Wednesday, November 29, 2006

Artifact classes

I've been doing some thinking about IR and CF artifacts over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of weeks, and wanted to share my thoughts on something that may be of use, particularly if its developed a bit...

When approaching many things in life, particularly a case I'm investigating, I tend to classify things (image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scene in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix where Agent Smith has Morpheus captive, and tells him that he's classified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human species as a virus*) based on information I've received...incident reports, interviews with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client, etc. By classify, I mean categorizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident in my mind...web page defacement, intrusion/compromise, inappropriate use, etc. To some extent, I think we all do this...and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome of this is that we tend to look for artifacts that support this classification. If I don't find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts that I do find do not support my initial classification, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I modify my classification.

A by-product of this is that if I've classified a case as, say, an intrusion, I'm not necessarily going to be looking for something else, such as illicit images, particularly if it hasn't been requested by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client. Doing so would consume more time, and when you're working for a client, you need to optimize your time to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir needs. After all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're paying for your time.

Now, what got me thinking is that many time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public lists (and some that require membership) I'll see questions or comments that indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst really isn't all that familiar with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're investigating, or both. This is also true (perhaps more so) during incident response activities...not understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of an issue (intrusion, malware infection, DoS attack, etc.) can many times leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pursuing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong things, or suffering from simple paralysis and not knowing where to begin.

So, understanding how we classify things in our minds can lead us to classifying events and incidents, as well as classifying artifacts, and ultimately mapping between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two. This cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n helps us decide upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate course of action, during both live response (ie, an active attack) and post-mortem activities.

My question to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community is this...even given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variables involved (OS, file system, etc.), is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any benefit to developing a framework for classification, to include artifacts, to provide (at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least) a roadmap for investigating cases?

Addendum, 30 Nov: Based on an exchange going on over on FFN, I'm starting to see some thought being put into this, and it's helping me gel (albiet not crystalize, yet) up my thinking, as well. Look at it this way...doctors have a process that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y go through to diagnose patients. There are things that occur every time you show up at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doctor's office (height, weight, temperature, blood pressure), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are those things that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doctor does to diagnose your particular "issue du jour". Decisions are made based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 info cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doctor receives from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patient, and courses of action are decided. The doctor will listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patient, but also observe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patient's reaction to certain stimuli...because sometimes patients lie, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doctor may be asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong question.

Continuing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medical analogy, sometimes it's a doctor that responds, sometimes a nurse or an EMT. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've all had training, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all have knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human body...enough to know what can possibly be wrong and how to react.

Someone suggested that this may not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right framework to establish...IMHO, at least it's something. Right now we have nothing. Oh, and I get to be Dr. House. ;-)

*It's funny that I should say that...I was interviewed on 15 May 1989 regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue of women at VMI, and I said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would initially be treated like a virus.

6 comments:

Bill Ethridge said...

Harlan;
I posted some in FFN about classifications, before reading this.

What you are proposing requires almost a cellular approach, moving in a different direction depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last "input. I would say you are prosing a Go game instead of chess.

Bill

H. Carvey said...

Bill,

You may be right...it takes almost a binary tree approach with different branches taken at each step based on inputs.

Anonymous said...

Interesting....I have actually been thinking about building a framework for doing exactly this. In my case though, I work solely in an environment with heavy network monitoring (all traffic captured, plus classification of some traffic), log aggregation and a good forensics team with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to do over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire acquires. So if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware arrives through our network, I can fairly quickly see most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad stuff and kick off an IR process to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical stuff left on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive or in memory. What we, and sounds like ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs lack is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts through a reliable db that can recognize morphed or intentionally changed malware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n determine what it did to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Kind of like a personal, updateable version of virustotal, with some intelligence built in to look at what files had MAC changes at that same couple of seconds and make a decision about where to look next. I've wanted to modify some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSRL perl scripts to include support for ssdeep....could be a good start.

You also mentioned over on FFN that you weren't looking necessarily for a signature based solution. Agreed, but if you do happen to know how a piece of malware works (see need for fuzzy hashing above to identify malware based on artifacts) could you not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n extrapolate what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r areas to go check and automate to some degree that functionality?

H. Carvey said...

What we, and sounds like ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs lack is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts through a reliable db that can recognize morphed or intentionally changed malware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n determine what it did to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Exactly. And creating such a database will be extremely difficult...largely due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that everyone wants it but few are willing to actually develop something like this.

The solution to this is that I'd like to teach people to fish. If you see a guy sitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re mumbling, "Man, I'd really like some fish", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial reaction is to give him a fish. But that does nothing for him tomorrow. However, if you teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guy how to fish...how to use a hook and line, make a net, bait to use, where to fish, how to observe habits and see when fish come out and where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y go...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you're setting him up to take care of himself.

The idea is that 99.9999% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT and response population simply want a fish...a database of signatures, for file hashes, malware artifacts, etc. But we all see that with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various malware toolkits that are available, it's trivial to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware just enough so that it's not picked up by A/V software until a new signature is developed.

Regardless of what anyone thinks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are not an infinite number of autostart locations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system and Registry...in fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number is finite. The problem most folks have is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can't remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all...but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should be trying to memorize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie "Blade", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead character said, "Once you understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of a thing, you know what it's capable of." This holds true for operating systems, as well as malware, and can be easily mapped to incidents such as intrusions.

Most folks want to be spoon-fed...and to steal anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r quote, "There is no spoon."

Anonymous said...

Goodness, Blade and The Matrix quoted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same post?


If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no spoons, sounds like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a good market for selling spoons....personally, I will try to get something like this to work in house. Will post back with thoughts.

Bill Ethridge said...

Harlan,

Been following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posts in FFN and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of in some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r forums you posted this.

The "Dr. House thing works, along with your taxonomy, and when you combine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary tre approach you get an interesting situation.

We need to progress like House, we think of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibilities for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 symptoms or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r evidence we THINK we see. Then we try an approach based on that artifact and test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome. If it fails we must back up and try cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next approach. The key is to be able to try a cure without killing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patient, IOW, we must have a safe retreat to our previous position. We also have to gaurd against false positives. Sometimes our test approach could cause behavior that would seem to indicate something that in fact doesn't exist.