Showing posts with label testing. Show all posts
Showing posts with label testing. Show all posts

Initial Examination Steps & First Challenge

Thursday, August 12, 2010 Posted by Corey Harrell 0 comments
Initial Examination Steps

Starting out I decided to investigate a single system infected with malware. The books I referenced helped identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that can be examined to answer my two questions, which for a single computer involved volatile data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various locations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Next I was interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination steps I could use to help collect and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. I was already involved in performing digital forensic investigations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore my focus was on identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional examination steps required to investigate a system infected with malware. For example, I already perform keyword searches, hash analysis, and file signature analysis on my cases so I wanted to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional required steps. The following were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial steps I used to investigate a single system:

     * Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volatile data
     * Hash cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system
     * Perform a file signature analysis against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system
     * Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system that were identified in volatile data
     * Search for known malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system
     * Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs ran on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system
     * Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host-based logs
     * Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auto-start locations
     * Perform a keyword search
     * Examine any executables of interest

Windows Forensic Analysis and Malware Forensics Investigating and Analyzing Malicious Code do an outstanding job of explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of those steps. As a result, I am not going to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps in detail but I wanted to post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination steps that I used to for my initial investigation. Plus, I thought it would help explain why I decided to do certain things like use memory analysis to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection. The steps I mentioned above were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial steps I used last Spring. I have not listed any additional steps because I wanted to present how I approached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time.

First Challenge

The first issue I encountered on my journey was when I wanted to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process and examination steps I had learned from researching. This is when I noticed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of available test images of compromised systems.

This made it difficult to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation process because tests could not be conducted against a known image to see if I could duplicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. I was hoping to find images of compromised systems similar to challenge files available for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic challenges on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Honeynet Project has an archive of challenges along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winners’ solutions. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se challenges are great learning tools because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges can be attempted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winners’ solutions can be referenced to see what was done correct or wrong. However, I was unable to locate an equivalent for images of compromised systems including images of memory along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard disk.

To get around this issue, I resorted to creating my own images of compromised systems. At first I was compromising systems using random malware samples from Offensive Computing. This worked well for trying to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection on a system but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection vector was always an executable being launched by a user account. To find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection vector I had to use a different method to infect a system in order to simulate how a real attack might look like. This evolved into creating compromising systems by opening suspected malicious emails and/or visiting suspected malicious websites. There was a lot of trial and error but I was able to get enough compromised systems for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing of answering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question of how did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system become infected.

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems were restarted before imaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory in order to remove any potential artifacts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volatile data. The following blogs about answering my two initial questions will be referencing images from two systems infected by visiting malicious websites. The images will be referenced as Infected 1 and Infected 2.


References

Aquilina, J. M., Casey, E., & Malin, C. H. (2008). Malware Forensics Investigating and Analyzing Malicious Code. Burlington: Syngress Publishing, Inc.

Carvey, H. (2009). Windows Forensic Analysis. Burlington: Syngress Publishing, Inc.

Mandia, K., Prosise, C., & Pepe, M. (2003). Incident Response & Computer Forensics. Emeryville: McGraw-Hill/Osborne.