Wednesday, October 26, 2005

Peeking inside Word documents

I was chatting with someone yesterday who asked me where I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files I used to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Word Metadata Dumper, and I simply said, "Google."

Yep, that's right...I just Googled for Word documents from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .mil domain, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .gov domain. Wanna know how to search Google for all sorts of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r goodies? Check out Johnny Long's web site, or grab a copy of his book on "Google hacking".

Want to get a little up-close-and-personal with someone else, maybe even someone else you don't know? Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Extreme File Sharing" post from Security Fix? I'd tried it and found some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very same things...files left behind by malware with keylogger capability, etc.

Tuesday, October 25, 2005

Sleuthkit on Windows

Hey, guess what I did last night!! I installed Sleuthkit and Autopsy on Windows XP!

For you Linux and *BSD gurus who felt a nauseating disturbance in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Force...it wasn't that burrito you had...it was me!

Okay, okay...it wasn't just me...I had help.

When I'm working with things on my home systems and looking at forensic analysis, I like to use ProDiscover to grab a dd image of a VMWare session, my thumb drive, etc. As it turns out, I had a 5GB image of an XP Pro system, so I copied that over to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence locker and fired up Autopsy. I didn't run completely through many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that I could have done, because it would take some time to do so...but as far as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I did try, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y worked great.

Don't have an image of your own to play with? Well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructions for installing Sleuthkit and Autopsy on Windows also has instructions for how to image a floppy drive...so, you can entertain and amaze your friends by recovering deleted files! Or, you can go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digitial Forensics Tool Testing site and grab an image or two to work with.

My hat's off to Brian Carrier, for having created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools.

Monday, October 24, 2005

Perl for Forensics

Perl is freely available, and Perl scripts are essentially open source. Perl is used by forensics products such as The Sleuthkit and ProDiscover. Perl is used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit framework. Perl is great for automating repetitive tasks, parsing files...and it's free. Perl runs on Windows, most Unices, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mac, and a plethora of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r platforms.

O'Reilly has a ton of books on Perl...from how to program to how to use Perl for a variety of tasks.

So my question is, how useful would a book on using Perl for forensics be to you? Say, a reference tome that discusses:
  • Collecting live/volatile data using Perl
  • Correlating data from multiple sources using Perl
  • Analyzing data, or presenting data for analysis
  • Analyzing file formats (retrieving metadata, etc.)

Obviously, a book like this should include copies of all code used or mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. As ProDiscover uses Perl as it's scripting language, a book such as this should also include a variety of "ProScripts". The book should also include not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files analyzed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, but additional example files that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader can explore and practice on...perhaps even an image of drive to examine.

Is this a book you'd be interested in? If so, what would you like to see? What topics do you think should be covered? How would you envision such a book, particularly as something that you'd pick up off of a shelf at a bookstore and decide to purchase? What do you see as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market for such a book?

Saturday, October 22, 2005

VMWare Playa

As a user of VMWare, I received an email cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day that mentioned a new, free product called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMWare Player. This is a free product that allows you to play a single VMWare virtual machine on Windows or Linux (rpm and tar versions available for Linux). Very cool. Want to share tools, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r stuff that you may not have been able to share before? Want to try out Windows or Linux, but didn't want to shell out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 almost $200 for VMWare Workstation?

VMWare also provides some pre-built virtual machines for you to download. What good is a player if you don't have something to play? One is a browser appliance, which you can use for safer web surfing.

This was also picked up by TaoSecurity, along with some comments from readers of that blog, and a link to a chart showing differences in functionality between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Player and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r VMWare products.

Word metadata code posted

All,

I've posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code that I mentioned in my previous post on Word metadata. This code produces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog entry.

The code is commented, including how to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary modules if you're using ActiveState Perl. The PPM commands look like this:

ppm install OLE-Storage
ppm install Startup
ppm install Unicode-Map

Give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code a shot, and let me know what you think. As I said in my earlier post, I'm working on producing a standalone EXE via Perl2Exe, for Windows users.

Sunday, October 16, 2005

Yet, even more on Word metadata

While awaiting information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary format of shortcut (LNK) files, I decided to try to learn more about structured storage and metadata in Word documents. The best example I've seen of that describes some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata in Word documents is available at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computerbytesman site, and addresses an issue that Tony Blair's government had a while back. While I was researching my book, Richard Smith was kind enough to share his code for retrieving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 10 author's for within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Word document with me. Since that time, I've thought about taking anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of metadata that one can retrieve from within a Word document.

