Changing Perspectives

Tuesday, January 3, 2017 Posted by Corey Harrell 1 comments
In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fall I was staring out my back window seeing my yard covered in orange leaves. This sight is one I see each year and I have always viewed as my yearly chore. The chore of cleaning up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leaves that have fallen from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trees. At times I would see some joy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leaves would bring as my kids would play in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m but mostly I viewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leaves with disdain. Knowing I would be spending hours upon hours cleaning it up. I came to accept this yearly chore as something that doesn’t change since it came with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 territory of owning a property with trees. This was until I became more knowledgeable about a subject and this knowledge changed my perspective on how I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se leaves.

For over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past year I took some time to get refocused in life. During this time I was reflecting on different things; one of those things was I have never grown my food. My food typically came from stores, farmer markets, or local farmers. Thinking about it I realized my food has always came from someone else’s labor. I had no clue how to grow food nor what was involved with growing food. I decided I wanted to change this and I jumped head first into becoming more knowledgeable about organic gardening.

I won’t go into detail about my approach; basically I read books, researched on websites, spoke to friends who garden, and I spoke to local farmers who I buy food from. I tried to cover all of my bases to know as much as I could about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire plant life cycle. My goal is to be fully self-reliant so to avoid having to constantly buy compost I started to learn about composting. As I went deeper into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 art of composting by reading and seeing what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have done before me, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more knowledgeable I started to become. The more knowledgeable I started to become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more my perspective started to change. Staring out of my back window each Fall I only saw a chore. However, this year as I was staring out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window I saw something else. I saw enough brown material that I could use to make compost cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next spring. To create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rich compost loaded with nutrients to feed my vegetable plants. I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential for cover material I could put on my raised beds to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soil during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winter months. I saw what a blessing each Fall is since it is when nature provides you with a wealth of material you can use to improve your soil to grow better vegetable plants.

As I stared out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window I also reflected on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 similarities between my journey into composting and a security analyst’s journey into DFIR. When I’m building up a security analyst to do DFIR work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. The first few months I allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to be paid to learn; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re job is to gain knowledge so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir perspective looking at data changes. I want to give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m knowledge about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are looking for, different files and folders on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, different log sources, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis process. I try to give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m enough knowledge to change how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see data and what that data means. To change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from seeing just a bunch of files and folder names to seeing select artifacts and log files. To change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from seeing just a bunch of activity to seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious activity. To change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from seeing alerts and alarms to seeing what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact attack vector is.

Knowledge is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key to changing one’s perspective; applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge is what makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change reality.

"Knowledge without application is like a book that is never read"

~ Christopher Crawford

Labels:

Thanks a Million

Tuesday, May 24, 2016 Posted by Corey Harrell 5 comments
Last week a new member on my $DayJob’s team reached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point in his in-house training where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y started to read articles on jIIr. After I cracked a joke about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog’s author he mentioned how my blog had over one million page views. To be honest, I haven’t looked at my jIIr’s statistics for months and I didn’t even know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page views. The milestone really made me reflect on my journey and how it wouldn’t had been possible without ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs so I wanted to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to say thank you.

Thanks to everyone who has stopped by jIIr to read my content. Thanks to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r bloggers who had linked back to my site or posted links directing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir readers to my site. Thanks to everyone who posted links to my content on websites, social media, forums, and DFIR email lists to direct people to my posts. I especially wanted to thank those who took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to leave a comment or contact me by email about something I wrote whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r if it is positive or criticism. I wanted to give a shout out to Harlan for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice he provided to me. I was just a random person who reached out to him looking for advice on starting a blog. Not only did he provided me with great advice (which showed me I was really over thinking things) but he also mentioned jIIr on his own blog, which helped my content gain more exposure. Lastly, I wanted to thank cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Christian men’s group I was in all those years ago who walked with me on how we could use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passions God blessed us with to serve ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

In addition to saying thanks I also wanted to apologize. I wanted to apologize to those who left comments on my blog over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few months and I never responded. To those who contacted me by email and I eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r took an extremely long time to respond or never responded at all. To those who may had been visited my blog only to be disappointed due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of new content being posted on jIIr since last September. This was not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way I would had preferred to hit this milestone compared to hitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 milestone due to a great article that pushed me over a million page views. Sitting where I am today I wouldn’t had done it any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way. I needed some time to focus on my walk with Christ and spend more time in God’s word. In essence, I realigned priorities in my life and how I was spending my time. Outside of my commitments (family, $DayJob, $AcademiaJob, and church) I pretty much disconnected from everything else to focus on my faith. The DFIR community and jIIr was part of this everything else category that I temporarily put on hold while I spent time refocusing. Stay tuned as I start working my way through my blog idea hopper that has built up over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 months.

