Journey Into Incident Response: IDS cá cược thể thao bet365_cách nạp tiền vào bet365

Showing posts with label IDS. Show all posts

Triage Practical Solution – Malware Event – Proxy Logs Prefetch $MFT IDS

Tuesday, April 5, 2016 Posted by Corey Harrell 6 comments

Staring at your Mountain Dew you think to yourself how well your malware triage process worked on triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert. It’s not perfect and needs improvement to make it faster but overall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process worked. In minutes you went from IDS alerts to malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. That’s a lot better than what it used to be; where IDS alerts went into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black hole of logs never to be looked at again. Taking a sip of your Mountain Dew you are ready to provide your ISO with an update.

Triage Scenario

To fill in those readers who may not know what is going on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 abbreviated practical scenario (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full scenario refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Triage Practical – Malware Event – Proxy Logs Prefetch $MFT IDS):

The junior security guy noticed anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware infection showing up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts. They grabbed a screenshot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts and sent it to you by email. As soon as you received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot shown below you started putting your malware triage process to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test.

Below are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions you had to answer and report back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO.

* Is this a confirmed malware security event or was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior analyst mistaken?
* What do you think occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?
* What type of malware is involved and what capabilities does it have?
* What potential risk does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware pose to your organization?
* What recommendation(s) do you make to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team to strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n its security program to reduce similar incidents occurring in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future?

Information Available

Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wealth of information available to you within an enterprise, only a subset of data was provided for you to use while triaging this malware event. The following artifacts were made available:

* IDS alerts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe in question (you need to replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provide pcap to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts. pcap is not provided for you to use during triage and was only made available to enable you to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts in question)

* Parsed index.dat files to simulate proxy web logs (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed index.dat information was modified to remove items not typically found in a web server’s proxy logs)

* Prefetch files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch.ad1 file)

* Filesystem metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master File Table is provided for this practical)

Information Storage Location within an Enterprise

Each enterprise’s network is different and each one offers different information for triaging. As such, it is not possible to outline all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible locations where this information could be located in enterprises. However, it is possible to highlight common areas where this information can be found. To those reading this post whose environments do not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locations I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can evaluate your network environment for a similar system containing similar information or better prepare your network environment by making sure this information starts being collected in systems.

* Proxy web logs within an enterprise can be stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy server itself and/or in a central logging system. In addition to proxy web logs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system will have web usage history for each web browser on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system

* IDS alerts within an enterprise can be stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS/IPS sensors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves or centrally located through a management console and/or central logging system (i.e. SIEM)

* Prefetch files within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system

* File system metadata within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system

Collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Storage Locations

Knowing where information is available within an enterprise is only part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. It is necessary to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information so it can be used for triaging. Similar to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between enterprises’ networks, how information is collected varies from one organization to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next. Below are a few suggestions for how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information outlined above can be collected.

* Proxy web logs will eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy server itself or a centralized logging solution. The collection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs can be as simple as running a filter in a web graphical user interface to export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs, copying an entire text file containing log data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, or viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interface to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 central logging system.

* IDS alerts don’t have to be collected. They only need to be made available so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be reviewed. Typically this is accomplished through a management console, security monitoring dashboard, or a centralized logging solution.

* Prefetch files are stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system. The collection of this artifact can be done by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files off remotely or locally. Remote options include an enterprise forensic tools such as F-Response, Encase Enterprise, or GRR Rapid Response, triage scripts such as Tr3Secure collection script, or by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share since Prefetch files are not locked files. Local options can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same options.

* File system metadata is very similar to Prefetch files because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same collection methods work for collecting it. The one exception is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file can’t be pulled off by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share.

Potential DFIR Tools to Use

The last part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation is what tools one should use to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that is collected. The tools I’m outlining below are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones I used to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical.

* Excel to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text based proxy logs
* Winprefetchview to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files
* MFT2CSV to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT file

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs’ Approaches to Triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Event

Placeholder since none were known at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of this post

Partial Malware Event Triage Workflow

The diagram below outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr workflow for confirming malicious code events. The workflow is a modified version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Securosis Malware Analysis Quant. I modified Securosis process to make it easier to use for security event analysis

Detection: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code event is detected. Detection can be a result of technologies or a person reporting it. The workflow starts in response to a potential event being detected and reported.

