Showing posts with label forensics. Show all posts
Showing posts with label forensics. Show all posts

Friday, November 30, 2018

Malware and Memory Forensics Training in 2019!

We are excited to announce that in 2019 we will have 3 public offerings of our highly popular and newly updated Malware and Memory Forensics training course. If you would like to join us, our international course will be in London in September, and our US course will be back in Reston/Herndon, VA, during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 week of April 8-12, and also in October. We will announce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific weeks of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fall courses soon.

Our cutting-edge materials are one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main reasons students value our course. We don't teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same concepts year after year. Instead, we update our class regularly to stay in sync with (and in some cases, ahead of) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rapidly changing attack surfaces, advances in defense technologies, malware hiding tricks, and operating system forensics artifacts. A few recent additions include:
  • Updated memory analysis techniques for Windows 10 changes
  • Challenges of recent hibernation file analysis
  • Incorporating decompression of memory pages and paging files into analysis
  • Expanded coverage of memory-only Powershell and .NET based attacks
  • Scalable and automated memory acquisition of Linux systems
  • Memory acquisition challenges from OS X Mojave systems
Not only only will you be learning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se memory forensics topics directly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Framework and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Art of Memory Forensics, but you will also receive Volatility stickers, a branded USB drive, a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Art of Memory Forensics (digital or print), and various opportunities to win SyncStops - all nicely documented by a recent student:

We also recently started providing students with a foldable copy of our popular cheat sheet:

 One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most popular class contests is our CTF that pits individuals (or teams of two) against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, in a challenge that involves analyzing Windows and Linux memory samples in a scenario resembling events that unfolded during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2016 U.S. Presidential Election.

To continue providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most up-to-date memory forensics training available anywhere in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, our instructors constantly perform high impact, real-world DFIR  (12345, 6, 7). The knowledge gained during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se investigation is immediately transitioned into content and labs for our training courses.

Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core knowledge needed to perform effective memory forensics, we also teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest tools and techniques for reliable memory acquisition. Students will gain experience using Volexity Surge Collect Pro for robust, fast, and secure collection of Windows, Linux, and OS X memory to local and remote/network-based destinations. Students can purchase Surge licenses at a discounted price during course registration (see Memory Forensics Training FAQ) or separately after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class.

In closing this update, we would again like to thank cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community for its continued support of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility project and our associated training course. It was great seeing and meeting so many users around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world this year, particularly at OSDFCon, Black Hat, DFRWS, BSidesNOLA, and in Amsterdam and Herndon.

-- The Volatility Team

Wednesday, February 28, 2018

Malware and Memory Forensics Training Headed to Herndon and Amsterdam!

After anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r highly successfully year of our Malware and Memory Forensics training, which included sold-out public trainings in Herndon, VA and London as well as several private trainings, we are excited to announce our lineup of public trainings for 2018.

Our first offering will be back in Herndon in April from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16th to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 20th. This class is already over 80% full, so please contact us ASAP if you wish to attend this offering.

We will also be back in Herndon for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 week of October 15th to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 19th.  Our Fall classes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Herndon/Reston area have consistently been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fastest to sell out, so please lock in your seat as early as possible.

Finally, we will be returning to Europe with an offering in Amsterdam in September from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4th to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7th. Please note that this class will run Tuesday-Friday instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal Monday-Friday. To make up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missing time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tuesday-Friday sessions will each run until 6PM. 

Our course is constantly evolving in order to cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest operating system updates, malware techniques, and attacker tactics. The following highlights some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new material for our 2018 offerings:
  • The effects of Meltdown  and Spectre on memory forensic acquisition and analysis
  • The effects of Intel’s SGX, TME, and MPX extensions on memory forensic acquisition and analysis
  • The latest tactics of highly advanced threat groups against whom we have performed real-world analysis, such as OceanLotus
  • The introduction of Surge Collect Pro for Linux 
  • Updated coverage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security features introduced in Windows 10

As we have in years' past, we will continue to give out tons of swag, including a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Art of Memory Forensics in eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r digital or printed form:


As well as running our highly popular CTF on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last day of class:



In closing this update, we would again like to thank cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community for its continued support of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility project and our associated training course.   If you will be at BSidesNOLA, Black Hat Vegas, or OSDFCon later this year cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n please come introduce yourself in person!

-- The Volatility Team

Thursday, April 20, 2017

The (5th Annual) 2017 Volatility Plugin Contest is Live!

Its that time again, folks! The 2017 Volatility Plugin contest is now live and accepting submissions until October 1st, 2017. Winners of this year's contest will be receiving over $2,250 in cash prizes as well as plenty of Volatility swag (t-shirts, stickers, mugs, sync stops, etc).

The purpose of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contest is to encourage open memory forensics research and development. It is a great opportunity for students to become familiar with memory forensics, develop a master's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis or PhD project, as well as gain experience that will be very desirable by future employers. For those already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, submitting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contest is a great way to gain experience and visibility in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory forensics community. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contest is over we promote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work in our conference presentations, blogs, and social media.

If you are looking for inspiration or to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past winners, please check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pages from 201320142015, and 2016. You will find projects that allow for inspection of virtual machines guests from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host, recovery of in-memory browser artifacts, methods to detect stealthy rootkits, and much more.

If you have any questions please feel free to reach out to us. 

We are looking forward to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r year of innovative open source research!

Monday, December 5, 2016

Results from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2016 Volatility Plugin Contest are in!

Congratulations to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 participants! This year we received more submissions than ever before (21 to be exact, from 16 different authors), so judging took longer than we expected. Sorry about that! The good news is...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a LOT of new and exciting functionality available to law enforcement agents, DF/IR practitioners, malware analysts, and researchers around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 globe, which can immediately be transitioned into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir workflows. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole spirit of open source memory forensics with Volatility, and we're once again very proud to sponsor a contest with such impressive results.

It may sound cheesy, but everyone is a winner in this contest. Although a few developers will walk away with prizes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all solved a problem that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y (and inevitably ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs) faced, gained experience writing Python plugins, and learned some intricacies of memory analysis internals. The capability to program around technical issues and design/implement solutions is a gift. You can applaud by following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors on Twitter/GitHub/LinkedIn, providing feedback on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ideas, and helping to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code with testing, documentation, or contributing patches.

We also want to thank Airbnb for donating $999 to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cash prizes! When looking for a new job, we definitely recommend considering employers that support open source forensics and value cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of memory analysis. Maybe you can be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir next Security CSIRT Engineer!


Here is a break down of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 placements and prizes


1st place and $1800 USD cash or a Free Seat at Malware and Memory Forensics Training by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Project goes to:
Monnappa for Hollow Process Detection and Analysis. Monnappa also participated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2015, so this is his second consecutive contest. Aside from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code itself, Monnappa's corresponding documentation was very impressive. Given Monnappa has already taken our training class, he'll likely take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cash prize!
2nd place and $800 USD cash goes to:
Kevin Breen for VolUtility and LastPass Credential Recovery. Although we've seen web interfaces in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, Kevin's take on it has a lot of unique and helpful features. He's already integrated quite a number of new capabilities since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contest closed in October and he's showing no signs of slowing down. He's got Volatility plugin fever! 
3rd place and $450 USD cash goes to:
Dima Pshoul for Advanced Malware Hunter's Kit. Dima designed several creative ways to detect memory-only injected code, which is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major reasons why analysts rely on memory forensics. Say hello to malfind's two new best friends! 
4th place and $100 USD cash and Volatility Swag goes to:
Mariano Graziano for ROP Payload Analysis and Linux Kernel Symbol Finder. This is Mariano's second plugin contest - he previously won first place for Actaeon. Its great to see Mariano continuing to implement powerful capabilities like ROPMEMU. Likewise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux kernel symbol finder preemptively solves issues that analysts will face in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of Linux profiles.
5th place and $100 USD cash and Volatility Swag goes to:
Bart Inglot for RDP Key Extraction and Replay. This is Bart's second plugin contest, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time he's made it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top 5. We met Bart a few years ago when he attended one of our training classes in Amsterdam, and since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, he's been rapidly improving his memory forensics skills. Bart's submission highlights some really cool capabilities related to offline DPAPI data decryption and extraction of key data from RAM. 
Thomas White for Mac FileVault2 and Microsoft Bitlocker Key Extraction. Togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with Volatility's existing plugins for Truecrypt and dm-crypt on Linux, investigators not only have quite thorough support for pulling FDE keys from RAM, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can understand where and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys are stored in virtual memory. 