I included a Perl script for retrieving Word metadata with my book. The code is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CD that accompanies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code directory for chapter 3. The script is called "meta.pl" and uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win32::OLE module to create an instance of Word, and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API to retrieve metadata. Well, as I've seen with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work that I did on reading Event Log files, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API doesn't always get everything. Also, I've been looking for something a little more platform-independant.

Thanks to Richard Smith, I dug into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OLE::Storage module a bit, and found exactly what I was looking for. First, a quick caveat...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 POD for this module, as well as some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supporting modules, is a bit out of date. However, by using some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accompanying examples (such as ldat, written by Martin Schwartz, copyright '96-'97) and simply trying some things out, I was able to figure things out. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script uses that module, and a couple of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs...but only after it opens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file in binary mode to retrieve ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file.

Okay, on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output. I started with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blair document from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computerbytesman site, and got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same information (I didn't include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VBA Macro information, though). I downloaded a couple of arbitrary Word documents from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web, via Google, and found some interesting info:

--------------------
Statistics
--------------------
File = d:\cd\wd\04_007.doc
Size = 322560 bytes
Magic = 0xa5ec (Word 8.0)
Version = 193
LangID = English (US)

Document has picture(s).

Document was created on Windows.

Magic Created : MS Word 97
Magic Revised : MS Word 97

--------------------
Last Author(s) Info
--------------------
1 : Susan and Shawn Sucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rland :
2 : Susan and Shawn Sucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rland :
3 : Susan and Shawn Sucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rland :
4 : Susan and Shawn Sucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rland :
5 : picketb :
6 : padilld :
7 : ONR :
8 : John T. McCain :
9 : horvats :
10 : arbaizd :

--------------------
Summary Information
--------------------
Title : I
Subject :
Authress : PICKETB
LastAuth : arbaizd
RevNum : 2
AppName : Microsoft Word 10.0
Created : 08.12.2003, 16:11:00
Last Saved : 08.12.2003, 16:11:00
Last Printed : 08.12.2003, 16:11:00

--------------------
Document Summary Information
--------------------
Organization : Office of Naval Research

Pretty cool, eh? Again, I found this document on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web. From my previous post, I asked some folks to send me documents written on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mac platform, and I received a couple. Here's what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output looks like:

--------------------
Statistics
--------------------
File = d:\cd\wd\ex1.doc
Size = 21504 bytes
Magic = 0xa5ec (Word 8.0)
Version = 193
LangID = English (US)

Document was created on a Mac.
File was last saved on a Mac.

Magic Created : Word 98 Mac
Magic Revised : Word 98 Mac

--------------------
Last Author(s) Info
--------------------
1 : : Macintosh HD:Users:name:Desktop:Ex1.doc

--------------------
Summary Information
--------------------
Title : The quick brown fox jumps over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lazy dog
Subject :
Authress : name
LastAuth : name
RevNum : 1
AppName : Microsoft Word 10.1
Created : 12.10.2005, 02:51:00
Last Saved : 12.10.2005, 02:58:00
Last Printed :

--------------------
Document Summary Information
--------------------
Organization :

Okay, I made a couple of obvious changes, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is information within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file information block (FIB) that tells you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform that a document was created on...for example, if it was created on a Mac, or on a Windows platform. Pretty cool, eh?

So...what do you think? I'll be posting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script soon, along with a couple of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r scripts...for example, I'm going to include one that I used for troubleshooting, which simply writes all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structured storage streams to files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. After all, MS describes structured storage as "a file system within a file", so wouldn't you like to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of each of those files? I'm not entirely sure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usefulness of this with regards to forensic analysis, but someone might find it useful.

An offshoot of all this involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MergeStreams application (here's something I found at UTulsa) that I've used in some of my presentations. This application allows you to merge an Excel spreadsheet into a Word document, resulting in a much larger, but ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise unchanged Word doc. However, if you change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting file's extension to ".xls", and double-click on it, you'll see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire, unmodified contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spreadsheet. This is due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streams being merged, and handled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate application (no, this is not steganography!!). Whenever I've presented on this, I've been asked how this sort of thing can be detected, and up until now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only solutions I've been able to come up with have include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of 'strings' and 'find'. With this module, however, you can dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streams from an OLE document, and if you see a stream named "Workbook" inside a Word document, you can be pretty sure that you've got an embedded document. This is a more accurate method than using 'strings'.

I'll be releasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scripts soon...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a couple of things I need to clean up, and I'm having a small issue with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compiled EXE version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main script (above) that I'm trying to clear up.

Thursday, October 13, 2005

Recent rootkit news

I hope you weren't expecting things to stand still...