It’s been a long journey to reach this milestone. I started out as a digital forensic analyst/ vulnerability assessor looking to get into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response field to becoming a security analyst who built and manages a Computer Security Incident Response Team (CSIRT) performing security monitoring and incident response. jIIr has been a place where I have shared my thoughts during this journey in hopes that someone somewhere would find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content useful and helpful. God willing, I’ll continue publishing content and my research for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r six years to help those cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own journeys.


But He answered and said, “It is written, ‘MAN SHALL NOT LIVE ON BREAD ALONE, BUT ON EVERY WORD THAT PROCEEDS OUT OF THE MOUTH OF GOD.’”

~ Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365w 4:4
Labels:

Breaking Out of Routines

Thursday, May 19, 2016 Posted by Corey Harrell 0 comments
I was digging a hole to plant my blackberries plants when I kept hearing a noise of something moving around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corner of my house. I stopped digging and walked around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house to see what was making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise. I didn’t see anything anywhere so I shrugged it off and went back to digging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hole. Shortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter I heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise again so I went back to look around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corner. Again, I didn’t see anything so I went back to work thinking maybe it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wind. After a few minutes I heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise for a third time and this time I was determined to figure out what was making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise. I went around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corner of my house but I still didn’t see anything. Then I looked down to my right to my basement window well that sits below ground and saw what was making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise. Sitting next to my window inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window well was a squirrel, which wasn’t moving since it saw me standing right above it.

I walked a few feet away so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel couldn’t see me but I could still see it. I stood on top of my air condition unit to see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel was doing. After a minute, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel started to move around. Not just in any manner but it started to walk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boundary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window well making a circle. As I stood cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel I realize what occurred. I built up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soil on that side of my house to prepare for our garden but this caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soil to be close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of my window well. The squirrel must had been walking and fell into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window well before I was able to buy window well covers. The trapped squirrel searching for a way out turned it into a routine. The routine of walking in circles trying to find a way to escape but not finding one. The squirrel keeps walking searching for a way out. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel is just walking in a small circle. As I was watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel I could see it had been trapped for some time; maybe for hours or maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire day.

I thought about how I could help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel escape without it biting me. My first attempt was to put a branch into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window well. This way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel could climb up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 branch to escape. I dropped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 branch down into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window well and went back to my spot to watch what happens. The squirrel started to walk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circle and approached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 branch. Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel walked over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 branch and continued looking for a way out. My first thought was maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 branch was too small so I replaced it with a piece of lumber. The same thing occurred with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel walking right over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lumber and not seeing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wood was its way out from being trapped. I stood cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel and thought to myself cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel is trapped in its own routine. For hours cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 branch and lumber were not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel was walking right past it since it was not expecting it. My neighbor came over to help me get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel out. It took a few minutes but he was able to manage to lift cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 now freaked out squirrel out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window well with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shovel. The squirrel panicked and jumped right back down into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window well. However, this time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel was no longer trapped in its routine since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shovel was a jolt to its senses. My neighbor now struggled to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shovel so he decided to set a brick on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window well. The squirrel immediately saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brick and used it to jump out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window well to free itself.

At times we can find ourselves trapped in our routines and this is especially true when performing analysis for security monitoring, digital forensics, or incident response. Routines make our job easier because we can perform certain actions without having to think really hard about how to do it. The downside of routines is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to put us on auto-pilot, which blinds us to seeing something new that is right in front of us. Similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel’s routine blinding it to seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to escape. Every now and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n when you are performing routine analysis tasks take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to stop and think about what you are doing, what you are trying to accomplish, and what you are seeing. If you don’t cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you may never see what you are missing because we don’t have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 luxury of someone giving us a jolt to break us out of our routines.
Labels:

Triage Practical Solution – Malware Event – Proxy Logs Prefetch $MFT IDS

Tuesday, April 5, 2016 Posted by Corey Harrell 6 comments
Staring at your Mountain Dew you think to yourself how well your malware triage process worked on triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert. It’s not perfect and needs improvement to make it faster but overall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process worked. In minutes you went from IDS alerts to malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. That’s a lot better than what it used to be; where IDS alerts went into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black hole of logs never to be looked at again. Taking a sip of your Mountain Dew you are ready to provide your ISO with an update.


Triage Scenario


To fill in those readers who may not know what is going on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 abbreviated practical  scenario (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full scenario refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Triage Practical – Malware Event – Proxy Logs Prefetch $MFT IDS):

The junior security guy noticed anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware infection showing up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts. They grabbed a screenshot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts and sent it to you by email. As soon as you received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot shown below you started putting your malware triage process to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test.




Below are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions you had to answer and report back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO.

        * Is this a confirmed malware security event or was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior analyst mistaken?
        * What do you think occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?
        * What type of malware is involved and what capabilities does it have?
        * What potential risk does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware pose to your organization?
        * What recommendation(s) do you make to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team to strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n its security program to reduce similar incidents occurring in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future?