Triage: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detected malicious code event is triaged to determine if it is a false positive or a real security event.

Compromised: after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first decision point is to decide if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine could potentially be compromised. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is a false positive or one showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine couldn’t be infected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow is exited and returns back to monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is confirmed or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a strong indication it is real cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow continues to identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.

Malware Identified: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is identified two ways. The first way is identifying what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is including its purpose and characteristics. The second way is identifying and obtaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual system.

Root Cause Analysis: a quick root cause analysis is performed to determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine was compromised and to identify indicators to use for scoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. This root cause analysis does not call for a deep dive analysis taking hours and/or days but one only taking minutes.

Quarantine: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is finally quarantined from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network it is connected to. This workflow takes into account performing analysis remotely so disconnecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is done at a later point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is initially disconnected after detection cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n analysis cannot be performed until someone eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r physically visits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine or ships cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine to you. If an organization’s security monitoring and incident response capability is not mature enough to perform root cause analysis in minutes and analysis live over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quarantine activity should occur once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision is made about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine being compromised.

Triage Analysis Solution

I opted to triage this practical similar to a real security event. As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post doesn’t use all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supplied information and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach is more focused on speed. The triage process started with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert screenshot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n proceeded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy logs before zeroing in on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question.

IDS alerts

The screenshot below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one supplied by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst. In this practical it was not necessary to replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet capture to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se IDS alerts since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot supplied enough information.

Typically you can gain a lot of context about a security event by first exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signatures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. Gaining context around a security event solely using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signature names becomes second nature by doing event triage analysis on a daily basis. Analysts tend to see similar attacks triggering similar IDS alerts over time; making it easier to remember what attacks are and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y leave in networks. For ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysts this is where Google becomes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir best friend. The screenshot shows three distinct events related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in this security incident.

1. ET CURRENT_EVENTS Possible Dyre SSL Cert: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se signatures indicate a possible SSL certificate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dyre malware. Dyre is a banking Trojan and it uses SSL to encrypt its communication. The practical did not include this but anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to detect this activity is by consuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSL Blacklist and comparing it against an organization’s firewall logs or netflow data to see if any internal hosts are communicating with known IP addresses associated with Dyre

2. ET POLICY Internal Host Retrieving External IP via icanhazip[.]com: this signature flags an internal host that contacts a known website associated with identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public IP address. Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization this may or may not be normal behavior for web browsing and/or end users. However, some malware tries to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public facing IP address, which will trigger this IDS signature

3. ET TROJAN Common Upatre Header Structure: this signature flags traffic associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Upatre Trojan. Upatre is a downloader that installs ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r programs.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts could had been a false positive but it is unlikely for this sequence of alerts all to be false positives. This confirms what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior analyst believed about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine being compromised. Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine was infected with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Upatre downloader, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n proceeded to install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dyre banking Trojan.

Web Proxy Logs

IDS alerts provide additional information that can be used in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data sources. The practical doesn’t provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date and time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signatures fired but it does provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination IP addresses and domain name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine communicated with. These IP addresses were used to correlate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts to activity recorded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy logs. The web_logs.csv file was imported into Excel and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data was sorted using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date. This puts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log entries chronological order making it easier to perform analysis.

The web logs provided with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical were very basic. The only information recorded was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date/time, URL, and username. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination IP address was not recorded, which is typical with web proxies. As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs did not contain any entries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP addresses 72.175.10.116 and 104.238.141.75.

The search on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain icanhazip[.]com also came up empty. At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy logs provide no additional information with a date and time to go on. This analysis did reveal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se web proxy logs suck and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization needs to make it a priority to record more information to make analysis easier. The organization also needs to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network routes all HTTP/HTTPs web traffic through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy so it gets recorded and prevents users and programs from bypassing it.

Prefetch files

At this point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine in question needs to be triaged. Reviewing programs executing on a system is a quick technique to identify malicious programs on a system. The high level indicators I tend to look are below:

* Programs executing from temporary or cache folders
* Programs executing from user profiles (AppData, Roaming, Local, etc)
* Programs executing from C:\ProgramData or All Users profile
* Programs executing from C:\RECYCLER
* Programs stored as Alternate Data Streams (i.e. C:\Windows\System32:svchost.exe)
* Programs with random and unusual file names
* Windows programs located in wrong folders (i.e. C:\Windows\svchost.exe)
* Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around suspicious files

The collected prefetch files were parsed with Winprefetchview and I initially sorted by process path. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed prefetch files using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general indicators I mentioned previously and I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program highlighted in red.