Here is a detailed summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submissions. If you have feedback for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors, we're sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd love to hear your thoughts.


1st: Monnappa: Hollow Process Detection and Analysis

Monnappa's hollowfind is a Volatility plugin to detect different types of process hollowing techniques used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild to bypass, confuse, deflect and divert forensic analysis techniques. The plugin detects such attacks by finding discrepancies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VAD, PEB, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r OS meta-data structures. The plugin also disassembles cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address of entry point to detect any redirection attempts and also reports any suspicious memory regions which should help in detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injected code.

Monnappa's research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process hollowing technique in general is very impressive. To design cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins, he needed to reverse engineer various real-world malware samples that performed process hollowing, intimately study cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir subtle differences, and write code to handle each case. His blog below is complete with commented IDA screen shots and Volatility plugin output produced after executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 described malware.

Monnappa's Blog on Process Hollowing: detecting-deceptive-hollowing-techniques
Monnappa's GitHub: https://github.com/monnappa22
Monnappa's Twitter: @monnappa22

2nd: Kevin Breen: VolUtility Web Interface

VolUtility is a web interface (written in Django) for Volatility. It runs plugins and stores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output, derived directly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin's JSON rendering APIs, in a Mongo database. It extracts files from plugins (that support --dump-dir) and stores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary content in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database as well, allowing searches across all plugins and file content with string search and Yara rules. In comparison with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r web interfaces that we've seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, VolUtility stands out due to its extensions, which allow integration with Cuckoo Sandbox, Exif, Floss, and VirusTotal. It also features a hex viewer, PST and SQLite viewers, registry hive browser, volshell-like input controls, etc. We found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation very thorough and installation/configuration on Linux was a breeze.

Kevin's Website: https://techanarchy.net

2nd: Kevin Breen: LastPass Credential Recovery

LastPass is a highly popular and widely used password manager. Its ease of use and direct integration into major browsers allows for even non-technical users to maintain unique, strong passwords across a variety of websites and services. Since many users trust all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir passwords to LastPass, cleartext credentials from its database are highly valuable forensic targets. This newly submitted plugin, named lastpass, allows for targeting of LastPass user credentials that were stored in memory at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of acquisition, allowing for rapid exploitation by forensic analysts.

Kevin leveraged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process VAD scanner API in Volatility along with custom Yara rules to locate signatures related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cached LastPass credentials. Currently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin focuses on IE, Chrome, and FireFox, however Kevin plans to test additional browsers, extend support to additional password managers, and implement unified output so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data can be consumed/post-processed by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r applications easily.

Kevin's Website: https://techanarchy.net

3rd: Dima Pshoul: Advanced Malware Hunter's Kit

In Dima's own words, he is a "long time Volatility user who wanted to contribute to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 framework and also improve it by writing unique and powerful plugins." Mission accomplished! The "Advanced Malware Hunter's Kit" includes plugins for reconstructing call stacks, detecting hollowed processes, finding malicious threads via code executed from dynamically allocated addresses, and locating injected code regions by analyzing return addresses on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack.

Dima did a great job analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current plugins in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Framework (namely malfind) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 associated weaknesses that malware can exploit to trick investigators. Conceptually, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques Dima introduced in his plugins will be invaluable supplements for detection of malware hiding in memory.

Dima's GitHub: https://github.com/papadp

4th: Mariano Graziano: ROPEMU (ROP Payload Analysis)

ROPMEMU is a framework for analyzing return-oriented programming (ROP) payloads. It includes two Volatility plugins. The first plugin, ropemu, emulates a ROP payload gadget-by-gadget and produces a JSON trace of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 affected machine state. The second plugin, unchain, transforms ROP gadget sequences into simplified non-ROP code for easier analysis and understanding. The plugins leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unicorn emulator and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Capstone disassembler. In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility plugins, several interesting "helper" utilities are also included.

In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility plugins, Mariano also published an academic paper on his work and has presented it at conferences, undoubtedly inspiring countless ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r researches.

Mariano's AsiaCCS Slides: ROPMEMU_final.pdf
Mariano's Twitter: @emd3l
Mariano's Blog Post at Cisco Talos: http://blog.talosintel.com/2016/06/ropmemu.html
The Project's GitHub: https://github.com/vrtadmin/ROPMEMU
Mariano's GitHub: https://github.com/emdel

4th: Mariano Graziano: Linux Kernel Symbol Finder

Mariano's ksfinder is a standalone Python script to retrieve exported kernel symbols from Linux physical memory dumps. The script is useful in a scenario in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst does not have a Linux profile and cannot create it (for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspect system was reformatted after memory collection, you simply no longer have access to it, you couldn't obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel headers, etc). In those cases, ksfinder recreates (or partially recreates) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System.map file by parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 __ksymtab_strings and __ksymtab of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux kernel image (aka vmlinux) solely from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory sample.

Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script is not technically a Volatility plugin, it can easily be imported or integrated with Volatility plugins to alleviate one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest issues analysts face with regards to memory forensics of Linux systems.

Mariano's Twitter: @emd3l

5th (tie): Bart Inglot: RDP Key Extraction and Replay

The rdpkeys plugin extracts RC4 and SSL keys from a memory image that can be used for RDP replay. The keys are automatically converted into PEM format, but can be also saved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 native format (referred to as PVK). Bart also included instructions to decode an RDP session with WireShark using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSL key extracted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin, and examples of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extraction works and when it can fail.

Bart's plugin makes excellent use of Volatility's APIs. For example, he leveraged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry API to recover LSA Secrets, and on platforms that require it - he used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cached File APIs to recover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DPAPI Master Keys and SSL Private Keys. We also found it very valuable to see examples of using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Python DPAPI module to perform decryption based on resources found in memory - this will undoubtedly serve as a template for various ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r plugins in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Bart's Writeup: BartInglot_RdpKeys.pdf
Bart's submission: rdpkeys.py
Bart's Twitter: @BartInglot

5th (tie): Thomas White: FileVault2 & Bitlocker Key Recovery

Thomas White's two FVE plugins are aimed at helping investigators recover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary keying information for decrypting/unlocking disks. In particular, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bitlocker plugin targets recent versions of Microsoft Windows and recovers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FVEK, cipher information, and TWEAK key. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most impressive aspects of this plugin is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research and documentation that goes along with it. Thomas recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps he took when live debugging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows kernel to identify differences in key storage locations starting with Windows 8. This is an extremely valuable tutorial on how Volatility plugins come to life, especially those that access undocumented structures and memory regions.

Likewise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FileVault2 plugin targets Mac OSX and has even been tested on Sierra (10.12). The write up below includes a short tutorial on mounting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence with extracted master keys using fvdemount.

Thomas' Post on FileVault: extracting-filevault-2-keys-with-volatility
Thomas' Twitter: @triblchkn


The following submissions appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were received. As previously mentioned, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se developers deserve huge props. We look forward to seeing future work by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se authors!


Aim4r: VolDiff Memory Diffing and Malware Identification

VolDiff is a python script that leverages Volatility to identify malware artifacts in Windows 7 memory samples. It not only helps automate Volatility plugin execution but it also provides numerous built-in checks for suspicious artifacts typically associated with malware. Examples include child/parent process relationships, process sessions, execution paths, interesting imported APIs, suspicious strings, etc. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 checks are based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of Volatility plugins such as pslist, psscan, dlllist, impscan, and malfind. Analysts can easily extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heuristics by editing regular expressions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration area of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool.