Information Available


Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wealth of information available to you within an enterprise, only a subset of data was provided for you to use while triaging this malware event. The following artifacts were made available:

        * IDS alerts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe in question (you need to replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provide pcap to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts. pcap is not provided for you to use during triage and was only made available to enable you to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts in question)

        * Parsed index.dat files to simulate proxy web logs (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed index.dat information was modified to remove items not typically found in a web server’s proxy logs)

        * Prefetch files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch.ad1 file)

        * Filesystem metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master File Table is provided for this practical)


Information Storage Location within an Enterprise


Each enterprise’s network is different and each one offers different information for triaging. As such, it is not possible to outline all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible locations where this information could be located in enterprises. However, it is possible to highlight common areas where this information can be found. To those reading this post whose environments do not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locations I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can evaluate your network environment for a similar system containing similar information or better prepare your network environment by making sure this information starts being collected in systems.

        * Proxy web logs within an enterprise can be stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy server itself and/or in a central logging system. In addition to proxy web logs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system will have web usage history for each web browser on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system

        * IDS alerts within an enterprise can be stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS/IPS sensors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves or centrally located through a management console and/or central logging system (i.e. SIEM)

        * Prefetch files within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system

        * File system metadata within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system


Collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Storage Locations


Knowing where information is available within an enterprise is only part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. It is necessary to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information so it can be used for triaging. Similar to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between enterprises’ networks, how information is collected varies from one organization to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next. Below are a few suggestions for how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information outlined above can be collected.

        * Proxy web logs will eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy server itself or a centralized logging solution. The collection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs can be as simple as running a filter in a web graphical user interface to export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs, copying an entire text file containing log data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, or viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interface to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 central logging system.

        * IDS alerts don’t have to be collected. They only need to be made available so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be reviewed. Typically this is accomplished through a management console, security monitoring dashboard, or a centralized logging solution.

        * Prefetch files are stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system. The collection of this artifact can be done by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files off remotely or locally. Remote options include an enterprise forensic tools such as F-Response, Encase Enterprise, or GRR Rapid Response, triage scripts such as Tr3Secure collection script, or by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share since Prefetch files are not locked files. Local options can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same options.

        * File system metadata is very similar to Prefetch files because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same collection methods work for collecting it. The one exception is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file can’t be pulled off by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share.


Potential DFIR Tools to Use


The last part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation is what tools one should use to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that is collected. The tools I’m outlining below are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones I used to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical.

        * Excel to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text based proxy logs
        * Winprefetchview to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files
        * MFT2CSV to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT file


Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs’ Approaches to Triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Event


Placeholder since none were known at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of this post


Partial Malware Event Triage Workflow


The diagram below outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr workflow for confirming malicious code events. The workflow is a modified version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Securosis Malware Analysis Quant. I modified Securosis process to make it easier to use for security event analysis



Detection: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code event is detected. Detection can be a result of technologies or a person reporting it. The workflow starts in response to a potential event being detected and reported.

Triage: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detected malicious code event is triaged to determine if it is a false positive or a real security event.

Compromised: after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first decision point is to decide if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine could potentially be compromised. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is a false positive or one showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine couldn’t be infected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow is exited and returns back to monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is confirmed or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a strong indication it is real cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow continues to identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.

Malware Identified: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is identified two ways. The first way is identifying what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is including its purpose and characteristics. The second way is identifying and obtaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual system.

Root Cause Analysis: a quick root cause analysis is performed to determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine was compromised and to identify indicators to use for scoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. This root cause analysis does not call for a deep dive analysis taking hours and/or days but one only taking minutes.

Quarantine: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is finally quarantined from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network it is connected to. This workflow takes into account performing analysis remotely so disconnecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is done at a later point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is initially disconnected after detection cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n analysis cannot be performed until someone eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r physically visits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine or ships cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine to you. If an organization’s security monitoring and incident response capability is not mature enough to perform root cause analysis in minutes and analysis live over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quarantine activity should occur once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision is made about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine being compromised.  


Triage Analysis Solution


I opted to triage this practical similar to a real security event. As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post doesn’t use all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supplied information and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach is more focused on speed. The triage process started with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert screenshot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n proceeded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy logs before zeroing in on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question.


IDS alerts


The screenshot below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one supplied by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst. In this practical it was not necessary to replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet capture to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se IDS alerts since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot supplied enough information.



Typically you can gain a lot of context about a security event by first exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signatures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. Gaining context around a security event solely using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signature names becomes second nature by doing event triage analysis on a daily basis. Analysts tend to see similar attacks triggering similar IDS alerts over time; making it easier to remember what attacks are and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y leave in networks. For ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysts this is where Google becomes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir best friend. The screenshot shows three distinct events related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in this security incident.