The first suspicious program was SCAN_001_140815_881[1].SCR executing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files directory. The program was suspicious because it is executing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab user profile and its name resembles a document name instead of a screensaver name. To gain more context around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sorted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last Run time to see what else was executing around this time.

The SCAN_001_140815_881[1].SCR program executed at 8/15/2015 5:49:51 AM UTC. Shortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r executed named EJZZTA8.EXE executed from user’s Temp directory at 8/15/2015 5:51:03 AM UTC. Both prefetch files did not reference any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r suspicious executables in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir file handles. At this point not only do I have two suspicious files of interest but I also identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact date and time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security event occurred.

Web Proxy Logs Redux

The date and time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident obtained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch files can now be used to correlate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts and suspicious programs to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy logs. The picture below shows leading up to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SCAN_001_140815_881[1].SCR program executed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was accessing Yahoo email.

The rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web logs continued to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user interacting with Yahoo email around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web logs don’t record cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entry showing where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SCAN_001_140815_881[1].SCR program came from. This occurred eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy didn’t record it or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy sucks by not recording it. I’m going with latter since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy logs are missing a lot of information.

File system metadata

At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question had network activity related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Upatre downloader and Dyre banking Trojans. The prefetch files revealed suspicious programs named SCAN_001_140815_881[1].SCR that executed at 8/15/2015 5:49:51 AM UTC and EJZZTA8.EXE that executed at 8/15/2015 5:51:03 AM UTC. The web proxy logs showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was accessing Yahoo email around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs executed. The next step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process is to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious software on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and to try to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata in a timeline to make it easier to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest.

For this practical I leveraged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT2CSV program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration below to generate a timeline. However, an effective and faster technique - but not free - is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home plate feature in Encase Enterprise against a remote system live. This enables you to triage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system live instead of trying to collect files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system for offline analysis.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline I went to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest, which was 8/15/2015 5:49:51 AM UTC. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n proceed forward in time to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r suspicious files. The first portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline didn’t show any new activity of interest around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SCAN_001_140815_881[1].SCR file.

Continuing going through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline going forward in time lead me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next file EJZZTA8.EXE. The activity between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two files only showed files being created in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files and Cookies directories indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline did not provide any new information and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last analysis step is to triage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious programs found.

Researching Suspicious Files

The first program SCAN_001_140815_881[1].SCR was no longer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second program (EJZZTA8.EXE) was. The practical file file_hash_list.csv showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EJZZTA8.EXE’s MD5 hash was f26fd37d263289cb7ad002fec50922c7. The first search was to determine if anyone uploaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file to VirusTotal and a VirusTotal report was available. Numerous antivirus detections confirmed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program was Upatre, which matches one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triggered IDS signatures.

A Google search of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hash located a Hybrid Analysis report and Malware report. The Hybrid Analysis report confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample sends network traffic. This information could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be used to scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident to identify potentially ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r infected machines.

The resources section in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program contains an icon confirming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file tried to mimic a document. This makes me conclude it was a social engineering attack against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user.

The reports contained ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information that one could use to identify ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r infected systems in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise. However, as it relates to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn’t much additional information I needed to complete my triage analysis. The next step would be to contact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end user to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing email and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n request for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email to be purged from all users’ inboxes.

Triage Analysis Wrap-up

The triage process did confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was infected with malicious code. The evidence that was present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attack vector artifacts (i.e. exploits, vulnerable programs executing, etc.) leads me to believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was infected due to a phishing email. The email contained some mechanism to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to initiate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection. The risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is twofold. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious programs downloads and installs ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious program tries to capture and exhilarate credentials from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The next step would be to escalate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response process so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system can be quarantined, system can be cleaned, end user can be contacted to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing email and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it can be determined why end users have access to web email instead of using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's email system.