VolDiff also provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to highlight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between a sample taken before and after malware execution. This can help an analyst rapidly triage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 types of changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware may have made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. VolDiff helps automate common analysis techniques used by malware investigators.

Aim4r's Twitter: @aim4r
Aim4r's GitHub: https://github.com/aim4r
Example analysis: Memory-Analysis-of-DarkComet-using-VolDiff

Marcin Ulikowski: Bitlocker Key Recovery

This plugin finds and extracts Full Volume Encryption Key (FVEK) from memory dumps and/or hibernation files. This allows rapid unlocking of systems that had BitLocker encrypted volumes mounted at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of acquisition. Architecturally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin scans for BitLocker cryptographic allocations (memory pools) in virtual memory, covering both 32- and 64-bit systems running Windows Vista through Windows 8.1 (support for Windows 10 is in progress). Marcin notes that Windows 8 and newer use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cryptography API: Next Generation (CNG), so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool tags are different than previous versions. We found Marcin's AES key schedule validation routines particularly useful (to avoid false positives) in addition to his documentation on how to use bdemount to decrypt protected resources.

Marcin's Twitter: @elceef

Hemant Kumar and Sajeev Nair: Windows MemDiff Forensic Tool (WMDF)

This Windows GUI tool provides a front end to extracting memory related artifacts with Volatility. Additionally, analysts can compare those collected artifacts with a whitelisted artifacts database (generated by running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool against a baseline system) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir choice. This comparison points out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes made by malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, helps provide analysts with crisp and low level information, and decreases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area of investigation an analyst needs to manually review.

WMDF Submission: https://goo.gl/XC177B
WMDF Documentation: WMDF.pdf
Hemant's Twitter: @hemantxcode
Sajeev's Twitter: @nairsaj

Nichlas Holm: Network Packets, IP/MAC, ARP

This submission, networkpackets, is a Volatility plugin for extracting network packets (IPv4 and ARP) out of memory samples. The plugin provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to quickly identify memory-resident network packets, and based on those packets provides an analyst with context about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network environment. This context includes information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP/MAC address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network gateway, and an overview of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same network. Extracted packets are exported into PCAP format, which enables analysis with traditional network analysis tools.


Stanislas 'P1kachu' Lejay: Auto-Profile Detection

P1kachu addresses a real problem (OS and profile detection) that Volatility users frequently face with his profilescan plugin. This plugin uses a pattern-matching approach to infer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system of a target memory image. It cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corresponding OS-specific profile detection plugin. Since Volatility does not provide such a plugin for Linux images, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors also developed a helpful a uname scanner plugin, linuxgetprofile, which also outputs details on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel and compiler versions.

We're confident that P1kachu's plugin and associated methodologies can become a critical piece in many investigators initial workflows, saving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m valuable time and avoiding a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical "guess work" that has traditionally been done.

P1kachu's GitHub: https://github.com/P1kachu
P1kachu's Website: http://p1kachu.pluggi.fr
Post on ProfileScan: volatility-profile-finder

Martin Korman: VolatilityBot Malware Detonation Framework

VolatilityBot provides a modular malware "detonation" architecture that helps automate many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manual and repetitive tasks associated with malware analysis. This includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extraction of malicious binaries and any associated code injections or related artifacts (strings, IP address, etc.) that may be created during execution. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious code has been extracted, it also provides numerous post-processing modules to help identify behavior patterns in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code and prepare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extracted code for in-depth static analysis. Finally, VolatilityBot also provides a number of capabilities for automated heuristic analysis and triaging memory samples at scale.

Martin's Twitter: @MartinKorman
Martin's VB 2015 Slides: Korman-VB2015.pdf
Martin's Code Repository: https://github.com/mkorman90/VolatilityBot

James Hall and Kevin Breen: USBStor

The USBStor plugin scans registries for values relating to USB devices plugged into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system under investigation. Instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst needing to manually analyze each registry hive (USBSTOR, USB, MountedDevices etc.) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin will return all available information about previously connected USB devices in an easy to digest, collated format. This greatly decreases analysis time and ensures no mistakes are made and no information is overlooked. The plugin's output contains details such as USB serial number, vendor and product info, container ID, mounted volume name, drive letter, USB friendly name, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last connection timestamp, and more.

James' Website: https://ducktoolkit.com
James' Twitter: @411hall

Tyler Halfpop: FindEvil Malware Analysis Automation 

The FindEvil project, along with its two new Volatility plugins, findevilproc and findevilmem, provide for automated extraction of executables (applications, DLLs, and kernel drivers) from memory as well as calculation of several attributes of interest to investigators – Virus Total scores, entropy calculations, Yara-based detections, and whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable is digitally signed or not. Leveraging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se plugins, investigators can quickly find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "evil" executables that are active on a system being investigated and immediately focus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analysis on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Tyler's Twitter: @tylerph3

Tran Vien Ha: Open Source Intelligence & MISP Integration

The osint plugin submits URLs or IP addresses found in a memory sample to open source intelligence platforms. Data is submitted using a SOCKS proxy, generally Tor, to provide a degree of anonymity. osint currently supports Blue Coat, Virus Total, and MISP. Your data sources and respective API tokens are stored in a configuration file, and a text file allows you to whitelist commonly seen domains.

The author also contributed an HTML plugin using JQuery for rendering tree views (such as pstree), which is quite handy.

Tran's GitHub: https://github.com/tranvienha


Here are a few additional resources regarding previous contests and community-driven plugins:


Volatility Foundation Contest Home Page: http://www.volatilityfoundation.org/contest

Volatility 2015 Plugin Contest Results: http://www.volatilityfoundation.org/2015
Volatility 2014 Plugin Contest Results: http://www.volatilityfoundation.org/2014-cjpn
Volatility 2013 Plugin Contest Results: http://www.volatilityfoundation.org/2013-c19yz

Volatility Community GitHub Repository: https://github.com/volatilityfoundation/community

Thursday, October 29, 2015

Results from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2015 Volatility Plugin Contest are in!

The competition this year was fierce! We received 12 plugins to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contest. Similar to last year, ranking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submissions was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardest things we’ve had to do. Each plugin is unique in its own way and introduces a capability to open source memory forensics that didn’t previously exist. Although a few people will receive prizes for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real winners in this contest are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practitioners and investigators in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community that perform memory forensics. 

Needless to say, we're very proud of everyone who submitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contest. 

Here are this year’s rankings:
  1. Fred House, Andrew Davis, and Claudiu Teodorescu for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shimcachemem plugin. 
  2. James Habben for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evolve web interface to Volatility. 
  3. Philip Huppert for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM migration address space. 
  4. Ying Li for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 linux python strings and SSH agent plugins. 
  5. Adam Bridge for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NDIS packet scanning plugin. 
Here is a detailed summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submissions. If you have feedback for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors, we're sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd love to hear your thoughts.

1st: Shimcache Memory Scan 


This plugin by FireEye and Mandiant researchers Fred House, Andrew Davis, and Claudiu Teodorescu parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Application Compatibility Database (aka, ShimCache) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module or process memory that contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors' own words:

Shim cache is a highly valuable forensic artifact used to identify evidence of file execution. In addition to recording potential file executions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache is ordered, meaning that an analyst can identify ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files that may have executed before or after a file of interest.

Most forensic tools that parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shim cache rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows registry. The cache in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry is only updated when a system is shutdown so this approach has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disadvantage of only parsing cache entries since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last shutdown. On systems that are not rebooted regularly (e.g., production servers) an analyst must eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r use out-of-date shim cache data or request a system reboot.

This plugin parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shim cache directly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module or process containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby providing analysts access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most up-to-date cache. The plugin supports Windows XP SP2 through Windows 2012 R2 on both 32 and 64 bit architectures.