1.  ET CURRENT_EVENTS Possible Dyre SSL Cert: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se signatures indicate a possible SSL certificate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dyre malware. Dyre is a banking Trojan and it uses SSL to encrypt its communication. The practical did not include this but anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to detect this activity is by consuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSL Blacklist and comparing it against an organization’s firewall logs or netflow data to see if any internal hosts are communicating with known IP addresses associated with Dyre

2. ET POLICY Internal Host Retrieving External IP via icanhazip[.]com: this signature flags an internal host that contacts a known website associated with identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public IP address. Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization this may or may not be normal behavior for web browsing and/or end users. However, some malware tries to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public facing IP address, which will trigger this IDS signature

3. ET TROJAN Common Upatre Header Structure: this signature flags traffic associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Upatre Trojan. Upatre is a downloader that installs ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r programs.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts could had been a false positive but it is unlikely for this sequence of alerts all to be false positives. This confirms what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior analyst believed about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine being compromised. Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine was infected with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Upatre downloader, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n proceeded to install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dyre banking Trojan.


Web Proxy Logs


IDS alerts provide additional information that can be used in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data sources. The practical doesn’t provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date and time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signatures fired but it does provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination IP addresses and domain name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine communicated with. These IP addresses were used to correlate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts to activity recorded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy logs. The web_logs.csv file was imported into Excel and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data was sorted using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date. This puts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log entries chronological order making it easier to perform analysis.

The web logs provided with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical were very basic. The only information recorded was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date/time, URL, and username. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination IP address was not recorded, which is typical with web proxies. As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs did not contain any entries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP addresses 72.175.10.116 and 104.238.141.75.

The search on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain icanhazip[.]com also came up empty. At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy logs provide no additional information with a date and time to go on. This analysis did reveal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se web proxy logs suck and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization needs to make it a priority to record more information to make analysis easier. The organization also needs to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network routes all HTTP/HTTPs web traffic through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy so it gets recorded and prevents users and programs from bypassing it.


Prefetch files


At this point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine in question needs to be triaged. Reviewing programs executing on a system is a quick technique to identify malicious programs on a system. The high level indicators I tend to look are below:

        * Programs executing from temporary or cache folders
        * Programs executing from user profiles (AppData, Roaming, Local, etc)
        * Programs executing from C:\ProgramData or All Users profile
        * Programs executing from C:\RECYCLER
        * Programs stored as Alternate Data Streams (i.e. C:\Windows\System32:svchost.exe)
        * Programs with random and unusual file names
        * Windows programs located in wrong folders (i.e. C:\Windows\svchost.exe)
        * Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around suspicious files

The collected prefetch files were parsed with Winprefetchview and I initially sorted by process path. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed prefetch files using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general indicators I mentioned previously and I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program highlighted in red.



The first suspicious program was SCAN_001_140815_881[1].SCR executing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files directory. The program was suspicious because it is executing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab user profile and its name resembles a document name instead of a screensaver name. To gain more context around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sorted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last Run time to see what else was executing around this time.



The SCAN_001_140815_881[1].SCR program executed at 8/15/2015 5:49:51 AM UTC. Shortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r executed named EJZZTA8.EXE executed from user’s Temp directory at 8/15/2015 5:51:03 AM UTC. Both prefetch files did not reference any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r suspicious executables in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir file handles. At this point not only do I have two suspicious files of interest but I also identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact date and time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security event occurred.


Web Proxy Logs Redux


The date and time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident obtained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch files can now be used to correlate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts and suspicious programs to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy logs. The picture below shows leading up to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SCAN_001_140815_881[1].SCR program executed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was accessing Yahoo email.



The rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web logs continued to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user interacting with Yahoo email around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection occurred. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web logs don’t record cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entry showing where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SCAN_001_140815_881[1].SCR program came from. This occurred eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy didn’t record it or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy sucks by not recording it. I’m going with latter since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web proxy logs are missing a lot of information.




File system metadata


At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question had network activity related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Upatre downloader and Dyre banking Trojans. The prefetch files revealed suspicious programs named SCAN_001_140815_881[1].SCR that executed at 8/15/2015 5:49:51 AM UTC and EJZZTA8.EXE that executed at 8/15/2015 5:51:03 AM UTC. The web proxy logs showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was accessing Yahoo email around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs executed. The next step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process is to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious software on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and to try to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata in a timeline to make it easier to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest.

For this practical I leveraged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT2CSV program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration below to generate a timeline. However, an effective and faster technique - but not free - is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home plate feature in Encase Enterprise against a remote system live. This enables you to triage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system live instead of trying to collect files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system for offline analysis.



In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline I went to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest, which was 8/15/2015 5:49:51 AM UTC. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n proceed forward in time to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r suspicious files. The first portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline didn’t show any new activity of interest around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SCAN_001_140815_881[1].SCR file.