Labels: IDS, IR, Practical, triage

Triage Practical – Malware Event – Proxy Logs Prefetch $MFT IDS

Wednesday, January 6, 2016 Posted by Corey Harrell 0 comments

The ISO was thrilled and excited about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibilities after you successfully triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous suspicious network activity. They got a glimpse of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visibility one attains through security monitoring and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information one can get leveraging incident response. As you sit at your desk drinking a Mountain Dew you don’t have time to reflect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 days when your security team was like an ostrich with its head buried in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sand. You are slowly working on improving and formalizing your organization’s security monitoring and detection capabilities as you detect and respond to security events. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background you hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security guy say “we got anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one.” You already know he is referring to a malware infection so you say to him “Grab a screenshot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts and send it to me in an email.” As you wait for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email to arrive you start to wonder is it wrong to get excited and look forward to an alert that means your organization may have a problem. You brushed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought aside as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email arrives and you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot below (dates and times have been censored). You put down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mountain Dew and put your hands to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword as you start putting your malware triage process to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test.

Triage Scenario

The above scenario outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity leading up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current malware security event. Below are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions you need to answer and report back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO.

- Is this a confirmed malware security event or was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior analyst mistaken?
- What do you think occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?
- What type of malware is involved and what capabilities does it have?
- What potential risk does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware pose to your organization?
- What recommendation(s) do you make to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team to strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n its security program to reduce similar incidents occurring in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future?

Information Available

In an organization’s network you have a wealth of information available to you for you to use while triaging a security incident. Despite this, to successfully triage an incident only a subset of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is needed. In this instance, you are provided with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following artifacts below for you to use during your triage. Please keep in mind, you may not even need all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se.

- IDS alerts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe in question (you need to replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provide pcap to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts. pcap is not provided for you to use during triage and was only made available to enable you to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts in question)
- Parsed index.dat files to simulate proxy web logs (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed index.dat information was modified to remove items not typically found in a web server’s proxy logs)
- Prefetch files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch.ad1 file)
- Filesystem metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master File Table is provided for this practical)

Supporting References

The below items have also been provided to assist you working through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process.

- The jIIr-Practical-Tips.pdf document shows how to: update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signatures in Security Onion, replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet capture in Security Onion, and mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ad1 file with FTK Imager.

- The file hash list from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question. This is being provided since you do not access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system nor a forensic image. This can help you confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security event and any suspicious files you may find.

- The file hashes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical files for verification purposes

The 2016-01-06_Malware-Event Web Logs Prefetch MFT IDS practical files can be downloaded here

The 2016-01-06_Malware-Event Web Logs Prefetch MFT IDS triage write-up is outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Triage Practical Solution – Malware Event – Proxy Logs Prefetch $MFT IDS

For background information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr practical’s please refer to Adding an Event Triage Drop to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Community Bucket article

Labels: IDS, IR, Practical, triage

Triage Practical Solution – Malware Event – Prefetch $MFT IDS

Wednesday, December 9, 2015 Posted by Corey Harrell 1 comments

You are staring at your computer screen thinking how you are going to tell your ISO what you found. Thinking about how this single IDS alert might have been overlooked; how it might have been lost among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sea of alerts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various security products deployed in your company. Your ISO tasked with you triaging a malware event and now you are ready to report back.

Triage Scenario

To fill in those readers who may not know what is going on you started out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting providing background information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event. The practical provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following abbreviated scenario (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full scenario refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Triage Practical – Malware Event – Prefetch $MFT IDS):

The ISO continued “I directed junior security guy to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts that came in over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend. He said something very suspicious occurred early Saturday morning on August 15, 2015.” Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO looked directly at you “I need you to look into whatever this activity is and report back what you find.” “Also, make sure you document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process you use since we are going to use it as a playbook for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se types of security incidents going forward.”

Below are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions you need to answer and report back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO.

* Is this a confirmed malware security event or was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior analyst mistaken?
* What type of malware is involved?
* What potential risk does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware pose to your organization?
* Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available information, what do you think occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?

Information Available

* Prefetch files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch.ad1 file)

* File system metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master File Table is provided for this practical)

Information Storage Location within an Enterprise

* Prefetch files within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system

* File system metadata within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system

Collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Storage Locations

* Prefetch files are stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system. The collection of this artifact can be done by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files off remotely or locally. Remote options include an enterprise forensic tools such as F-Response, Encase Enterprise, or GRR Rapid Response, triage scripts such as Tr3Secure collection script, or by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share since Prefetch files are not locked files. Local options can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same options.