Fred's Twitter: @0xF2EDCA5A
Claudiu's Twitter: @cteo13

2nd: James Habben: Evolve Web Interface


This submission provides a web interface to Volatility built with AJAX, jQuery, and JSON. It allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to run several plugins at once and leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of multi-processing. It shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins' status and places cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 completed plugins near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top for easy access. The output is easily searchable given its sqlite3 backend and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a "morph" option as well for highlighting interesting artifacts. In fact, users can create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own morphs using a plugin-based template system. Existing morphs include associating country codes with IP addresses and marking filenames that do not match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSRL list. 

3rd: Philip Huppert: VM Live Migration 


This submission includes an address space plugin for accessing memory samples found in network data captured during a VMotion live migration. In particular, it currently supports analysis of samples collected during VMotion migrations between ESXi hosts. This allows an analyst to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire runtime state of a virtual machine as it is being transferred between two physical hosts over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. This has a number of valuable applications toward virtual machine introspection and forensics investigations of cloud environments. 

Philip's plugin represents interesting implications toward VM's that migrate between different cloud providers or countries. Wireshark has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic protocols but not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic, so this is a new and exciting capability for both forensic researchers and offensive security analysts. 

Philip's Twitter: @oilheap
Philip's GitHub: https://github.com/Phaeilo

4th: Ying Li: Python Strings and SSH Keys 


This submission includes a collection of plugins for analyzing memory samples acquired from 64-bit Linux systems. The plugins were initially presented at PyCon 2015. The first plugin in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submission, linux_python_strings, extracts memory resident Python strings from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heap of Python processes. This is accomplished by scanning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heap for Python string objects. The advantage of this approach is that we are able to leverage context that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interpreter has about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 particular string and how it is being used. The author also includes a plugin for extracting strings stored in Python dictionaries. The context provided by this plugin could allow an analyst to determine which strings were associated as key-value pairs. The final plugin, linux_ssh_keys, will extract RSA keys from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heap of ssh-agent processes. These keys could be useful when investigating lateral movement or performing an investigation of a suspected person's machine.  

Ying's plugins continue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trend of moving furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis stack into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application to extract more memory resident context. As for RSA keys, extracting crypto artifacts is always interesting. To date, we haven't seen anyone extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSA keys from ssh-agents with Volatility. Additionally, Ying created an automated test harness for generating memory samples, which we thought was particularly useful. 

Ying's Twitter: @cyli
Ying's GitHub: https://github.com/cyli
Ying's PyCon 2015 Talk: https://www.youtube.com/watch?v=tMKXcc2-xO8

5th: Adam Bridge: NDIS Packet Scan 


This submission carves packets and ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet frames from NDIS shared memory sections (regions of RAM shared between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS and DMA NIC). Although tools exist to scan an arbitrary binary file for packets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra context that Adam's plugin provides is extremely valuable. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodology is far less likely to produce false positives or report fake/decoy packets. In addition to outputting text and pcap formatted results, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin also decodes NetBIOS names found in DNS traffic and extracts slack space between packet payloads that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools may miss. This research represents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of a very exciting realm of future plugins that focus on NDIS private data structures including data waiting in sent/received buffers. 


The following submissions appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were received. As previously mentioned, everyone succeeded in solving a specific problem that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y (and undoubtedly ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs) faced. For this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y deserve huge props. We look forward to seeing future work by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se authors!

Joe Greenwood: Hacking Team RCS Attribution  


This plugin searches a memory dump for evidence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hacking Team Galileo Remote Control System (RCS), and attempts to attribute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection to particular Hacking Team client. One of our favorite aspects of this plugin is that it detects RCS based on its predictable named shared memory sections, a creative alternative to scanning for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical byte signatures and mutexes. Its also a really nice touch to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra attribution context via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 watermark lookups. 

Alexander Tarasenko: Pykd/Windbg Address Space


This submission lets you integrate Volatility into Windbg through Pykd. You're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n able to query for addresses of critical data structures, functions, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r variables using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debugging APIs. Additionally, you can connect Volatility to a running Windows system in debugging mode and run Volatility plugins against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live system, which particularly comes in handy for malware/rootkit analysis (not necessarily IR/forensics). 

The author of this address space also mentioned a new project named Karmadbg (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link below) which is a GUI intended for development of new debugging and memory analysis scripts. Check it out! Unfortunately, documentation in English is not yet available. 

Pykd's Twitter: @pykd and @pykd_dev
Pykd's Website: https://pykd.codeplex.com
Karmadbg's Website: https://karmadbg.codeplex.com

Loïc Jaquemet: Haystack 


These plugins are an interface between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility framework and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 haystack framework. While Volatility establishes a forensic framework to analyse a system's RAM, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 haystack framework is intended to analyse a process's RAM, allowing an analyst to search for defined structures in a process's memory. You can build structure definitions from known/public C header files or with Python's ctypes library (based on undocumented or reverse engineered data structures) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n plug cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into this framework to scan across process heaps, all process memory allocations, etc. The author provided examples of constraints that can find openssl cipher contexts, session keys, and passphrases, but its surely not limited to those types of data. Give it a shot and see what you can find! 

Loïc's Twitter: @trolldbois
Loïc's GitHub: https://github.com/trolldbois
The python-haystack module: https://github.com/trolldbois/python-haystack

May Medhat (et. al.): GVol Tool


This tool by EG-CERT researchers May Medhat and Mohamad Shawkey provides a (thick) GUI front end for Volatility written in Java. It lets you run preconfigured batch scripts against a memory dump with just a couple mouse clicks or you can customize your own batch scripts. You can choose from categories such as Rootkits, Kernel Artifacts, Networking, etc. and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y link up with Volatility plugins in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backend. We imagine this tool will be very handy for analysts who are not comfortable on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line or with Volatility usage in general. Additionally, for those who are seasoned Volatility users, this tool can reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of time you spend typing commands before you actually dive into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of your case. 

Monnappa Ka: Linux Memory Diff 


This plugin uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility advanced memory forensics framework to run various plugins against a clean and infected Linux memory image and reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes. Many times while doing memory analysis (or malware analysis) an analyst is presented with an abundance of data and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst has to manually find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious artifacts from that data which takes time and effort. This tool helps in solving that problem by comparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clean and infected memory images. This tool helps speed up analysis, reduce manual effort and allows you to focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant data.

Monnappa's Twitter: @monnappa22
Monnappa's GitHub: https://github.com/monnappa22
Monnappa's Blog: http://malware-unplugged.blogspot.com

Bart Inglot: Scheduled Task and Job Scanners 


This plugin scans for job files and prints out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir information. It's useful from a DFIR perspective, since job files are often used by attackers in order to run programs with SYSTEM privileges, run at scheduled moments, or to move laterally within a network. Aside from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job plugin for Volatility, adapted from Jamie Levy's jobparser.py (http://gleeda.blogspot.com/2012/09/job-file-parser.html) Bart also has written standalone carvers for jobs and scheduled tasks that work against memory samples, disk images, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r binary files. 

Saturday, August 1, 2015

Recovering TeamViewer (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r) Credentials from RAM with EditBox

I recently stumbled upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TeamViewer-dumper-in-CPP project, which shows just how easy it is to recover TeamViewer IDs, passwords, and account information from a running TV instance by enumerating child windows (on a live machine). The method is based on sending a WM_GETTEXT message to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TV GUI controls that contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials. In particular, we're looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two fields under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Allow Remote Control" heading (Your ID: 567 744 114 and Password q16jp7).


The equivalent of TeamViewer-dumper for memory forensics analysts is Adam Bridge's EditBox plugin for Volatility. Adam's submission won 3rd place in last years Volatility Plugin Contest, but I still feel like many people don't realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full potential of this plugin. While TeamViewer-dumper is specific to TV, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EditBox plugin recovers text from editbox controls for all applications (that depend on Microsoft Common Controls) across all user sessions (local or remote via RDP/VNC), even for "special" editboxes that contain passwords and show up as asterisks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen.

