Saturday, January 31, 2009

Catching up...

Just trying to catch up a bit...

Matt's really clicking along down at F-Response.com...he's posted yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of using F-Response to access a running, live Exchange server, this time incorporating Nuix desktop. I've gotta say, if you don't know anything at all about F-Response, you're already late to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party. F-Response has completely changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of incident response, and its utility grows by leaps and bounds every day...not because Matt does anything like release an update, but because more people become familiar with it, use it, and see how absolutely fantastic it is as a tool.

Didier found out recently that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365Vigenere encryption used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist keys in Window 7 are only to be used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beta, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "encryption" method for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final version is going to go back to good ol' ROT-13!

Lance Mueller posted recently about using a Perl module I wrote for parsing Windows Event Logs (.evt, NOT .evtx). I use this quite often myself, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module that Lance and Mark McKinnon mentioned is different from what's being included on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD that will ship with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of Windows Forensic Analysis. I recently used one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools that comes with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evt2xls tools called evtrpt to give me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequency of event records listing, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date range of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 records; this way, I could see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs contained records within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date range. I also noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Event Log was 512Kb, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no records...not surprising since RegRipper told me that auditing had been disabled.

Speaking of RegRipper, over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ForensicIR blog, Hogfly posted about using RegRipper and some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things he's used it to extract, such as user/group information, firewall configuration, etc. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I am reminded of each time I use RegRipper is how powerful it really is, in part through its flexibility.

Moyix has posted code updates for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry modules he created, and over on ForensicZone, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a post showing how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modules to decrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passwords extracted from a memory dump.

Speaking of memory, I ran across Gustavo Duarte's blog recently, and I'm STILL reading some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posts! I have to say, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pictures drew me to it, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content keeps me coming back!

For those interested in information about how time stamp data can be and is used in forensics, check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TimeForensics site for some good papers.

Here's a great PDF that addresses issues with U3 devices.

Friday, January 23, 2009

RegRipper goes international!

RegRipper was highlighted recently in com!, a German computer magazine. The edition cover is here, and RegRipper is mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article entitled, "Die besten FBI-Utilities".

Can anyone provide an English translation of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y said about RegRipper? Danke!

Thursday, January 22, 2009

In face of Conficker, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crowd...

...rushes to lynch MS.

Ugh. My inbox was hammered today (okay, truth be told...I got like 2 emails...) with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news that USCERT had found that MS's recommendations for disabling AutoRun/AutoPlay functionality, to protect systems in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of Conficker infections, fell short and just didn't work.

So I was reading USCERT Alert TA09-020A this morning, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing I noticed was that it was dated 20 Jan 2009. Interestingly enough, I'd blogged about this on 5 Dec 2008.

The next thing I noticed was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Overview statement clearly said that MS's recommendations were "not fully effective", and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n went on to describe why...and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n buried way down at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 update (presumably from 21 Jan 2009) that mentions MS KB953252.

What's funny is that ComputerWorld jumped on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bandwagon...but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of any mention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 update to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USCERT alert was glaringly obvious.

This must be that Fog of War that my instructors always talked about...it looks to me as if in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battle against Conficker/Downadup, a bunch of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks that should be helping and working togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r are content to point out each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs faults. It's also interesting to me that while USCERT and ComputerWorld are busy pointing out MS's flaws, who's helping customers who should've patched against MS08-067 back in October or November? Oh, wait...that's folks like me... ;-)

Windows 7 Beta

It's probably kind of early to go posting about Windows 7...yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beta is out, but it will likely be a while before we start seeing widespread use of it. As an incident responder who deals primarily with corporations, I see a lot of XP and Windows 2003, but so far, no Vista.

So, like many, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 Ultimate Beta hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streets, I started taking a look at it. As many would expect, and as Matthieu found out, things have changed in memory. Didier also found out that things changed with respect to how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key entries are "encrypted"...racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than being ROT-13 encrypted, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value names are now Vigenere encrypted. Didier was able to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cipher key for his system; apparently, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same key is used across all installations!

Okay, let's hold up for just a second...why are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se value names even encrypted? I mean, honestly, what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point? Look at most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value names, and no one knows what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't encrypted!