* File system metadata is very similar to prefetch files because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same collection methods work for collecting it. The one exception is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS Master File Table ($MFT) can’t be pulled off by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share.

Potential DFIR Tools to Use

The last part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation is what tools one should use to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that is collected. The tools I’m outlining below are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones I used to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical.

* Security Onion to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts
* Winprefetchview to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files
* MFT2CSV to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT file

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs’ Approaches to Triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Event

Before I dive into how I triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event I wanted to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approaches used by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to tackle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same malware event. I find it helpful to see different perspectives and techniques tried to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issue. I also wanted to thank those who took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to do this so ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs could benefit from what you share.

Matt Gregory shared his analysis on his blog My Random Thoughts on InfoSec. Matt did a great job outlining not only what he found but by explaining how he did it and what tools he used. I highly recommend taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to read through his analysis and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process he used to approach this malware event.

An anonymous person (at least anonymous to me since I couldn’t locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir name) posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analysis on a newly created blog called Forensic Insights. Their post goes into detail on analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet capture including what was transmitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote device.

Partial Malware Event Triage Workflow

Detection: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code event is detected. Detection can be a result of technologies alerting on it or a person reporting it. The workflow starts in response to a potential event being detected and reported.

Triage: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detected malicious code event is triaged to determine if it is a false positive or a real security event.

Compromised: after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first decision point is to decide if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine could potentially be compromised. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is a false positive or one showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine couldn’t be infected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow is exited and returns back to monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is confirmed or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a strong indication it is real cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow continues to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.

Malware Identified: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is identified two ways. The first way is identifying what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is including its purpose and characteristics using available information. The second way is identifying and obtaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware sample from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual system to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and its characteristics.

Root Cause Analysis: a quick root cause analysis is performed to determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine was compromised and to identify indicators to use for scoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. This root cause analysis does not call for a deep dive analysis taking hours and/or days but one only taking minutes.

Quarantine: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is finally quarantined from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network it is connected to. This workflow takes into account performing analysis remotely so disconnecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is done at a later point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is initially disconnected after detection cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n analysis cannot be performed until someone eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r physically visits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine or ships cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine to you. If an organization’s security monitoring and incident response capability is not mature enough to perform root cause analysis in minutes and analysis live over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quarantine activity should occur once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision is made about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine being compromised.

Triage Analysis Solution

To triage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario does not require one to use all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supplied information. The triage process could had started with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst saw or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files from system in question to see what program executed early Saturday morning on August 15, 2015. For completeness, my analysis touches on each data source and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information it contains. As a result, I started with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signature to ensure I included it in my analysis.

IDS alerts

The screenshot below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signatures that triggered by replaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provided malware-event.pcap file in Security Onion. I highlighted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert of interest.

The IDS alert by itself provides a wealth of information. The Emerging Threats (ET) signature that fired was "ET TROJAN HawkEye Keylogger FTP" and this occurred when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine in question (192.168.200.128) made a connection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address 107.180.21.230 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP destination port 21. To determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert is a false positive it’s necessary to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature (if available) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet responsible for triggering it. The screenshot below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature in question:

The signature is looking for a system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $HOME_NET going to an external system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP port 21 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system has to initiate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection (as reflected by flow:established,to_server). The packet needs to contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string “STOR HAWKEye_”. The packet that triggered this signature meets all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se requirements. The system connected to an external IP address on port 21 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string of interest.

Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert is not a false positive. I performed Internet research to obtain more context about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event. A simple Google search on HawkEye Keylogger produces numerous hits. From You Tube videos showing how to use it to forums posting cracked versions to various articles discussing it. One article is TrendMicro’s paper titled Piercing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HawkEye: Nigerian Cybercriminals Use a Simple Keylogger to Prey on SMBs Worldwide and just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pictures in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper provide additional context (remember during triage you won’t have time to read 34 page paper.) The keylogger is easily customizable since it has a builder and it can delivery logs through SMTP or FTP. Additional functionality includes: stealing clipboard data, taking screenshots, downloading and executing ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files, and collecting system information.

Research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination IP address shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AS is GODADDY and numerous domain names map back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address.

Prefetch files

When I review programs executing on a system I tend to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high level indicators below in mind. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se indicators have enabled me to quickly identify malicious programs that are or were on a system.