Here's an example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editbox plugin's output when TV is running:

$ python vol.py -f memory.dmp --profile=Win7SP1x64 editbox Volatility Foundation Volatility Framework 2.4 41 processes to check. ******************************************************* Wnd context : 1\WinSta0\Default Window title : - pointer-to tagWND : 0xfffff900c062b510 [0x67dc6510] pid : 2524 imageFileName : TeamViewer.exe wow64 : Yes atom_class : 6.0.7601.17514!Edit address-of cbwndExtra: 0xfffff900c062b5f8 [0x67dc65f8] value-of cbwndExtra : 4 (0x4) address-of WndExtra : 0xfffff900c062b638 [0x67dc6638] value-of WndExtra : 0x46e0480 [0x67302480] pointer-to hBuf : 0x46af000 [0x67e28000] hWnd : 0x10228 parenthWnd : 0x1020a nChars : 6 (0x6) selStart : 0 (0x0) selEnd : 0 (0x0) text_md5 : 7a62c5fa901ff86a1562b9c7075674f8 isPwdControl : No q16jp7 ******************************************************* Wnd context : 1\WinSta0\Default Window title : - pointer-to tagWND : 0xfffff900c062b150 [0x67dc6150] pid : 2524 imageFileName : TeamViewer.exe wow64 : Yes atom_class : 6.0.7601.17514!Edit address-of cbwndExtra: 0xfffff900c062b238 [0x67dc6238] value-of cbwndExtra : 4 (0x4) address-of WndExtra : 0xfffff900c062b278 [0x67dc6278] value-of WndExtra : 0x46a0f98 [0x689d7f98] pointer-to hBuf : 0x46bf390 [0x6769d390] hWnd : 0x10224 parenthWnd : 0x1020a nChars : 11 (0xb) selStart : 0 (0x0) selEnd : 0 (0x0) text_md5 : b45dfe635940d5490276a5ae41e1422f isPwdControl : No 567 744 114 ******************************************************* Wnd context : 1\WinSta0\Default Window title : - pointer-to tagWND : 0xfffff900c0631a50 [0x552cea50] pid : 2524 imageFileName : TeamViewer.exe wow64 : Yes atom_class : 6.0.7601.17514!Edit address-of cbwndExtra: 0xfffff900c0631b38 [0x552ceb38] value-of cbwndExtra : 4 (0x4) address-of WndExtra : 0xfffff900c0631b78 [0x552ceb78] value-of WndExtra : 0x4781678 [0x6648b678] pointer-to hBuf : 0x46fac80 [0x68493c80] hWnd : 0x801aa parenthWnd : 0x70186 nChars : 15 (0xf) selStart : 0 (0x0) selEnd : 0 (0x0) text_md5 : 2cbe388f82d11af92a8d4950e24db799 isPwdControl : No WIN-948O8I1DO91 [snip]
As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ID, password, computer name, and various ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fields are recovered. This is a powerful way to reconstruct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user interface from memory. Although technically you could also find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values by brute force string scanning in process memory, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no need to brute force when you can use a structured, focused approach. Kudos to Adam for creating such a useful extension to last year's plugin contest.

Tuesday, January 27, 2015

Incorporating Disk Forensics with Memory Forensics - Bulk Extractor

In this post we will take our first look at a tool that is primarily used for disk forensics and show how it can be useful during memory forensics analysis as well. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming weeks we will have several follow on posts highlighting ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools and techniques.

Background

As you are likely aware, much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that is recoverable from disk and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is also recoverable from memory - assuming you get a valid sample within a proper time frame.  If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se conditions are met, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n many forensics tools not usually associated with memory forensics can be incorporated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory analysis process. The artifacts recovered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools are often ones that memory tools do not focus on and are ill-suited to handle. Through incorporation of such tools and techniques, investigators can fully leverage all information available in volatile memory.

In many real-world investigation scenarios, you may only ever get a memory sample - see Jared's OMFW 2014 presentation for an excellent example of this [6] - and even less likely will you get full network flow (PCAP) during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame of an attack. This is unfortunate as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network often has information vital to an investigation, such as which servers were used to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, which systems attackers laterally moved to, which domain(s) malware was downloaded from, and what commands were sent by a C&C server to local nodes. Even without a PCAP, all hope is not lost though, as network data must traverse main memory in order to be sent and received by applications.** This leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity for historical network information to be left in memory long after it was active.

This idea was explored in great detail by Simpson Garfinkel and his co-authors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir 2011 DFRWS paper 'Forensic carving of network packets and associated data structures' [5]. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y discuss not only historical network data in volatile memory, but also how that information can be stored on disk through system swapping and hibernation. This approach has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantage of potentially getting network data from even previous reboots of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

To demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 validity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir approach and evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research, new modules were added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source bulk_extractor [1, 2, 3] tool in order to automate extraction and processing.

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publication of this paper and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popularization of bulk_extractor, extracting network data from memory captures has become a technique used by many analysts and it has even appeared in leading college digital forensics courses [4].

** With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception of hardware rootkits within NIC firmware. If you believe this type of malware is active on a system that you need to investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 KntDD acquisition tool [14]. It can safely acquire memory from select NICs as well as acquire memory from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hardware devices.

Bulk Extractor

bulk_extractor is a highly-optimized open source tool that can scan inputs (disk, memory captures, etc.) and automatically find a wide range of information useful to investigators, such as email addresses, URLs, domains, credit cards numbers, and more. The project's wiki documents all of its scanning features [7]. Due to its multi-threaded, C++ design, bulk_extractor can often process inputs and extract all features at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speed at which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 input can be read, making it very useful for efficient analysis.

When bulk_extractor is finished processing a target it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n produces a number of output files. The exact files produced depends on which scanners were activated. For most scanners, in particular cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network-related ones, not only is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a file of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw data recovered, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is also a histogram produced that orders entries based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of times found. This can be interesting in a number of ways, such as looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most common email addresses to determine who a user being investigated communicated with frequently.

Carving Network Packets and Streams from Memory

One of bulk_extractor's most useful features to memory forensics, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one this blog will focus on, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to profile network data in a sample as well as produce a PCAP of all packets found.

The profiled data includes recovered IP addresses, which can be mapped to known-bad lists or researched through threat intelligence tools, and Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet frames, which can be used to determine which local systems were contacted. Both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se profiled data sets include a histogram file.

To get this set of information you can run bulk_extractor as:

bulk_extractor -E net -o

This will only run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net scanner and quickly produce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results described above in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory specified with -o. Depending on your time constraints and desired data recovered, you can also run with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r options, such as:

bulk_extractor -e net -e email -o

This will run both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net and email scanners, which adds several more output files of interesting forensics data, including information about all domains found as well as email addresses and URLs. This can obviously give deep insight into what network activity occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system being analyzed - potential phishing email accounts, malware URLs and domains, attacker C&C infrastructure, and so on.

Analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCAP File

In many of our own investigations we have found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCAP file produced by bulk_extractor to be invaluable. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection traces we have uncovered evidence of data exfiltration, including (partial) file contents, commands sent by attackers to malware on client systems, input and output of tools on remotely controlled cmd.exe sessions, re-directed HTTP traffic from web servers, and much more.

The number of packets in a created PCAP file is limited to what is available in memory and not overwritten. For systems with large amounts of RAM, this can be many megabytes of data. For systems with less RAM, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 in-memory caches will obviously be smaller, which often leads to less remnant information.  As we will show with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following forensics challenges though, even systems with small amounts of RAM can still retain crucial, historical network data long after it was processed.

Forensics Challenges

To show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usefulness of extracting network data from memory samples, we ran bulk_extractor against several memory captures included with popular forensics challenges. We choose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se challenges for several reasons. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y include both Linux and Windows samples. This shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usefulness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique across several operating systems. Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se challenges include small memory captures while still containing very useful data. Finally, by choosing public memory samples, anyone can perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own research and follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog.

DFRWS 2005 Challenge

The first challenge we will analyze is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFRWS 2005 challenge [8]. This is one cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most well-known challenges since it directly inspired what we now consider modern memory forensics.

