Tuesday, December 27, 2005

The Mystery of MUICache...solved??

Holy Registry keys, Batman!

Okay, I've been tossing this around for a while, and even put it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back burner, but never completely forgot about it. The issue is this MUICache Registry key, or more specifically:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

This is an issue, as a while back, I started noticing references to malware creating values beneath this key...specifically, Trojan-Alexmo and Adware-BlowSearch. The technical write ups simply stated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys were created, but gave no indication as to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir use. Was this a new startup location that malware authors had discovered? What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key used for? I did some searches, but found way too much information to wade through and digest. I posted questions, but didn't get responses.

So, I'm over on ForensicFocus today, and "Lance" (I'm assuming this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Guidance Lance) says something about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MUICache key values that point executables having window names as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir values. You know, when you open up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt on XP, for example, it says "Command Prompt" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title (Trivia Question: Does anyone remember how to change that title in a DOS batch file, so something ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "Command Prompt" appears??) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window. Well, I opened up my RegEdit and took a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entries under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key. I took a close look at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values that pointed to executables, and tried opening some. I began to see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry wasn't what I was seeing as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window titles.

So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I fired up Perl, and ran a script that I use that retrieves file version information from executables (ie, EXE, DLL, etc.). Lo and behold, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FileDescription value, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string that I was looking at in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry!

So, what does this mean? Well, I started doing searches for "Muicache + filedescription" and I found this archived entry from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OldNewThing blog. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I found ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs...in particular, this one from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sun Java forum.

From reading through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se entries, my understanding of this issue is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values that you see under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MUICache key are not placed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable, but by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell (ie, Explorer.exe). Therefore, when a technical description of malware states that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable "creates an entry under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MUICache key", this isn't technically correct. In fact, what's happening is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell is creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entry when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is run.

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic analysis aspect of things, how does this help us? Well, it shows that an application was run on an XP (I don't have a Win2k system to test right now) system at some point, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re or not. However, we don't know when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application was run, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no MRUList associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entries. One indicator may be a corresponding entry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PreFetch directory.

Well, it would seem that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 veil of secrecy on that particular issue has been pierced...at least, to a degree. There are still questions, such as, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a limit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of entries in this key?

Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re needs to be some testing done. For example, if someone gets a Trojan on a system, and gets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to launch it somehow, one would think that an entry would appear beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker were able to get anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r executable on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and launch it via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan (something as simple as a netcat listener would suffice for testing), would an entry be made for that second executable? It would stand to reason that malware that runs as a service wouldn't appear in this entry, because such applications are not tied usually tied to an interactive user's account.

Thoughts?

Addendum 30 Dec: In case it wasn't clear, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 points to my entry is that at least on A/V vendor had done "analysis" of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new malware (linked) and found that one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes that occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was that values were added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MUICache key. Googling for this kind of thing reveals "analyses" at ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r A/V sites that include equally vague information. However, it seems that this key is NOT, in fact, set by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in question but instead by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell.

So, as an aside, whom do you trust when it comes to this kind of analysis?

Friday, December 23, 2005

Registry Reference

I've been working away on a Registry reference, basically, an Excel spreadsheet of Registry keys. The idea is to list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with some sort of categorization, listing each by key name/path, value (if applicable), a brief description, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n any references that may apply.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of what I'm working on, most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 references so far are MS KB articles that describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys and/or values.

The descriptions are meant to provide information regarding how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se keys/values are useful during forensic investigations. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m can also be useful during live response investigations, as well.

Work is coming along smoothly...oddly enough cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't a great deal of this sort of information out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. I've been pointed to several resources, and in most cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y lead back to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r my original spreadsheet, or stuff from AccessData.

Thursday, December 22, 2005

The age of "Nintendo forensics"...

...is coming to a close. Or, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it needs to. Looking around, seeing what's going on in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, and in particular, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news, I have to think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 days of blindly imaging a system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n running searches for keywords or images are going to be a thing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past soon.

Windows systems in particular hold a wealth of information. There are areas of systems that are largely unexplored by many forensic analysts, particularly on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law enforcement side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house. Now, I know that this is in large part due to case loads, staffing, training, and simply time. However, more knowledgeable law enforcement officers (at all levels...local, state, and even federal) as well as more knowledgeable system administrators (and even CIOs) will serve to level cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 playing field between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys.

What am I talking about? I'm talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that Windows XP and 2003 are becoming more prevalent by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, and soon Vista will be in production and on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streets. We (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic community) can no longer operate from an MS-DOS standpoint.

Don't get me wrong...data reduction through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of searches, file hashes, etc., is still extremely useful. However, a search for an ASCII string may turn up very little when searching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Registry. One needs to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry (even on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary level) and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry is structured. The same holds true with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file formats...OLE/compound documents (MS Word being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most prevalent example), PE files, Event Log files, INFO2 files, and even shortcuts. Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are tools that can be run to pull information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files but does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool understand what's happening "under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hood"?

Now, some of you are going to say, "Hey, I don't need to know how to locate and program cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer systems in my car in order to drive a car.", and I'd say, "You're right." However, what I'm talking about is pulling more comprehensive information from an image of a Windows system, and building a better case. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of more sophisticated malware, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expanding use of rootkits, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increase of publicized anti-forensic techniques, I'm beginning to see how a greater level of knowledge is necessary.

Visibility?

Posts have been sporadic, and not nearly as frequent as before...I know. That'll change.

For now, though, I've got a question for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readers...one that you can really help me with. Just about every month, I run across someone (usually online) who says, "I wish I knew more about this...". In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, it was things like NTFS alternate data streams. More recently, it's been USB device artifacts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry. The thing is, regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic, I will do a simple Google search and turn up some pretty good resources (if it's stuff I've done, I cheat a little and just send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link).

So, my question is this...how do you make things more visible? Take information as an example. You write an article about something that may be very useful to a group of people. You get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article published in a magazine or journal that caters to that group of people. However, not everyone in that group gets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 journal.

Things I've tried include presenting at conferences (and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of my book, giving away free copies after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation), writing articles, posting to online forums, talking to people, etc. Now, I'm not saying that that's all that can be done, or that I've done any of those things enough. What I am asking is, what are some things that I can do to market stuff I've done...not just books, but code and any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information that I develop/produce.

Thanks...thoughts and especially solutions are appreciated.

Thursday, December 01, 2005

Registry Reference

One thing I've really noticed over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years is that while some information is available out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re on some Registry keys and values, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really isn't much that is useful/credible and geared toward forensic analysis. So I've been considering starting up a reference resource...well, I brought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject up on a couple of lists, mostly looking for input, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overwhelming response was, "Great! Let me know what I can do to help."

I haven't really settled on a format, per se, outside of basic elements, such as key/value path, data type of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value(s), a description or explanation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key/value and what conditions lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation/modification of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key/value, credible references, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submitter. One thought I had was to list everything in HTML, making it easily portable. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thought was to use a database of some sort, because in doing so, scripts can be written to search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database, or extract information into text, HTML, XML, etc....whatever format suits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user.

Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal is to provide credible, referenced information about Registry keys, as Registry analysis is something that simply hasn't been explored up to this point...at least, not in any great depth.

If you've got any thoughts on this, let me know. And yes, I am aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper AccessData put out...thanks.