This past Monday, F-Secure had an entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir blog about a custom version of Hacker Defender. In this case, "custom" means "private commercial", meaning that someone paid for a specific version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit. And don't think for an instant that this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only one...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r rootkit authors who do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very same thing.

According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-Secure blog entry, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit has anti-detection mechanisms. Specifically, it detects modern rootkit detectors via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir binary signature, and if it does find one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detectors, it can modify itself or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detector. F-Secure says that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir BlackLight product can detect this rootkit.

This brings up something I saw over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Incidents.org blog. Handler Patrick Nolan posted an entry about rootkits that run even in safe mode. Yes, that's right...when you try to boot your computer in safe mode (here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description of Safe Mode for Windows 2000) so that certain Registry keys aren't parsed, such as autostart locations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit will still launch. Check out this description from Symantec (btw...take a look at everything that last bit of malware does...).

The Registry key you're interested in is:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

On a side note, Autoruns has been updated to v8.22, and includes new functionality. I've run it on my system, and it doesn't seem to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SafeBoot key mentioned above. However, when running your cases and parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry files from an image, be sure to add this one this one to your list of keys to check. Remember, though...on an image, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct path would be "ControlSet00x", racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "CurrentControlSet".

Addendum 14 Oct: I caught an interesting item on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spire Security ViewPoint blog this morning...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a link to a VNUNet article (ZDNet's version) that mentions three guys in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Necá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rlands who got busted with a 'botnet army of 100K nodes/zombies. The bots were evidently W32.ToxBot, which Symantec states has "0-49" infections. In all fairness, though, Symantec's definition of "number of infections" is "Measures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of computers known to be infected". This leads me over to a post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TaoSecurity blog about digital security, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real, "analog" world and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicators of engineering failures, and those in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world. I can't imagine that all 100K of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zombies infected with W32.ToxBot were simply home user systems. It's entirely possible that many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m were academic and corporate systems...and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate systems, someone should have realized that something was going on.

I've dealt with incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past in which admin machines were infected. When I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security admin at a financial services company, I had a script that would pull down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent IIS 4.0 web server logs from a system that we had (and that I'd locked down, in part by removing all but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary script mappings) and parse out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r-than-ordinary entries. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of a couple of days, I noticed Nimda scans from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same IP address. So, I did a lookup of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP space to see who owned it, and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, I got lucky. The infected system was owned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator, who was also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical contact for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain. I talked to him via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone...he stated that he didn't realize that he'd had a web server on his system, and didn't know that his system was infected with Nimda (had been for several days), but once he started receiving calls (mine wasn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first), he really had no idea what do to about it.

Okay...back to our little 'bot. Take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Symantec write-up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'bot, in particular cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se items:
  • Installs as a service, and oddly enough, it actually writes a description for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service, as well
  • Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry keys for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service, it adds entries under "Control\SafeBoot\Minimal" and "Control\SafeBoot\Network" so that it is initiated even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is booted to Safe Mode
  • It looks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "HKLM\Software\VMware" key, and doesn't run if it finds it (Note: this same technique was used in SotM 32)

Nothing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up indicates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of rootkit capabilities, but from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities this bot does have...wow. How much harder would it have been for normal admins to detect it if it did have rootkit capabilities (ie, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of rdriv.sys, for example)?

CA's write up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ToxBot family

Addendum 21 Oct: VNUNet posted an article 2 days ago, announcing that rootkit creators have gone professional, selling custom versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software. While "creators" is plural, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is only one such rootkit announced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article. This was /.'d, as well. Contrary to what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article would have you believe, this is NOT new.

Tuesday, October 11, 2005

More on Word Metadata

This past summer, I gave a couple of presentations, one that covered file metadata. I got to thinking...I've parsed Event Log files and Registry files in binary format...why not do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same with Word documents and see what else is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re besides what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS API is telling me? After all, a particular value that references "hidden" data may be set to 0 (or 0x0000), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual data itself may still be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue with Blair's gov't? When I found this, I tried using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS API (via OLE) to retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 10 authors of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, and I simply could not get it to work. However, Richard Smith had no trouble doing so.

I started looking around and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS Word 97 binary file format (BFF) (here in HTML). I haven't had any trouble parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file information block, but what I am having a bit of trouble doing is locating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table stream. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values I'm interested in are listed as "offset in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table stream", indicating (to me, anyway) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table stream.

If anyone has any information on this, I'd greatly appreciate some help with this.

