Monday, December 26, 2005

Pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Plug in 2005

Every time I attend a USENIX conference, I gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r free copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ;login: magazine published by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 association. The August 2005 issue features some great stories, with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m available right now to non-USENIX members. (USENIX makes all magazine articles open to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public one year after publication. For example, anyone can now read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire December 2004 issue.)

An article which caught my eye was Forensics for System Administrators by Sean Peisert. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USENIX copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article won't be published until August 2006, you can read Sean's copy here (.pdf).

I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article was proceeding well until I came across this advice.

"What happens when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is some past event that a system administrator wishes to understand on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system? Where should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator, now a novice forensic analyst, begin? There are many variables and questions that must be answered to make proper decisions about this. Under almost all circumstances in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system can be taken down to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideal thing to do is halt or power-off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system using a hardware method." (emphasis added)

Is he serious? The article continues:

"[T]he x86 BIOS does not have a monitor mode that supports this [a hardware interrupt]. The solution for everyone else? Pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug. The machine will power off, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk will remain as-is, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be no possibility of furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r contamination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence through some sort of clean-up script left by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder, as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk is not booted off or mounted in read/write mode again. The reason for stopping a machine is that it prevents furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r alteration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence. The reason for halting with a hardware interrupt, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UNIX halt or shutdown command is that if a root compromise occurred, those commands could have been trojaned by an intruder to clean up evidence."

I can't believe I'm reading this advice in 2005, only 6 days from 2006. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice I heard nearly 10 years ago. "Pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step in a forensic investigation is absolutely terrible advice. I am not a host-based forensics guru, but I know that a live response, first described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 June 2001 book Incident Response by Mandia, Prosise, and Pepe, should be part of even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most basic forensically-minded sys admin's techniques. Sean could have even looked into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ;login: archives to find Keith Jones' article in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 November 2001 issue describing live response.

Live response is a technique to retrieve volatile information from a running system in a forensically sound manner. Live response can be frustrated by some binary and kernel alteration techniques, but it is a good (non-network-centric) first step whenever a host is suspected of being compromised. Those who want to know more about live response, and see how helpful cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice can be, will enjoy reading Real Digital Forensics.

Sean tries to defend pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug here:

"In our first example intrusion, I took a preliminary look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 syslog and saw that dates of suspicious logins went back at least three weeks. Given that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion seemed to be going on for so long, I decided that I could no longer trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to reliably and accurately report evidence about itself. Therefore, pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best option."

That is a really weak excuse. Certainly a non-ankle-biter attacker will take steps to hide his presence. That does not mean that no attempt should be made to collect volatile system information!

Sean continues:

"It is certainly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case that halting a system can help perserve more evidence, particularly that in swap, slack, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise unallocated space on disk. But it also can destroy some evidence. For example, halting a system will wipe out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of memory, hindering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability of an analyst to dump a memory image to disk. However, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic discussions in this article, slack space and memory dumps are outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of our analysis. In our case, halting a system merely helped to preserve real evidence, and had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion in our first example been discovered sooner, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system sooner halted as a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder would have had less time to cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tracks. Then, as I will discuss, certain helpful log files that were deleted may have been recoverable."

If Sean is worried that an intruder will take actions to "cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tracks," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live response can be performed after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim host has been cut off from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most 31337 attackers may detect this and start self-cleansing procedures, but how often does that happen? Also, collecting live response data does not usually trigger any cleaning mechanisms. The sort of data one collects is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal information a system administrator might inspect during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of regular duties.

The fundamental issue here is whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first response activity or not. In my experience, cutting off remote access is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step. Analysis of NSM data involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target host is second. Live response is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third. Forensic duplication and analysis is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fourth, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous two steps point to compromise and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources for investigation and available.

This part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article makes me sad:

"This material is based on work sponsored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force and supported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Research Laboratory under Contract F30602-03-C-0075 and performed in conjunction with Lockheed Martin Information Assurance. Thanks to Sid Karin, Abe Singer, Matt Bishop, and Keith Marzullo, who provided valuable discussions during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writing of this article."

First, why is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force paying for advice that should have been abandoned in 1998, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last time I remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force suggesting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of actions? Second, why didn't any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article reviewers speak out against this bad advice?

8 comments:

C.S.Lee said...

Pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident is not a good idea, I have few times requiring live incident response of which bad guy running codes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory and deleted itself from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardrive, if we pull out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug without performing live forensic, apparently it will be gone and giving hard time to ourself to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances. I wonder why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't put swap and memory as a serious source of finding or locating evidence and footstep of bad guy. This is apparently not a clever way and if this article write out through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion of many talented guys, I'm wondering where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mind on. That being said, it sucks.

js said...

I agree wholeheartedly. The very concept of pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug goes against basic forensic science cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory. Destroying potential evidence (i.e., pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug) is foolish and damaging advice to give. Unfortunately, I know of law enforcement who have been trained to pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're dealing with Unix systems or servers. (!!!!)

Anonymous said...

Joe,

I'm completely on-board with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of performing some kind of live response activities prior to pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug. What I'm curious about is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last sentence of your comment...why pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug only on non-Unix systems?

One thing I'm curious about is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tendency to pull an "image" of physical memory...what does one do with a upwards to a full gigabyte of data? From what I've been told, some folks run strings on it, and though that may give you leads, it does so without context.

H. Carvey
"Windows Forensics and Incident Recovery"
http://www.windows-ir.com
http://windowsir.blogspot.com

js said...

Harlan,

Their reason is that Unix systems are more susceptible to system files being corrupted after pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug (cached data, kernel memory space objects, etc.) The problem is safely shutting down a *nix box without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root password. If you don't have it to run su or sudo-based shutdown, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you have no choice but to pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug. I know some sysadmins that would attest to weird things happening when an upgrade froze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system or a sudden power loss trashed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir *nix OS. Windows is somehow more resiliant in this aspect.

As for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some useful applications for that. The context can be achieved with strings and tying that back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive image or "known" memory text, e.g. trojan signature of some type. This is useful when you have rogue applications running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than accounting fraud and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r static incidents.

Anonymous said...

Joe,

My concern is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "context" one achieves with strings is limited, as you really don't have much of a way to tie it to a specific process.

Also, you say, "As for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some useful applications for that."...can you name any available for Windows physical memory dumps?

js said...

By "applications," I meant ways to apply or use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump. I do not know of any useful Windows programs. I tend to use EnCase and FTK when performing forensics inside of Windows. I can think of several useful ways to parse and make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data available through even just a scripting language.

I agree that you can't very well compare it to a specific program, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are times when it can be done. Say a program is writing packets, which will be stored in memory until overwritten. The binary data will be of little to no value.

Anonymous said...

As it was mentioned, law enforcement is taught to pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority Windows systems, however, this doesn't pertain to incident response situations (cops do dead box forensics, not incident response as general rule).

As an analogy with LE, cops are trained to preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime scene without doing any furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r harm or changes, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it be a murder scene or computer related incident, so, you get lots of training to 'pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug'. The IT guys and gals deal with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r spectrum of computer incidents where pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug won't be beneficial.

Brett Shavers
bshavers@gmail.com

Anonymous said...

I find it very interesting that several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posts say that one way or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "sucks" or is not acceptable. I think this is where ignorance or intolerance leads one to spout about without seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “big picture”
There is more than one acceptable way of performing an analysis and collection of “evidence” and everyone should be on board with that philosophy, short of something destroying "evidence". One speaks from an "enterprise" philosophy while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r speaks from LE. I have completed both styles of exams and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no "one" way to arrive at a correct result.
There are many applications to capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "live" data, including RAM and running processes. ProDiscover, LiveWire, HELIX and of course, EnCase FIM/Enterprise. If one captures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "live" information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n pulls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug, what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 harm? It really is a win/win situation where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live data is/was captured and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile/swap and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "changable" disk areas are presevered "as is", at least on Win9X or NT systems. The LINUX/UNIX based systems do have potential to suffer kernel damage and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk VS reward must be evaluated when deciding whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not to “pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug”.
Harlan, with regards to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live state of RAM. I have reviewed live captures of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RAM and successfully recovered passwords while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have recovered partial, unlogged chats and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r useful information, including some memory resident only programs that don’t show up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 running processes list. I think this is what you were asking, I apologize if not.
My personal opinion is that we, as forensic analysts or examiners should not be too quick to point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finger unless something is just flat out wrong. This stuff will come back to bite someone when we make vague statements that imply that a procedure is not acceptable or incorrect or just not “up to date” instead of stating that a procedure is not a “best practice” situation. Just my two cents.

Trooper Michael C. Taylor
PA State Police
Criminal Investigator / Computer Crimes