In this challenge, investigators were given a full network capture as well as a memory capture both before and after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspect's laptop crashed. After running bulk_extractor, with -E net chosen, against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first sample we obtain a PCAP file (packets.pcap in BE's output folder) that has 130 packets. This is in comparison to 6304 packets in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full network capture, meaning roughly 2% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 related packets were recovered from a 126MB memory capture (no, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size is not a typo).

While this number may seem incredibly small, analysis shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recovered network data has highly useful information. As seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following screenshot from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCAP loaded into Wireshark, proof of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Back Orifice" (BO2k) malware being used on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is present. This also includes partial file names and commands used on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system:


As discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge's solutions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se backdoor interactions were a key part of solving what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker did to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Assuming a PCAP wasn't given along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge, which we will see is not always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n volatile memory would be all investigators had to rely on for network clues.

DFRWS 2008 Challenge

The second challenge we will discuss is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one from DFRWS 2008 [9]. This included a Linux memory memory sample along with an accompanying PCAP file. As with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous challenge, we will compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network data obtained from memory to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provided PCAP along with analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from memory. This memory capture was 284MB and 122 packets were recovered. This is in comparison to 10243 contained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full network capture (~1%).

Of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se 122 packets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was quite a bit of interesting data. As documented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winning solution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge [10], an encrypted ZIP file was exfiltrated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Portions of this exfiltration appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capture. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge details a Perl script used to extfiltrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data using HTTP cookies on particular domains. Both fragments of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Perl script as well as several cookie instances are contained within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory capture. The following shows one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious requests encoding data within a msn.com cookie.


Note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real msn.com is not contacted and a server under attacker control in Malaysia (219.93.175.67) is contacted instead. For more information on this Perl's scripts chunking and encoding of data, please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winning submission.

Honeynet 2010 Challenge

Honeynet's 2010 Challenge [11] focused on a end-user infected with a banking trojan. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge you were given only a memory sample of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim system. The given memory sample was 512MB and bulk_extractor recovered 256 packets. From our analysis, we believe this is a fairly significant amount of packets that were sent or received during creation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge, even though it is a small number.

As shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following Wireshark screenshot, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packets recovered includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request that downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ZBot malware:


This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focal point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation, and if you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge's official solution [12], you will see that once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious domain and connection are determined, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation falls into place.  Through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of bulk_extractor we can immediately find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request in-tact, whereas cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution required an intricate mixing of strings and Volatility to map cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pieces togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. It is also interesting to note that when trying to definitively piece togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution states:

"It’s not possible to state it for sure since no network dump is available."

As we have just learned, we do not need to be given a network capture in order to get verifiable and useful network data from memory.

Honeynet 2011 Challenge

The 2011 Honeynet Challenge was an investigation against a memory sample and disk image of a compromised server. No network capture was provided. The memory capture is 256MB and 347 packets were recovered. As discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solutions' for this challenge, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial foothold was gained on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server through a heap-based vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Exim mail server. The following from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCAP of recovered packets shows this exploit in action:


Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 large buffer of AAAAA's used to fill cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heap, you can also see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address (192.168.56.101) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacking system as well as its destination port (25) against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local server. This is an immediate warning sign of an attack against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mail server.

Mapping Connections to Processes

As useful information is recovered from memory, investigators often want to determine which process or kernel component was responsible for sending or receiving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 particular packets. Volatility provides two ways to do this. The first is through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings plugin. The strings plugin can map a physical offset in a memory capture (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capture file) to its owning process or kernel module. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings plugins is not very straightforward with a PCAP file as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset in physical memory of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet is not encoded within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCAP's data**.

To get around this limitation, you can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 yarascan plugin to search for unique data within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet(s) that you find interesting. To do this, pass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -Y option to yarascan. Note that you can pass arbitrary strings, bytes, and hex values to yarascan and you are not just limited to searching readable text. As yarascan searches for your signature it will list any processes or kernel components that contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. This can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n immediately point you to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area of code responsible for generating or receiving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet, which can greatly focus your analysis.

For those who closely follow Volatility, you know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ethscan [15] and pktscan [16] plugins that can perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mapping as well. Unfortunately, pktscan is no longer supported and ethscan can take substantially longer to produce results versus bulk_extractor. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se reasons and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs we choose to incorporate bulk_extractor in our analysis instead of using only Volatility components. 

** Someone please let me know if I am wrong about this. I have not seen this documented anywhere for bulk_extractor and I am not sure its possible using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old PCAP format that BE writes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capture in. The newer PCAP-ng format allows for arbitrary comments though and a nice addition to BE would be writing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new format with a comment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical offset of where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 particular packet was found.

Conclusion

This post was written to highlight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of carving network data from memory. When full packet capture is not available, or when no network data is available, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to extract network data from memory may be your only chance of recovering it. As shown, bulk_extractor is a highly capable tool for this task. Not only can it recover packets to a PCAP, but it can also be used to recover a wide range of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information as well as arbitrary strings or regular expressions that you configure it for.

We strongly encourage our readers who are currently not utilizing this capability to start to incorporate in into your memory forensics workflows. We believe you will see immediate usefulness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data recovered and bulk_extractor makes recovery trivial.

References

[1] https://github.com/simsong/bulk_extractor
[2] http://simson.net/ref/2012/2012-02-02%20USMA%20bulk_extractor.pdf
[3] http://simson.net/ref/2013/2013-12-05_tcpflow-and-BE-update.pdf
[4] https://samsclass.info/121/proj/p3-Bulk.htm
[5] http://simson.net/clips/academic/2011.DFRWS.ipcarving.pdf
[6] http://www.slideshare.net/jared703/vol-ir-jgss114
[7] https://github.com/simsong/bulk_extractor/wiki
[8] http://www.dfrws.org/2005/challenge/
[9] http://www.dfrws.org/2008/challenge/
[10] http://sandbox.dfrws.org/2008/Cohen_Collet_Walters/Digital_Forensics_Research_Workshop_2.pdf
[11] http://www.honeynet.org/challenges/2010_3_banking_troubles
[12] http://www.honeynet.org/files/Forensic_Challenge_3_-_Banking_Troubles_Solution.pdf
[13] http://www.honeynet.org/challenges/2011_7_compromised_server
[14] http://www.gmgsystemsinc.com/knttools/
[15] http://jamaaldev.blogspot.com/2013/07/ethscan-volatility-memory-forensics.html
[16]  https://code.google.com/p/volatility/issues/detail?id=233