Programs executing from temporary or cache folders
Programs executing from user profiles (AppData, Roaming, Local, etc)
Programs executing from C:\ProgramData or All Users profile
Programs executing from C:\RECYCLER
Programs stored as Alternate Data Streams (i.e. C:\Windows\System32:svchost.exe)
Programs with random and unusual file names
Windows programs located in wrong folders (i.e. C:\Windows\svchost.exe)
Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around suspicious files

The collected prefetch files were parsed with Winprefetchview and I initially sorted by process path. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed prefetch files using my general indicators and I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program highlighted in red.

The program in question is suspicious for two reasons. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program executed from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporarily Internet files folder. The second reason and more important one was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program, which was OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE (%20 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encoding for a space). The name resembles a program trying to be disguised as a document. This is a social engineering technique used with phishing emails. To gain more context around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sorted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last Run time to see what else was executing around this time.

The OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE program executed on 8/15/15 at 5:33:55 AM UTC, which matches up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst mentioned. The file had a MD5 hash of ea0995d9e52a436e80b9ad341ff4ee62. This hash was used to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was malicious as reflected in an available VirusTotal report. Shortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r executable ran named VBC.exe but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process path was not reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file itself. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r prefetch files did not show anything else I could easily tie to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event.

File System Metadata

At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question had network activity related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HawkEye Keylogger. The prefetch files revealed a suspicious program named OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE and it executed on 8/15/15 at 5:33:55 AM UTC. The next step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process is to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious software on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and to try to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata in a timeline to make it easier to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest.

For this practical I leveraged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT2CSV program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration below to generate a timeline. However, an effective technique - but not free - is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home plate feature in Encase Enterprise against a remote system. This enables you to see all files and folders while being able to sort different ways. The Encase Enterprise method is not as comprehensive as a $MFT timeline but works well for triaging.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline I went to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest, which was 8/15/15 at 5:33:55 AM UTC. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n proceeded forward in time to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r suspicious files. A few files were created within seconds of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE program executing. The files’ hashes will need to be used to determine more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m since I am unable to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

The timeline cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VBC.EXE program executing followed by activity associated with a user surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

The timeline was reviewed for about a minute after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program executed and nothing else jumps out. The next step is go back to 8/15/15 at 5:33:55 AM UTC in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline to see what proceeded this event. There was more activity related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet as shown below.

I kept working my way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browsing files to find something to confirm what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was actually doing. I worked my way through Yahoo cookies and cache web pages containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word “messages”. There was nothing definite so I continued going back in time. I worked my way back to around 5:30 AM UTC where cookies for Yahoo web mail were created. This activity was three minutes prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection; three minutes is a long time. At this point additional information is needed to definitely answer how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system became infected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. At least I know that it came from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet using a web browser. note: in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pcap file was meant for IDS alerts only so I couldn’t use it to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vector question.

Researching Suspicious Files

The analysis is not complete without researching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious files discovered through triage. I performed additional research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE using its MD5 hash ea0995d9e52a436e80b9ad341ff4ee62. I went back to its VirusTotal report and noticed there didn’t appear to be a common name in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various security product detections. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were unique detection names I used to conduct additional research. Microsoft’s detection name was TrojanSpy:MSIL/Golroted.B and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir report said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware “tries to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information stored on your PC”. A Google search of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hash also located a Malwr sandbox report for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. The report didn’t shed any light on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files I found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.

The VBC.EXE file was no longer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system preventing me from performing additional research on this file. The pid.txt and pidloc.txt files’ hashes were associated with a Hybrid Analysis report for a sample with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MD5 hash 242e9869ec694c6265afa533cfdf3e08. The report had a few interesting things. The sample also dropped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pid.txt and pidloc.txt files as well as executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 REGSVCS.EXE as a child process. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same behavior I saw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata and prefetch files. The report provided a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r nuggets such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample tries to dump Web browser and Outlook stored passwords.

Triage Analysis Wrap-up

The triage process did confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was infected with malicious code. The infection was a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user doing something on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and additional information is needed to confirm what occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system for it to become infected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. The risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code tries to capture and exfiltrate information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system including passwords. The next step would be to escalate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response process so a deeper analysis can be done to answer more questions. Questions such as what data was potentially exposed, what did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user do to contribute to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack random or targeted, and what type of response should be done.