Continuing going through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline going forward in time lead me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next file EJZZTA8.EXE. The activity between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two files only showed files being created in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files and Cookies directories indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.



At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline did not provide any new information and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last analysis step is to triage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious programs found.


Researching Suspicious Files


The first program SCAN_001_140815_881[1].SCR was no longer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second program (EJZZTA8.EXE) was. The practical file file_hash_list.csv showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EJZZTA8.EXE’s MD5 hash was f26fd37d263289cb7ad002fec50922c7. The first search was to determine if anyone uploaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file to VirusTotal and a VirusTotal report was available. Numerous antivirus detections confirmed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program was Upatre, which matches one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triggered IDS signatures.

A Google search of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hash located a Hybrid Analysis report and Malware report. The Hybrid Analysis report confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample sends network traffic. This information could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be used to scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident to identify potentially ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r infected machines.



The resources section in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program contains an icon confirming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file tried to mimic a document. This makes me conclude it was a social engineering attack against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user.



The reports contained ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information that one could use to identify ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r infected systems in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise. However, as it relates to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn’t much additional information I needed to complete my triage analysis. The next step would be to contact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end user to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing email and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n request for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email to be purged from all users’ inboxes.


Triage Analysis Wrap-up


The triage process did confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was infected with malicious code. The evidence that was present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attack vector artifacts (i.e. exploits, vulnerable programs executing, etc.) leads me to believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was infected due to a phishing email. The email contained some mechanism to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to initiate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection. The risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is twofold. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious programs downloads and installs ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious program tries to capture and exhilarate credentials from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The next step would be to escalate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response process so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system can be quarantined, system can be cleaned, end user can be contacted to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing email and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it can be determined why end users have access to web email instead of using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's email system. 
Labels: , , ,

Blaming Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs

Monday, February 8, 2016 Posted by Corey Harrell 0 comments
As we marched across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parade deck from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side we looked as one. The sound of about 70 Marines' heels hitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pavement but sounded as one. The sound of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hoarse drill instructor's voice echoed throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3rd Battalion. The sight from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side must had been one to see. 70 Marines appearing as only a few walking in a single line. In one instant, in one brief moment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few became many. The drill instructor echoed one command followed by quickly correcting himself with a different command. The 70 Marines who were marching as one became many as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tried to adjust. The stress of making a mistake on his first platoon must have added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pressure. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marines marched across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parade deck cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drill instructor kept echoing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong commands forcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marines to adjust. The stress of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marines striving to take first place must have added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pressure. They lost cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir focus and were no longer in sync with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marine standing next to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. It must have been a sorry sight from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side seeing close to 70 arms and legs marching with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sound of 70 heals hitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parade deck at different times. Cluster is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most G-rated description one can give seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marines march across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parade deck that afternoon.

The evaluation was over and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 70 Marines filed back into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir barracks. The brief moment of reflection in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir minds was broken as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sound of a footlocker being kicked broke cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 silence. The roar of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r drill instructors’ hoarse voices followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loud bang of more footlockers being kicked. The blame for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cluster on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parade deck was placed squarely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recruits. That afternoon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marines spent quality time doing sandpit hopping across 3rd Battalion in Parris Island. For those not acquainted with this tradition cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following is what occurs. Recruits are forced exercise in what seems like a giant sandbox by following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 orders barked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir drill instructor. Jumping jacks, mountain climbers, jumping jacks, push ups, mountain climbers, etc.. This goes on for a period of time before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recruits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n run to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next sandbox to be smoked again in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same manner before running to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next sandbox. This continues until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drill instructors get bored or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recruits need to be somewhere. Words don’t do justice describing getting smoked so please take a few minutes to see a Pit Stop in action. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sweltering heat of South Carolina, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recruits had sweat powering down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir faces as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were covered in sand with sandfleas biting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. As much as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tried to ignore it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could only focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feeling of bugs feasting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and not being able to do anything about it (one scratch typically ends with a lot longer time being smoked). That afternoon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recruits (me being one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m) thought to ourselves why are we being punished when our drill instructor messed up.

It was easier to blame even though it was hard to tell what even happened. It was easier to blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it was to take responsibility so it wouldn't happen again. It was easier to blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it was to admit we messed up; despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances we lost focus and resembled nasty civilians instead of Marines marching in sync. It was easier to blame to distract us from our current reality of shit.


Moral of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Story

It is wise to direct your anger towards problems - not people; to focus your energies on answers - not excuses.

