Sunday, August 03, 2008

The Question of "whodunnit?"

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that comes up from time to time during an examination is "whodunnit?" Take an examination involving, let's say...illicit images. The accused claims that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't do it, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question becomes, who did? Sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer might be that someone else sat at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyboard of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer and performed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions that lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 images being on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer might be that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 images were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of a remote attacker/hacker or malware. The latter is sometimes referred to as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan Horse Defense, or malware defense. In 2003, this guy used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware defense and was acquitted of breaking into gov't computer systems...his claim was that someone had hacked his system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n launched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

A forensic examination of Mr Caffrey's PC had found no trace of a hidden program with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructions for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack.

And yet, he was still acquitted. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, this has been a concern to many a forensic examiner and law enforcement officer...what happens if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accused makes that claim? How can a forensic examination corroborate that claim, or disprove it all togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r?

First, let me say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no 100% certainty in every examination that any or all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se techniques are going to work. There are certain things that computer forensic analysis will not reveal...one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m being things that simply are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re (ie, an analyst cannot find CCNs or artifacts of an intrusion if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re simply are none to be found). However, what I'd like to discuss is some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finer points of technical forensic analysis that can provide a good deal of information, such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper authorities (counsel, jury, etc.) have a better foundation on which to base cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir decision.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 areas of incident response that we're moving into fairly rapidly now...this area has been picking up steam a good bit lately since its introduction in 2005...is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection and analysis of physical memory. In just about a week, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OMFW will occur and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be a good number of folks presenting on and discussing this topic. There are a number of tools available now that will allow a responder to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory from a Windows system (XP, as well as Vista), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n analyze that dump...locate running processes, network connections, etc. In addition, PTFinder (Andreas appears to be attending OMFW) may still allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner to identify exited processes (lsproc does this for Windows 2000 and can be ported to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r versions of Windows)...procL from ScanIT appears to do something similar. A number of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r articles provide information on retrieving image files, Registry keys, and even Event Log records from a physical memory dump. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, a recent print issue of Linux Pro Magazine has an article on pg. 30 entitled Foremost and Scalpel: Restoring deleted files, in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors state, "Foremost and Scalpel ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem and can even restore data from RAM dumps and swap files."

Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of computer forensic analysis, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of areas of a Windows system in which artifacts indicating user activity may be found. These go beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional examination of browser history artifacts, etc., and can provide indications of user activity, as well as historical indications of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was logged into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Windows Event Log and Registry analysis are two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se areas, along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall correlation of artifacts from different parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more artifacts that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner is able to pull togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more complete a picture that can be developed.

For example, for a backdoor to be useful to an intruder, it has to remain persistent (see Jesse Kornblum's paper, Exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Rootkit Paradox with Windows Memory Analysis) across reboots. There are only so many ways this can occur, with persistent stores being primarily within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system. Using tools such as RegRipper, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanisms with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and user Registry hive files can be displayed, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system persistence mechanisms can be viewed, as well, for any indications of suspicious entries.

The Windows Registry holds a wealth of information about software applications installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Some of this information differentiates between those apps run by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, and those run automatically by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves have traces and artifacts...antivirus applications generally maintain configuration information in addition to log files. The Windows firewall installed on XP and above maintains it's configuration information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry. Many GUI applications...to include image and movie viewing apps...maintain lists of files that have been opened and viewed by those applications.

Knowing where to look and what to look for can give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to paint a very detailed picture of what occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Windows XP is something of a fickle lover, as it will provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledgeable examiner with a wealth of information, while at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time using it's own inherent anti-forensic techniques to deprive more traditional examiners of those artifacts on which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y traditionally rely. Remember Harlan's Corollary to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 First Law of Computer Forensics?

The great thing about all this is that while it may appear to be magical, requiring knowledge beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of all but a few individuals...that's simply not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case at all. All of this can be incorporated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner's forensic analysis process and methodology.

So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question isn't, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re or was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a Trojan or backdoor on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system what was responsible for this activity...it's now, do you want to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan Defense before you walk into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interview room with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attorney?

Resources:
Ex Forensis post

1 comment:

Anonymous said...

The Trojan defense, insofar as cp is concerned, is way overblown. When used sucessfully, it's most apt to occur when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prosecution did not do an adequate exam, or have access to resources that could have accomlished that task. As an example, I'll cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent government employee case, where we both read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense report. I, and folks much smarter than I, found several issues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense report that could have been addressed by better preparation.

There's also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK case in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant was acquitted because malcode might have existed in u/c. I don't believe that its existence was proven, only that it was possible. I can't tell you how many times I've been asked by opposing counsel, "Isn't it possible that [defense du jour] caused...?" I was quite pleased when our USDC Judge told defense counsel to present evidence next time, instead of conjecture.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time being, my LE colleagues and I are extremely unlikely to gain access to a live system. (We've chatted about this on your blog before.) So, we should do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best that is possible, post mortem. You know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drill better than I. We scan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target system, track cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities of found threats, and run a VM to see what goes on when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine fires up and runs for a while. We also can run some additional tools in a VM, e.g., Rootkit Revealer. We can analyze VM RAM, which may present some analogies to a live acquisition.

You have to consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence found on an image before becoming too concerned about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trojan defense. I'm going to worry less in a case cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 has 200 user creared folders bearing fruits of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime. I struggle more with cache cases, at least until I find a host of evidence indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent to "{seek and find."

My remarks are most appropriate to typical cp cases, which seem to draw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trojan defense. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're overly simplistic to a response to a intrusion or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r incident. However, given a dead system, perhaps we're in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same shoes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start.