Labels: detection, IDS, IR, NTFS, Practical, prefetch, triage

Triage Practical – Malware Event – Prefetch $MFT IDS

Sunday, November 22, 2015 Posted by Corey Harrell 7 comments

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Monday morning as you stroll into work. Every Monday morning you have a set routine and this morning was no different. You were hoping to sit down into your chair, drink some coffee, and work your way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emails that came in over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend. This morning things were different. As soon as you entered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 office, your ISO had a mandatory meeting going on and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were waiting for you to arrive. As you entered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO announces “each week it seems like anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r company is breached. The latest headline about Company XYZ should be our wake up call. The breach could had been prevented but it wasn’t since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security people were not monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security products and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y never saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts telling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had a problem.” At this point you started to see where this was going; no one at your company pays any attention to all those alerts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various security products deployed in your environment. Right on cue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO continued “what happened at Company XYZ can easily happen here. We don't have people looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts being generated by our security products and even if we had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bodies to do this we have no processes in place outlining how this can be accomplished.” As you sipped your coffee you came close to spitting it out after you heard what came next. The ISO continued “I directed junior security guy to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts that came in over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend. He said something very suspicious occurred early Saturday morning on August 15, 2015.” Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO looked directly at you “I need you to look into whatever this activity is and report back what you find.” “Also, make sure you document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process you use since we are going to use it as a playbook for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se types of security incidents going forward.”

Triage Scenario

The above scenario outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity leading up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current malware security event. Below are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions you need to answer and report back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO.

* Is this a confirmed malware security event or was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior analyst mistaken?
* What type of malware is involved?
* What potential risk does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware pose to your organization?
* Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available information, what do you think occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?

Information Available

In an organization’s network you have a wealth of information available to you for you to use while triaging a security incident. Despite this, to successfully triage an incident only a subset of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is needed. In this instance, you are provided with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following artifacts below for you to use during your triage. Please keep in mind, you may not even need all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se.

* IDS alerts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe in question (you need to replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provide pcap to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts. pcap is not provided for you to use during triage and was only made available to enable you to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts in question)
* Prefetch files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch.ad1 file)
* File system metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master File Table is provided for this practical)

Supporting References

The below items have also been provided to assist you working through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process.

* The jIIr-Practical-Tips.pdf document shows how to replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet capture in Security Onion and how to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ad1 file with FTK Imager.
* The file hash list from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question. This is being provided since you do not access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system nor a forensic image. This can help you confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security event and any suspicious files you may find.

The 2015-11-22_Malware-Event Prefetch MFT IDS practical files can be downloaded from here

The 2015-11-22_Malware-Event Prefetch MFT IDS triage write-up is outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Triage Practical Solution – Malware Event – Prefetch $MFT IDS

For background information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr practicals please refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Adding an Event Triage Drop to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Community Bucket article

Labels: IDS, IR, Practical, triage

Journey Into Incident Response

Triage Practical Solution – Malware Event – Proxy Logs Prefetch $MFT IDS

Triage Scenario

Information Available

Information Storage Location within an Enterprise

Collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Storage Locations

Potential DFIR Tools to Use

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs’ Approaches to Triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Event

Partial Malware Event Triage Workflow

Triage Analysis Solution

IDS alerts

Web Proxy Logs

Prefetch files

Web Proxy Logs Redux

File system metadata

Researching Suspicious Files

Triage Analysis Wrap-up

Triage Practical – Malware Event – Proxy Logs Prefetch $MFT IDS

Triage Scenario

Information Available

Supporting References

Triage Practical Solution – Malware Event – Prefetch $MFT IDS

Triage Scenario

Information Available

Information Storage Location within an Enterprise

Collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Storage Locations

Potential DFIR Tools to Use

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs’ Approaches to Triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Event

Partial Malware Event Triage Workflow

Triage Analysis Solution

IDS alerts

Prefetch files

File System Metadata

Researching Suspicious Files

Triage Analysis Wrap-up

Triage Practical – Malware Event – Prefetch $MFT IDS

Triage Scenario

Information Available

Supporting References

Subscribe To jIIr

Follow jIIr by Email

jIIr Tools Download Locations

Most Read jIIr Posts

Search jIIr

Blog Archive

jIIr's Labels

Total Pageviews

Blogs I Follow