- William Arthur Ward

Labels:

Triage Practical – Malware Event – Proxy Logs Prefetch $MFT IDS

Wednesday, January 6, 2016 Posted by Corey Harrell 0 comments
The ISO was thrilled and excited about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibilities after you successfully triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous suspicious network activity. They got a glimpse of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visibility one attains through security monitoring and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information one can get leveraging incident response. As you sit at your desk drinking a Mountain Dew you don’t have time to reflect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 days when your security team was like an ostrich with its head buried in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sand. You are slowly working on improving and formalizing your organization’s security monitoring and detection capabilities as you detect and respond to security events. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background you hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security guy say “we got anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one.” You already know he is referring to a malware infection so you say to him “Grab a screenshot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts and send it to me in an email.” As you wait for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email to arrive you start to wonder is it wrong to get excited and look forward to an alert that means your organization may have a problem. You brushed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought aside as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email arrives and you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot below (dates and times have been censored). You put down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mountain Dew and put your hands to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword as you start putting your malware triage process to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test.




Triage Scenario


The above scenario outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity leading up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current malware security event. Below are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions you need to answer and report back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO.

        - Is this a confirmed malware security event or was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior analyst mistaken?
        - What do you think occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?
        - What type of malware is involved and what capabilities does it have?
        - What potential risk does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware pose to your organization?
        - What recommendation(s) do you make to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team to strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n its security program to reduce similar incidents occurring in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future?


Information Available


In an organization’s network you have a wealth of information available to you for you to use while triaging a security incident. Despite this, to successfully triage an incident only a subset of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is needed. In this instance, you are provided with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following artifacts below for you to use during your triage. Please keep in mind, you may not even need all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se.

        - IDS alerts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe in question (you need to replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provide pcap to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts. pcap is not provided for you to use during triage and was only made available to enable you to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts in question)
        - Parsed index.dat files to simulate proxy web logs (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed index.dat information was modified to remove items not typically found in a web server’s proxy logs)
        - Prefetch files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch.ad1 file)
        - Filesystem metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master File Table is provided for this practical)


Supporting References


The below items have also been provided to assist you working through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process.

        - The jIIr-Practical-Tips.pdf document shows how to: update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signatures in Security Onion, replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet capture in Security Onion, and mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ad1 file with FTK Imager.

        - The file hash list from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question. This is being provided since you do not access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system nor a forensic image. This can help you confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security event and any suspicious files you may find.

        - The file hashes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical files for verification purposes



The 2016-01-06_Malware-Event Web Logs Prefetch MFT IDS practical files can be downloaded here

The 2016-01-06_Malware-Event Web Logs Prefetch MFT IDS triage write-up is outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Triage Practical Solution – Malware Event – Proxy Logs Prefetch $MFT IDS 


For background information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr practical’s please refer to Adding an Event Triage Drop to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Community Bucket article
Labels: , , ,

Triage Practical Solution – Malware Event – Prefetch $MFT IDS

Wednesday, December 9, 2015 Posted by Corey Harrell 1 comments
You are staring at your computer screen thinking how you are going to tell your ISO what you found. Thinking about how this single IDS alert might have been overlooked; how it might have been lost among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sea of alerts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various security products deployed in your company. Your ISO tasked with you triaging a malware event and now you are ready to report back.


Triage Scenario


To fill in those readers who may not know what is going on you started out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting providing background information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event. The practical provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following abbreviated scenario (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full scenario refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Triage Practical – Malware Event – Prefetch $MFT IDS):

The ISO continued “I directed junior security guy to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts that came in over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend. He said something very suspicious occurred early Saturday morning on August 15, 2015.” Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO looked directly at you “I need you to look into whatever this activity is and report back what you find.” “Also, make sure you document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process you use since we are going to use it as a playbook for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se types of security incidents going forward.”

Below are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions you need to answer and report back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISO.

        * Is this a confirmed malware security event or was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior analyst mistaken?
        * What type of malware is involved?
        * What potential risk does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware pose to your organization?
        * Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available information, what do you think occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?


Information Available


Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wealth of information available to you within an enterprise, only a subset of data was provided for you to use while triaging this malware event. The following artifacts were made available:

        * IDS alerts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame in question (you need to replay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provide pcap to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts. pcap was not provided for you to use during triage and was only made available to enable you to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts in question)

        * Prefetch files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch.ad1 file)

        * File system metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master File Table is provided for this practical)


Information Storage Location within an Enterprise


Each enterprise’s network is different and each one offers different information for triaging. As such, it is not possible to outline all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible locations where this information could be located in enterprises. However, it is possible to highlight common areas where this information can be found. To those reading this post whose environments do not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locations I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can evaluate your network environment for a similar system containing similar information or better prepare your network environment by making sure this information starts being collected in systems.

        * IDS alerts within an enterprise can be stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS/IPS sensors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves or centrally located through a management console and/or logging system (i.e. SIEM)

        * Prefetch files within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system

        * File system metadata within an enterprise can be located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system


Collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Storage Locations


Knowing where information is available within an enterprise is only part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. It is necessary to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information so it can be used for triaging. Similar to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between enterprises’ networks, how information is collected varies from one organization to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next. Below are a few suggestions for how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information outlined above can be collected.