Also, for testing/verification purposes, I was wondering if anyone out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re with a Mac would do me a favor and create a couple of simple Word documents on that platform, zip cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m up, and send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to me. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Word document tells you whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was created or revised on a Mac. When you send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files, if you could specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform and version numbers (of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 os and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application), I'd appreciate it. Thanks!

Monday, October 10, 2005

Perl Programming on Windows

Let's see a show of hands for everyone out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who uses programs Perl on Windows systems. Okay, thank you...please put your hands down. Now, how many of you use Perl to manage Windows systems? Okay, thank you very much.

Now...how many of you want to use Perl to manage your systems?

Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you're an experienced Perl programmer and not familiar with Windows, or you're a Windows admin and don't know much about Perl, let me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to tell you...Perl is a very powerful tool that you can learn to use, and use to harness your infrastructure.

Books like Learning Perl and Learning Perl on Win32 Systems will get you started. Even Advanced Perl Programming and Perl for System Administration can help. Dave Roth's books and web site can help. But to really get into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guts of what you can do, you need to (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words of Nike), just do it.

At it's simplest, Perl can be used to automate tasks. Using Perl, you can create a Scheduled Task that reports certain information and has it waiting and available when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sysadmin comes in in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morning. Throw in a little error checking, and you will have reports on why some things may not have completed successfully...like systems being turned off, services not being available, etc. What would you like to do? Run nmap? Not a problem. Run it against your systems first thing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morning, or over lunch, and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output written to a file on your system. Once that's done, use Nmap::Parser to sort through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and create reports. Great for sysadmins, pen testers, and security analysts running vulnerability assessments.

Perl can be used to implement WMI, and collect information from managed systems. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools I have available on my web site implement WMI. Using WMI, you can scan remote systems for processes, services, and even perform software inventory scanning from a continent away. Or how about reaching out across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country to locate rogue WAPs via managed Windows XP systems?

Perl is a very powerful tool that can harnessed to automate a wide variety of tasks performed by sysadmins, as well as security analysts. Data collection and parsing, as well as some modicum of analysis, can all be easily automated. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I use Perl for include:
  • Retrieve data from deep within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local system, or from remote systems
  • Parse binary files, based on structure documentation, knowing what each DWORD means, etc. (ie, PE header analysis, Event Log and Registry parsing, etc.)
  • Retrieve metadata from files (ie, Word/Excel docs, JPGs, PDF files, Prefetch files, etc.)
  • Querying service information
  • Data correlation across multiple sources (ie, Registry, files, etc.)
  • Automation of information discovery in ProDiscover IR
A side effect of all this is that you end up learning how Windows systems function by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, as well as within a domain. If you're automating a task, you end up learning a great deal about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task addresses, as well.

If this is something you're interested in, drop me a line, post a comment, etc.

Tuesday, October 04, 2005

Book Report

I haven't blogged in a while, and I came across something worth blogging about. While I don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual numbers in front of me, I've received word from my publisher that my book has only shipped 3500 copies domestically since it was published in July, 2004. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers I received in April of this year, 3055 of those copies were in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first couple of months.

So what does this mean? I have no idea at this point, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than it doesn't seem to be enough justify anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book. That's right...given all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material I've produced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 15 or so months since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first book was published, I've already started putting anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r - an advanced version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first one, with more technical, detailed information.

The last bit I got from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher is that it's up to me to find out what you, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readers, want in anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book in order to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final, published product to move off of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shelves. From what you've told me so far, it just about amounts to incident response war stories, case studies, and maybe even challenges you can work through. All that I can do...but again, it really doesn't sound promising.

I guess I need to start looking around for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r avenue for publication. Fortunately, I got one good pointer at lunch today that I need to follow up on...

Addendum 5 Oct: I thought maybe I should give a brief description of what I was looking to provide in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next book. I wasn't planning for my next effort to be a second edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first...racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, my thought was to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first as a stepping stone and launch off into a more advanced effort. I'd like to go more deeply into actual forensic analysis, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus being on analysis. Too many times, I've read papers and books that talk about analysis, and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part will only go so far as to say "run this tool, and if you see this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output, something may be amiss..." I'd like to address data correlation and analysis, across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 board...use multiple sources of information (i.e., file system, Registry, Event Log, etc.) to build out as complete a view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue as possible. I think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to do that is to present cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n present examples via live case studies. This book would be interspersed with "war stories", case studies, and examples. I'd also like to include challenges, and exercises for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader to work. This one would cover both live and post-mortem analysis.

If you've followed this blog, you're familiar with some of what's going to appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools I've released, things I've mentioned here (with more detailed research and analysis) will all be part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.

What do you think of something like this? Is this a pipe dream, or is it something you'd like to have on your reference shelf?