Wednesday, December 31, 2014

Acquiring Memor(ies) from 2014

2014 is extremely volatile. Any minute now, it will be gone. Thus, we wanted to take a minute and preserve some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more exciting memories. Specifically, we wanted to summarize how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory forensics field and Volatility community has progressed this year.
  • Volatility 2.4 was released - our most stable and fully featured code base, supporting all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major versions of Windows, Linux, and Mac. The release includes Windows 8 and Server 2012 support, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encrypted debugging structures. Windows 10 beta support is also available.
  • We also moved to Github, which makes it easier for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r developers to submit patches and pull requests. A separate repository stores Linux and Mac profiles. The 2.5 release is also under way. 
  • Extraction of TrueCrypt cached passwords and master keys become even easier than it was before, with new plugins that execute a structured approach at locating and recovering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. The capability was also ported to Linux, and a member of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community completed a similar plugin for dm-crypt.
  • Our 5-day hands-on Malware and Memory Forensics training course proliferated to over 10 events (public and private) across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States, Europe, and Australia. Testimonials from attendees are available here and registration is open for classes in 2015.
  • The Volatility Foundation was established as a 501(c)(3) non-profit organization. A new website was created to aggregate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foundation's resources. Among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various ways to get involved with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. The Volatility(R) name also became a registered trademark of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Foundation.
  • Volexity, LLC became a corporate sponsor of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Foundation and named core developer Michael Hale Ligh as its CTO. Volexity is a security firm based out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Washington, D.C. area that specializes in assisting organizations with threat intelligence, incident response, forensics, and trusted security advisory.
  • The Volatility Plugin Contest received an extremely generous donation from Facebook and generated an enormous amount of new capabilities from various talented developers and researchers. 
  • The Volatility Team partnered with GMG Systems, Inc. to offer KnTTools (incl. KnTDD) at a discounted rate to students in our training course. KnTTools is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most reliable, robust, and fully featured memory acquisition suite for Windows. 
  • Volatility and memory forensics were represented at almost all security and technology related conferences, including (but not limited to) Blackhat USA, Defcon, OMFW, OSDFC, API Cybersecurity, SecTor, Archc0n, Alabama Cyber Security Summit, National Cyber Crime Conference, RSA USA, BSides, and Recon.
  • Volatility was used by Det. Michael Chaves to track down high profile ATM skimmers. It was used by European law enforcement to produce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary source of evidence that put away a child sex offender for over 10 years. It was used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Government on various occasions to investigate cases involving espionage, cyber terrorism, and major botnet rings.
  • Volatility developer Andrew Case and Golden G. Richard III won best paper at DFRWS 2014 for In lieu of swap: Analyzing compressed RAM in Mac OS X and Linux.
  • We enjoyed a record breaking number of attendees at Open Memory Forensics Workshop (OMFW) 2014 and a serious group of awesome talks. Later that week, Next Generation Memory Forensics was presented at OSDFC
  • The Art of Memory Forensics was published in August, a 900-page book that covers Windows, Linux, and Mac topics in depth. To date, its cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most thorough and illustrative written source of memory forensics knowledge. Please remember to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errata page and also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample memory images that are accompanied with lab questions and answers (free online download). 
  • A Reddit Ask Me Anything (AMA) was conducted on Art of Memory Forensics. We appreciate all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great questions!  
  • An entire chapter of Black Hat Python was devoted to using Volatility for offensive purposes during pentests (extracting password hashes, injecting code, etc). 
  • We presented some Volatility capabilities at Blackhat Arsenal and later created a YouTube channel with recordings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demos. There was also a book signing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blackhat bookstore, which was an exciting way for us to meet new Volatility users in person.
 Thanks to all who played a part! We look forward to an even more productive 2015!

Wednesday, October 29, 2014

Announcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2014 Volatility Plugin Contest Results!

The competition this year was fierce! We received a total of nearly 30 plugins to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contest. Ranking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submissions was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardest things we’ve had to do. Each plugin is unique in its own way and introduces a capability to open source memory forensics that didn’t previously exist. Although a few people will receive prizes for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real winners in this contest are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practitioners and investigators in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community that perform memory forensics. We’re talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government who used Volatility on some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation’s most prominent cases and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law enforcement groups that used it as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary tool to force a child pornographer into a guilty plea (see you in about 10 years, wish it were more!). We’re talking about Det. Michael Chaves who used memory forensics to help crack a case involving POS breaches that lead to losses of over $100K. We’re talking about all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysts who rely on open source forensics to identify and track malicious code and threat actors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks and those of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir clients. 

Needless to say, we're very proud of everyone who submitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contest. Also a huge thanks goes out to Facebook for doubling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contest's cash prizes and supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research and development  of open source memory forensics. 

Here are this year’s rankings:
  1. Dave Lasalle wins first place and his choice of $2500 or free training. Dave submitted 14 plugins for recovering Firefox and Chrome activity (history, search terms, cookies, downloads) from memory, carving Java IDX files, and using fuzzy hashing to whitelist injected code and API hooks. 
  2. Curtis Carmony wins second place and $1250 for his plugin to extract dm-crypt disk encryption keys from Linux (and potentially Android) memory dumps.
  3. Adam Bridge wins third place and $750 with editbox – a plugin to recover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text within edit controls of GUI applications on Windows (including but not limited to notepad contents, username and password fields, browser URL and search forms, etc). 
  4. Thomas Chopitea wins fourth place for his autoruns plugin that enumerates automatically starting applications on Windows systems – a common first step in many different types of investigations.
  5. Takahiro Haruyama wins fifth place with openioc_scan, a plugin that combines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flexibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IOC language with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of Volatility to give analyst’s quick and easy malware triage capabilities.


Here is a detailed summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submissions. We've included a link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respective submissions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Foundation website for archive purposes, however we recommend getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's own GitHub repositories if that option exists. If you have feedback for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors, we're sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd love to hear your thoughts.

(1st) Dave Lasalle: Forensic Suite

Dave’s 14 plugins are immediately useful for various different scenarios, from tracking user activity to parsing special file formats and whitelisting injected code and API hooks.

Previously, if you needed to inspect a suspect or victim’s browsing activity from memory in a structured manner (i.e. not brute forcing with regular expressions), you were limited to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iehistory (Internet Explorer) plugin. Now you can do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, and more, for Firefox and Chrome. The two browsers use sqlite3 databases, but due to several reasons (including paging), you’re not likely to succeed in carving complete sqlite3 files from memory. Dave’s plugins leverage his sqlite3 memory API, which handles missing chunks of database files gracefully.

Dave’s Twitter: @superponible
Dave’s GitHub: https://github.com/superponible/volatility-plugins
Dave's Blog: http://blog.superponible.com
Dave’s Submission: http://downloads.volatilityfoundation.org/contest/2014/DaveLasalle_ForensicSuite.zip

Most wanted follow up(s): A plugin to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent Internet Explorer history records.  Porting Firefox and Chrome plugins to Linux and Mac memory dumps. 

(2nd) Curtis Carmony: Dmcrypt

The dm_dump plugin brings an exciting new capability to open source memory forensics. In his own words, “given a memory dump from a Linux system using full disk encryption and access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of this plugin gives you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arguments to pass to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dmsetup command to remount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original unencrypted file system on a different machine.” In addition, Curtis provided support for Linux kernels 3.0 to 3.14 and instructions on how to extend Volatility’s profile generation mechanism for future systems.

A unique aspect of this plugin is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data it recovers can only be found in RAM. As such, it accomplishes something that no form of disk or network forensics can do and it really showcases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of memory forensics. Similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing truecrypt plugins, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dm_dump plugin works by traversing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal data structures used by device-mapper to keep track of its devices. Thus it pinpoints cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in memory without scanning for constants or patterns in key schedules.

Curtis’ GitHub: https://github.com/c1fe/dm_dump
Curtis’ Submission: http://downloads.volatilityfoundation.org/contest/2014/CurtisCarmony_DmCrypt.zip

Most wanted follow up(s): Testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodology on Android disk encryption. 

(3rd) Adam Bridge: Editbox

Adam’s submission provides powerful new capabilities for tracking suspect user activity. It recovers text from EditBox controls in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI subsystem, with experimental support of ComboBox and ListBox. As a result, it can extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following data types:
  • Notepad window.
  • Run dialog.
  • Username and server name fields of Remote Desktop Connection.
  • Address bar and search bar of Internet Explorer.
  • Search bar of Windows Media Player.
  • Username field of Create New Account wizard.
  • Password of Change Password dialog.
In general, it is effective on any applications that leverage Microsoft's Common Control APIs. This plugin is particularly interesting, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data it recovers is not available anywhere besides RAM. On a multi-user system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be no way to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data this plugin enumerates without logging into each account and taking a screen shot.

Adam’s Twitter: @bridgeycá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365geek
Adam’s Submission: http://downloads.volatilityfoundation.org/contest/2014/AdamBridge_Editbox.zip

Most wanted follow up(s): Integration of edit box labels into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot plugin.

(4th) Thomas Chopitea: Autoruns

In Thomas' own words, "Finding persistence points (also called "Auto-Start Extensibility Points", or ASEPs) is a recurring task of any investigation potentially involving malware." The plugin currently covers several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most common registry locations, including services, appinit DLLs, winlogin notification packages, and scheduled tasks. After finding ASEPs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin matches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with running processes in memory.