        * IDS alerts don’t have to be collected. They only need to be made available so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be reviewed. Typically this is accomplished through a management console or security monitoring dashboard.

        * Prefetch files are stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially infected system. The collection of this artifact can be done by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files off remotely or locally. Remote options include an enterprise forensic tools such as F-Response, Encase Enterprise, or GRR Rapid Response, triage scripts such as Tr3Secure collection script, or by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share since Prefetch files are not locked files. Local options can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same options.

        * File system metadata is very similar to prefetch files because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same collection methods work for collecting it. The one exception is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS Master File Table ($MFT) can’t be pulled off by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin share.


Potential DFIR Tools to Use


The last part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation is what tools one should use to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that is collected. The tools I’m outlining below are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones I used to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical.

      Security Onion to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts
        * Winprefetchview to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files
        * MFT2CSV to parse and examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT file


Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs’ Approaches to Triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Event


Before I dive into how I triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event I wanted to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approaches used by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to tackle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same malware event. I find it helpful to see different perspectives and techniques tried to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issue. I also wanted to thank those who took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to do this so ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs could benefit from what you share.

Matt Gregory shared his analysis on his blog My Random Thoughts on InfoSec. Matt did a great job outlining not only what he found but by explaining how he did it and what tools he used. I highly recommend taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to read through his analysis and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process he used to approach this malware event.

An anonymous person (at least anonymous to me since I couldn’t locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir name) posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analysis on a newly created blog called Forensic Insights. Their post goes into detail on analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet capture including what was transmitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote device.


Partial Malware Event Triage Workflow


The diagram below outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr workflow for confirming malicious code events. The workflow is a modified version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Securosis Malware Analysis Quant. I modified Securosis process to make it easier to use for security event analysis.



Detection: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code event is detected. Detection can be a result of technologies alerting on it or a person reporting it. The workflow starts in response to a potential event being detected and reported.

Triage: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detected malicious code event is triaged to determine if it is a false positive or a real security event.

Compromised: after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is triaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first decision point is to decide if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine could potentially be compromised. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is a false positive or one showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine couldn’t be infected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow is exited and returns back to monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is confirmed or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a strong indication it is real cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow continues to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.

Malware Identified: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is identified two ways. The first way is identifying what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is including its purpose and characteristics using available information. The second way is identifying and obtaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware sample from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual system to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and its characteristics.

Root Cause Analysis: a quick root cause analysis is performed to determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine was compromised and to identify indicators to use for scoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. This root cause analysis does not call for a deep dive analysis taking hours and/or days but one only taking minutes.

Quarantine: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is finally quarantined from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network it is connected to. This workflow takes into account performing analysis remotely so disconnecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is done at a later point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine is initially disconnected after detection cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n analysis cannot be performed until someone eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r physically visits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine or ships cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine to you. If an organization’s security monitoring and incident response capability is not mature enough to perform root cause analysis in minutes and analysis live over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quarantine activity should occur once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision is made about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine being compromised.


Triage Analysis Solution


To triage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario does not require one to use all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supplied information. The triage process could had started with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst saw or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files from system in question to see what program executed early Saturday morning on August 15, 2015. For completeness, my analysis touches on each data source and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information it contains. As a result, I started with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signature to ensure I included it in my analysis.


IDS alerts


The screenshot below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS signatures that triggered by replaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provided malware-event.pcap file in Security Onion. I highlighted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert of interest.




The IDS alert by itself provides a wealth of information. The Emerging Threats (ET) signature that fired was "ET TROJAN HawkEye Keylogger FTP" and this occurred when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine in question (192.168.200.128) made a connection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address 107.180.21.230 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP destination port 21. To determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert is a false positive it’s necessary to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature (if available) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet responsible for triggering it. The screenshot below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature in question:



The signature is looking for a system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $HOME_NET going to an external system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP port 21 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system has to initiate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection (as reflected by flow:established,to_server). The packet needs to contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string “STOR HAWKEye_”. The packet that triggered this signature meets all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se requirements. The system connected to an external IP address on port 21 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string of interest.



Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert is not a false positive. I performed Internet research to obtain more context about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event. A simple Google search on HawkEye Keylogger produces numerous hits. From You Tube videos showing how to use it to forums posting cracked versions to various articles discussing it. One article is TrendMicro’s paper titled Piercing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HawkEye: Nigerian Cybercriminals Use a Simple Keylogger to Prey on SMBs Worldwide and just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pictures in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper provide additional context (remember during triage you won’t have time to read 34 page paper.) The keylogger is easily customizable since it has a builder and it can delivery logs through SMTP or FTP. Additional functionality includes: stealing clipboard data, taking screenshots, downloading and executing ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files, and collecting system information.