All right cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n...what were we talking about? Oh, yeah...so Didier did a fantastic job of figuring out what was going on with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new encryption scheme. He also figured out some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new elements stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary data. So using this information, I located some code on PerlMonks to decrypt strings using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vigenere cipher; I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n tweaked it to include handling special characters, numbers and letters that were capitalized. I added parsing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way that Didier described, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n logged into my Windows 7 Ultimate Beta VM and did some stuff (updated Defender, launched Solitaire, and opened a command prompt and ran ftp.exe). I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n shut off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM, pulled out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT and ran it through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new RegRipper plugin I'd just written, and got some really interesting stuff, a portion of which is shown below:

C:\Program Files\Windows Defender\MSASCui.exe
Last Run = 0
C:\Program Files\Internet Explorer\iexplore.exe
Last Run = Wed Jan 21 18:53:28 2009
C:\Program Files\Microsoft Games\solitaire\solitaire.exe
Last Run = Wed Jan 21 19:03:09 2009
C:\Windows\system32\cmd.exe
Last Run = Wed Jan 21 19:04:14 2009

This is just a partially-redacted (redaction much more effective than what eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r MS or Adobe has used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past...) excerpt of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output, and I'll get with Didier to see about furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r testing and verification, but so far, so good, it seems.

One thing that hasn't changed is that F-Response works like a champ with Windows 7, as Matt found out and blogged about. Even access to physical memory works! Don't be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last on your block to get your copy of F-Response!

Saturday, January 17, 2009

New and interesting things

A couple of very interesting things have come about lately; in particular, Brendan has released some new Volatility modules for extracting Registry hives from memory dumps! Very cool stuff! From his post, not only has Brendan done a fantastic job extracting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, but he's looking ahead to integrating RegRipper into this in order to perform analysis!

Also, don't forget about Brendan's moddump.py and threadqueues.py modules!

Matt Shannon introduced me to Peter Mercer yesterday, and pointed me toward Intella, which looks like a fantastic product. Peter also mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool here (holy GUI, Batman!), and looking at it's capabilities, it's not just a PST/NSF file parser.

Over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Ripcord blog, Don Weber has worked up a variant of Yara called "Scout Sniper"...if you know or have met Don, that makes complete and total sense. Don's some great work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, you should definitely take a look.

In addition to Intella, I will be taking a look at a couple of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools shortly. John Sawyer commented on one of my blog posts, which includes a press release from HBGary about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir FastDump Pro tool that you should really take a look at.

WFA 2/e Status

I wanted to let everyone know that since October, I've been working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of this book, and I'm almost done with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial rewrites. I'm finishing up chapter 4, Registry Analysis, now, and this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last chapter that needs to go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech editor. Once this chapter has been sent off, I'll be going back to chapter 1 and addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech editor's comments...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next stop is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher!

What's changed...a good deal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original information is still in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, but has been added to and in many cases expanded and brought up to date. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary structure of Registry hives and PE files haven't changed, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no reason to take any of that information out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book...it's still pertinent. However, new tools are available, new techniques have been developed, and I've tried to highlight that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional information. In chapter 4, I focus primarily on RegRipper and rip.pl, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than standalone scripts and tools. The standalone scripts and tools are still cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, though...I moved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r directory on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD.

I've also added two new chapters, not based on any specific requests, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r upon things I've seen over time. Chapter 8 is "Tying It All Togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r", where I try to illustrate incidents I and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have responded to (in general terms, of course), and show how information from different chapters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book get pulled togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and correlated to create an overall picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident or examination. Chapter 9 discusses getting a great deal of analysis capability out of freely available (in some cases, low cost) tools...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority (albeit not all) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools discussed in this chapter were not brought up anywhere else in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.

This time around, I've included more information about Vista, and while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent release of Windows 7 Beta makes it too soon to really be included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, it does open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door for a third edition. ;-) Some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things that are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD that accompanies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book (besides tools and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r items referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapters) will be a number of PDFs I've written up over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past year or so to act as training manuals...each PDF addresses a single topic and is short enough to print out and take on a plane with you, or simply read at your leisure. I'm also including a document that shows, in detail, how to deploy F-Response EE remotely, and what physical memory from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system "looks like" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis system.

From what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher tells me, this book should be out by May/June of this year, although it is already up on Amazon for pre-order.

Sunday, January 11, 2009

Windows 7 Beta Registry

I've seen recently how folks have gotten access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 Beta for download from Microsoft, and being interested, I jumped right up on that bandwagon. I mean, from a forensic perspective, this "Jump List" thing is just going to be a gold mine for an analyst, much like RecentDocs and UserAssist keys have been since Windows 2000. Wikipedia has a nice write-up, and I look at all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great usability stuff that's talked about and all I can think of is "artifacts". ;-)

So, I took a look around to see if anyone was trying to install Windows 7 Beta into VMWare, and I ran across a Windows 7 Beta VM at TuxDistro. I fired up BitTorrent and downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zipped archive, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n unzipped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMDK file, and opened it in FTK Imager. Now, I saw a "Documents and Settings" directory, and a "Users" directory...so was this REALLY Windows 7?