Thomas’ Twitter: @tomchop
Thomas’ GitHub: https://github.com/tomchop/volatility-autoruns
Thomas’ Blog: http://tomchop.me/volatility-autoruns-plugin/
Thomas’ Submission: http://downloads.volatilityfoundation.org/contest/2014/ThomasChopitea_Autoruns.zip

Most wanted follow up(s): Adding Linux and Mac support.

(5th) Takahiro Haruyama: OpenIOC Scan

This plugin combines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flexibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IOC language with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of Volatility to give analyst’s quick and easy malware triage capabilities. Takahiro solved several problems that he (and most certainly ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysts) faced when using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing tools, such as ability to automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tasks outside of a GUI and scan for terms with regular expressions and case sensitivity. Takahiro’s blog (below) shows several practical examples of quickly finding malicious code in memory. We’re really excited for investigators to start taking advantage of Takahiro’s work.

Takahiro’s Twitter: @cci_forensics
Takahiro’s Blog: https://takahiroharuyama.github.io/blog/2014/08/15/fast-malware-triage-using-openioc-scan-volatility-plugin/
Takahiro’s Submission: http://downloads.volatilityfoundation.org/contest/2014/TakahiroHaruyama_OpenIOC.zip

Most wanted follow up(s): A repository of memory related indicators. Also for performance reasons, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry API to scan for keys, values, etc.


The following submissions appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were received. As previously mentioned, everyone succeeded in solving a specific problem that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y (and undoubtedly ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs) faced. For this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y deserve huge props. We look forward to seeing future work by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se authors!

Monnappa KA: Gh0stRat Decryption  

Monnappa’s plugin focuses on detecting and analyzing Gh0stRat in memory. In his own words, “Gh0stRat is a RAT (Remote Access Trojan) used in many APT/targeted attacks. This plugin detects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encrypted Gh0stRat communication, decrypts it and also automatically identifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious Gh0stRat process, its associated network connections and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loaded DLL's. This can help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital forensic investigators and incident responders to quickly narrow down on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gh0stRat artifacts without having to spend time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manual investigation.”

Although a chopshop module exists for decrypting Gh0stRat communications in packet captures, Monnappa’s Volatility plugin aims to solve several specific problems that analysts may regularly face, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of a full packet capture from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim machine and needing to trace connections in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pcap back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspect process or DLL.

Monnappa’s Twitter: @monnappa22
Monnappa’s Submission: http://downloads.volatilityfoundation.org/contest/2014/MonnappaKa_Gh0stRat.zip

Most wanted follow up(s): Continued research into ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware families.

Jamaal Speights: MsDecompress

The msdecompress plugin by Jamaal Speights has high potential. It allows investigators to find and extract data compressed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LZNT1 algorithm (Xpress and XpressH coming soon) from memory dumps and it reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data was found. The RtlDecompressBuffer API is heavily used by malware authors to pack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code and minimize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of command and control traffic before sending it across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Many kernel components and popular applications also use this compression algorithm, and we look forward to hearing about all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 types of forensic evidence that can be uncovered using this plugin.

Jamaal’s Twitter: @jamaalspeights
Jamaal’s Blog: http://jamaaldev.blogspot.com/2014/10/vol-msdecompress.html
Jamaal’s Code: https://code.google.com/p/jamaal-re-tools/ 
Jamaal’s Submission: http://downloads.volatilityfoundation.org/contest/2014/JamaalSpeights_MsDecompress.zip

Most wanted follow up(s): An analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different types of compressed data frequently found in memory.

Cem Gurkok: Mac Rootkit and Bitcoin

Cem submitted a total of four plugins: two for detection of rootkit hooks in Mac OSX memory, one for in-depth investigation of Mac OSX threads, and one for finding bitcoin private keys and addresses.
  • mac_bitcoin allows for recovery of bitcoin keys and addresses. This can greatly help investigators that need to determine which transactions and activity a particular user was involved with. Due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of bitcoin, this activity can be very well hidden within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network and only examination of a user’s system can put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pieces back togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r
  • The mac_check_call_reference plugin is used to check for modified call instructions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel. This can catch a wide array of rootkits that directly modify control flow in order to manipulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
  • The mac_threads plugin is able to enumerate threads of each running Mac task. The examination of thread state can lead to determination of which portions of code a thread was using and which operations it performed. This capability had been missing from Volatility’s Mac support while being supported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows and Linux side in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two releases.
  • mac_check_shadow_trustedbsd enables cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection of rootkits that modify a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TrustedBSD policy list. Such a modification can allow a rootkit to add, modify, and delete system activity returned to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r kernel components and user land tools that rely on TrustedBSD for a set of system state.
Cem’s Twitter: @CGurkok
Cem’s GitHub: https://github.com/siliconblade/volatility
Cem’s Blog: http://siliconblade.blogspot.com/
Cem’s Submission: http://downloads.volatilityfoundation.org/contest/2014/CemGurkok_MacPlugins.zip and http://downloads.volatilityfoundation.org/contest/2014/CemGurkok_BitCoins.zip

Most wanted follow up(s): Support for bitcoin addresses found in any process (not just Multibit) on any memory dump (Windows, Linux, Mac) and also in free/deallocated memory.

Csaba Barta: Malware Analysis 

The plugins in this submission are focused on helping analysts perform malware investigations and malware research.  The first set of plugins highlight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between an infected memory sample and its baseline image.  This can help an analyst quickly determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 types of changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware has made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.   The current plugins focus on four important components of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system: processes,  DLLs, services, and drivers.  The final plugin, malprocfind, attempts to codify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules an investigator may use to look for suspicious artifacts on a system.   The plugins help automate common analysis techniques used by analysts during malware investigations.

Csaba’s GitHub: https://github.com/csababarta/volatility_plugins
Csaba’s Submission: http://downloads.volatilityfoundation.org/contest/2014/CsabaBarta_MalwarePlugins.zip

Most wanted follow up(s): Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r extension of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 baseline artifacts and malprocfind rules.

Philip Huppert: OpenVPN 

Philip’s submission is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of his University paper “Extracting private information of virtual machines using VM introspection.” In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper, Philip described how to recover openvpn 2.x.x usernames and passwords entered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password required for unlocking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private key. The submission also includes a plugin to extract base64/PEM encoded RSA private keys from memory.

The openvpn plugin is effective against any memory dump format (not just live VM memory using libvmi). Philip also did a really nice job of narrowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search space for finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usernames and passwords. He isolates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .data and .bss segments of openvpn.exe and looks for signs of a specific data structure (named “user_pass”).

Philip’s GitHub: https://github.com/Phaeilo/vol-openvpn
Philip’s Submission: http://downloads.volatilityfoundation.org/contest/2014/PhilipHuppert_OpenVPN.zip

Most wanted follow up(s): A summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps for decrypting an openvpn session from a packet capture, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private key.  Also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to scan for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data structures in physical space (for example if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 openvpn.exe process is no longer running).

Wyatt Roersma: Hyper-V Tools

Wyatt’s plugins will extract Hyper-V artifacts from a host system’s memory.  The first plugin hpv_vmconnect is used to extract information about which users were accessing virtual machines using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual connect console. The second plugin, hpv_vmwp, is used to map each virtual machine to its associated process on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host and extract temporal information about when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine was started last. The final plugin hpv_clipboard is used to extract memory resident Hyper-V clipboard and hotkey artifacts. The plugins provide some insights into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 types of artifacts that can be extracted from Hyper-V host memory and set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage for future research.

Wyatt’s Twitter: @WyattRoersma
Wyatt’s Blog: http://www.wyattroersma.com/?p=131
Wyatt’s GitHub: https://github.com/wroersma/volplugins
Wyatt’s Submission: http://downloads.volatilityfoundation.org/contest/2014/WyattRoersma_HyperV.zip

Most wanted follow up(s): Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r research into ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Hyper-V artifacts and conversion tools.