain[1].htm that pointed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 xhaito domain (Line 847906) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PrivacIE entry showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious domain (Line 847904). The first artifact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2010-1885 exploit was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm file named show[1].htm in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files folder (line 847907). Jsunpack was used to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm file when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious domain was still active. As a result, not only could you see a reference to an ASX file but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX file was actually downloaded as shown below.

I examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show[1].htm file again to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was still a reference to an ASX file when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious domain was no longer active. The ASX file wasn’t downloaded but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was still a reference indicating an ASX file was involved.

 The show[1].htm file also had a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp string. The entire string was captured by Jsunpack when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious domain was still active as shown below.

There was only a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp string when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain was active. This reference can still be used to explain where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm file came from.

The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center vulnerability.

 The htm file (hcp[1].htm) referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show[1].htm file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files folder (line 847947). The file’s content was obfuscated as shown below.

 I used Jsunpack to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file in order to deobfuscate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s content. This revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp string as shown below.

The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center vulnerability.

The first artifact in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture occurred on Line 847985 which was a modification to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key HKU\Software\Microsoft\MediaPlayer\Health. This same registry key was modified when Metasploit was run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test systems running Internet Explorer 8. I didn’t find a lot of information about this key but I came across a forum where a person stated Windows Media Player may use this key to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player shut down properly. I ran a few tests using Procmon and found that Windows Media Player creates a subkey in this location with a name similar to {4AC12489-C148-4C7F-9FA0-3C5D8A590E0D} when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player is started. This subkey is deleted when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player shuts down properly but remains if not properly shut down. I consistently saw this behavior in my testing on XP and this registry modification may indicate that Windows Media Player was running. The last artifact was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pchealth\helpctr folder being accessed. This activity occurred on Lines 847993 and 847994.

Potential Artifacts Comparison
The examination was able to locate various artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE 2010-1885 exploit. It may not be clear how many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit artifacts were actually located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. To help this comparison cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five Metasploit artifact areas and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts located in those areas are listed below with notes in red highlighting if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact was present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system:

* Artifact with references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables
     - htm file located in a temporary folder *** Artifact not present ***

* Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files specified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables being accessed
     - ASX file located in a temporary folder (parname = ) *** show[1].htm file with references to an ASX file ***
     - htm file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iframe pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp string *** show[1].htm file with references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iframe containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp exploit ***
     - Image file located in a temporary folder *** Artifact not present ***
     - References to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts being accessed [Internet Explorer history contained entries of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files being accessed] *** Artifact not present ***

* Folder of interest associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit
     - Activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder *** helpctr folder was accessed ***

* Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol
     - Internet Explorer’s index.dat file recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol *** Artifact not present ***
     - Files located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files folder. Files located in this folder are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same files which were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder *** Artifact not present ***

* Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows programs executed during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit
     - programs were executed verclsid.exe, helpctr.exe, and helpsvc.exe *** Only artifact present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline of interest was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key HKU\Software\Microsoft\MediaPlayer\Health indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player was running. Verclsid.exe executed 30 minutes after my timeline of interest ***

Conclusion
As I was going back over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of this system I kept thinking how useful this information would have been when I first examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I was still able to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2010-1885 exploit was involved with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack but I didn’t locate all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts of this attack such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder activity. Having a resource with this information would have allowed me to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pattern of this attack in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. I think this pattern could be helpful even when certain artifacts are not present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

The system didn’t have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire documented CVE-2010-1885 exploit artifacts present. However, I don’t think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same artifacts would appear between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various exploit packs targeting this vulnerability. For example, a member of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win4n6 Yahoo group said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browser entries in unallocated space showing activity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entries even contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp exploit string. This artifact wasn’t present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I examined but this artifact was present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test system Metasploit was run against. Even with this slight variation, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts that are present could be used to determine if this vulnerability was targeted in an attack.

I know this is only one comparison but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re appears to be enough similarity between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various implementations of an exploit to make identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various artifacts meaningful. Metasploit is one tool that could be used to help identify and document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts.


Thoughts? Comments?