Well, one question I heard a LOT when Vista came out was "what changed?" Was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry different enough that all of our current tools no longer worked? So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's one way to find out! I dumped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive files out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMDK file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir usual locations, including one called "Components". So I wanted to see if my tools worked, so I fired up rip.pl to see what I was working with:

C:\Perl\forensics\rr>rip.pl -r d:\cases\win7\software -p winnt_cv
Plugins Dir = C:\Perl\forensics\rr\plugins/
Launching winnt_cv v.20080609
WinNT_CV
Microsoft\Windows NT\CurrentVersion
LastWrite Time Fri Dec 12 18:26:31 2008 (UTC)

RegisteredOrganization :
CurrentVersion : 6.1
CurrentBuild : 6956
CurrentBuildNumber : 6956
SoftwareType : System
InstallationType : Client
EditionID : Ultimate
SystemRoot : C:\Windows
PathName : C:\Windows
ProductName : Windows 7 Ultimate
CurrentType : Multiprocessor Free
ProductId : 00428-015-8630506-70665
BuildLab : 6956.winmain.081122-1150
InstallDate : Fri Dec 12 20:52:50 2008 (UTC)
BuildLabEx : 6956.0.x86fre.winmain.081122-1150

Very cool! Not only do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools seem to work just fine, but it looks as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMDK is a Windows 7 Beta VM. Very nice. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r plugins, such as samparse, seemed to work just fine, but parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT file was problematic...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "normal" GUID key didn't seem to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive.

So, it would seem that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary format of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Beta, anyway) Registry hive files has not changed. I'm sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content has, as keys have changed names and functionality, and values and ways of recording data have changed. However, as with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 move from Windows 2000 to XP, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may simply be more opportunities for forensic analysts. I'll be interested to see who writes some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first RegRipper plugins specific to Windows 7.

Friday, January 09, 2009

Got your YARA??

I ran across an interesting post yesterday on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offensive Computing blog about YARA, a malware ID and classification framework. Interestingly enough, it ships for Linux, Windows, and as a version you can run via Python. The user manual that's available with YARA is short enough to be a quick read, and clear enough to give you a pretty good idea of how to get started using it.

Is anyone using it? How are you using it? The interesting thing is that YARA seems to use almost Snort-like rules for classifying files, which intuitively leads to some pretty incredible flexibility. For example, perhaps with some more detail as to where to look in files for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "signatures" and what different values can mean, YARA looks like a very good way to get one step ahead of AV products, even though we'd still be one step behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware itself. What a lot of folks are seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir commercial grade AV products are capable of protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves from variants A through F of a particular piece of malware, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get hit with variant G, or AB.

While YARA won't quarantine or delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, it will help you classify it.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means of using YARA would be in conjuction with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new modules for Volatility that allow you to extract executable images from memory dumps. Extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, create a signature, and share it. You never know who else is using Volatility (or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r memory analysis tools) that may run across something similar.

Finally, I thought about perhaps turning YARA around and using it as means of going beyond file hashes. It's very hard to keep up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest versions of file hashes, particularly when so many things can change when MS releases patches. Using YARA, perhaps we can extend file signature analysis, and use this to perform data reduction...instead of asking for all "bad files" and relying on a perhaps incomplete list of rules, we could ask for all "good files" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n look at what's left over...

Thoughts?

Addendum: It looks like Jamie over at Mandiant is going to be doing something similar to Yara with Memoryze, by adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to use Snort rules to detect malware in memory. Speaking of malware analysis, check out ZeroWine...this looks REALLY cool!

Thursday, January 08, 2009

Solving problems with Perl

Many times, some problems just don't seem to have an obvious or easy solution. Take for instance some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more recent malware to be seen, like Conficker (...and a rose by any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r name would smell as sweet...)...it gets on your network, but initially isn't detected. That's because your AV product protects you from variants A through D, and what you've got on your network is a variant somewhere between F and P. Or let's just say you want to see if you do have something unusual on one of your systems. How would you do this?

Well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of ways you can do this, but if you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 descriptions available for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Conficker malware, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commonalities you see is that it creates a Windows Service with a random name, which means that you can't just search for "Conficker" and hope to find it. Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware creates an ImagePath value that points to "svchost.exe -k netsvcs", which runs it when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system starts, but runs it as System level privileges. Also, note that a LOT of Services start this way, too. Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware creates a Parameters\ServiceDll value name that points to a randomly named DLL.

Interestingly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a number of bits of malware that use this same or a similar persistence mechanism. Okay, great. So, besides going to each machine individually, opening RegEdit, and clicking through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI, what do you do?