Research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination IP address shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AS is GODADDY and numerous domain names map back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address.



Prefetch files


When I review programs executing on a system I tend to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high level indicators below in mind. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se indicators have enabled me to quickly identify malicious programs that are or were on a system.


  • Programs executing from temporary or cache folders
  • Programs executing from user profiles (AppData, Roaming, Local, etc)
  • Programs executing from C:\ProgramData or All Users profile
  • Programs executing from C:\RECYCLER
  • Programs stored as Alternate Data Streams (i.e. C:\Windows\System32:svchost.exe)
  • Programs with random and unusual file names
  • Windows programs located in wrong folders (i.e. C:\Windows\svchost.exe)
  • Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around suspicious files


The collected prefetch files were parsed with Winprefetchview and I initially sorted by process path. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed prefetch files using my general indicators and I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program highlighted in red.



The program in question is suspicious for two reasons. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program executed from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporarily Internet files folder. The second reason and more important one was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program, which was OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE (%20 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encoding for a space). The name resembles a program trying to be disguised as a document. This is a social engineering technique used with phishing emails. To gain more context around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sorted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last Run time to see what else was executing around this time.



The OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE program executed on 8/15/15 at 5:33:55 AM UTC, which matches up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 junior security analyst mentioned. The file had a MD5 hash of ea0995d9e52a436e80b9ad341ff4ee62. This hash was used to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was malicious as reflected in an available VirusTotal reportShortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r executable ran named VBC.exe but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process path was not reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file itself. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r prefetch files did not show anything else I could easily tie to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event.


File System Metadata


At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alert revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question had network activity related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HawkEye Keylogger. The prefetch files revealed a suspicious program named OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE and it executed on 8/15/15 at 5:33:55 AM UTC. The next step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process is to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious software on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and to try to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata in a timeline to make it easier to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest.

For this practical I leveraged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT2CSV program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration below to generate a timeline. However, an effective technique - but not free - is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home plate feature in Encase Enterprise against a remote system. This enables you to see all files and folders while being able to sort different ways. The Encase Enterprise method is not as comprehensive as a $MFT timeline but works well for triaging.



In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline I went to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest, which was 8/15/15 at 5:33:55 AM UTC. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n proceeded forward in time to identify any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r suspicious files. A few files were created within seconds of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE program executing. The files’ hashes will need to be used to determine more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m since I am unable to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.



The timeline cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VBC.EXE program executing followed by activity associated with a user surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.



The timeline was reviewed for about a minute after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious program executed and nothing else jumps out. The next step is go back to 8/15/15 at 5:33:55 AM UTC in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline to see what proceeded this event. There was more activity related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet as shown below.



I kept working my way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browsing files to find something to confirm what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was actually doing. I worked my way through Yahoo cookies and cache web pages containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word “messages”. There was nothing definite so I continued going back in time. I worked my way back to around 5:30 AM UTC where cookies for Yahoo web mail were created. This activity was three minutes prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection; three minutes is a long time. At this point additional information is needed to definitely answer how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system became infected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. At least I know that it came from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet using a web browser. note: in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pcap file was meant for IDS alerts only so I couldn’t use it to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vector question.


Researching Suspicious Files


The analysis is not complete without researching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious files discovered through triage. I performed additional research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file OVERDUE INVOICE DOCUMENTS FOR PAYMENT 082015[1].EXE using its MD5 hash ea0995d9e52a436e80b9ad341ff4ee62. I went back to its VirusTotal report and noticed there didn’t appear to be a common name in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various security product detections. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were unique detection names I used to conduct additional research. Microsoft’s detection name was TrojanSpy:MSIL/Golroted.B and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir report said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware “tries to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information stored on your PC”. A Google search of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hash also located a Malwr sandbox report for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. The report didn’t shed any light on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files I found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.

The VBC.EXE file was no longer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system preventing me from performing additional research on this file. The pid.txt and pidloc.txt files’ hashes were associated with a Hybrid Analysis report for a sample with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MD5 hash 242e9869ec694c6265afa533cfdf3e08. The report had a few interesting things. The sample also dropped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pid.txt and pidloc.txt files as well as executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 REGSVCS.EXE as a child process. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same behavior I saw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata and prefetch files. The report provided a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r nuggets such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample tries to dump Web browser and Outlook stored passwords.


Triage Analysis Wrap-up


The triage process did confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was infected with malicious code. The infection was a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user doing something on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and additional information is needed to confirm what occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system for it to become infected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. The risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code tries to capture and exfiltrate information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system including passwords. The next step would be to escalate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware event to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response process so a deeper analysis can be done to answer more questions. Questions such as what data was potentially exposed, what did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user do to contribute to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack random or targeted, and what type of response should be done.