That's where Perl comes in! I ducked inside a telephone booth, pulled out my laptop and found some previously written code that accesses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live Registry in read-only mode. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n opened up one of my RegRipper plugins, grabbed a bit of already-written and -tested code, added it, shook it (one does NOT stir!), and presto! RegScan was born!

So here's what regscan does...you run it on your local system and it accesses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HKLM\System\CurrentControlSet\Services key, gets a list of subkeys, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n goes to each one and gets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ImagePath value (if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Parameters\ServiceDll value (if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one), sorts everything by LastWrite time, and prints each Service entry on a single line with each element pipe ('|') separated. Okay, take a breath.

You run regscan like so:

C:\>regscan.pl

And you get a bunch of stuff like this:

Sat Jan 3 00:34:43 2009Z|WebClient|%SystemRoot%\system3\svchost.exe -k LocalService|%SystemRoot%\System32\webclnt.dll
Sat Jan 3 00:34:43 2009Z|winachsf|system32\DRIVERS\HSX_CNXT.sys||
Sat Jan 3 00:34:43 2009Z|Windows Workflow Foundation 3.0.0.0|||
Sat Jan 3 00:34:43 2009Z|winmgmt|%systemroot%\system32\svchost.exe -k netsvcs|%SystemRoot%\system32\wbem\WMIsvc.dll
Sat Jan 3 00:34:43 2009Z|Winsock||


Uh...okay. Well, this is command line, so to weed out some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff you aren't interested in, you could type:

C:\>regscan.pl | find "svchost.exe -k netsvcs"

But wait...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's more! If you want to access remote systems (that you have admin access to, such as in your lab or in your corporate infrastructure), just type:

C:\>regscan.pl IP_address

...or...

C:\>regscan.pl System_name

Pretty cool, eh? And no, you don't need to have Perl running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system. And yes, I've 'compiled' it into an EXE w/ Perl2Exe. And yes, it'll be included on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media that accompanies WFA 2/e. Oh, and it's also available for download at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper site, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Downloads section. Enjoy!

Tuesday, January 06, 2009

Memory Collection and Analysis Tools

Recently, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensics blog about memory collection and analysis tools, but for some reason, it seems that folks are STILL having trouble with this process; I'm seeing posts in forums (forii??) saying that "...this tool doesn't work..." or "...that tool crashed when I tried to use it...". My suspicion is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools aren't being used correctly as folks may not understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir limitations.

Collection
I tend to separate collection and analysis...I've found that it's better to do each one right separately than it is to try to do both at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time and split your resources.

XP/2003
There are a number of tools that allow for collection of physical memory on Windows XP and 2003 systems. The first and perhaps best known was a version of dd.exe modified by George M. Garner, Jr. This tool is no longer available, but it was used as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exemplar tool for collecting physical memory for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFRWS 2005 Memory Challenge. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool is dcfldd.exe, written by Nick Harbour (currently with Mandiant). However, this blog post is one of several locations where it seems that someone's discovered that attempting to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 \\.\PhysicalMemory object doesn't work, but dumping /dev/mem (yes, on Windows) appears to have an affect. Nigilant32 is a GUI-based tool that you can use to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of RAM, as well.

These tools are also available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Helix CD. In addition, HBGary released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir fastdump tool for dumping physical memory.

The delineation mark for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools came with Windows 2003 SP1, as that's when MS removed user-mode access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PhysicalMemory object. This, in turn, required a change in tools to collect physical memory.

2003 SP1 and Above
The tools used to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory for Windows 2003 SP1 and above (Vista) systems can also be used on XP and 2003 systems.

The first tool available to dump (and analyze) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of Physical Memory from Windows 2003 SP1 systems and above was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 KntTools from George M. Garner, Jr. Then came ManTech's MDD, Matthieu Suiche's win32dd, GSI's winen (and winen64, for 64-bit systems), and Mandiant's Memoryze. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are great tools, but like any tool, each has it's strengths and weaknesses.

For example, right on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main page for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MDD tool, it states, "The software can copy up to 4 GB of memory to a file for later analysis." I'll leave it to smarter folks to tell you why, but I think that most tools have this same limitation. Matthieu's win32dd will dump memory in a raw, dd-style format as well as a crash dump-compatible format in case you'd like to use MS Debugger tools to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dump. GSI's winen dumps memory in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EWF-style format (requires additional support for most tools to analyze). While most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools download as an EXE, Memoryze downloads as an MSI file, and creates quite a footprint on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

One tool that must be mentioned here is F-Response. By itself, F-Response does not provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent version of F-Response provides you with remote, read-only access to physical memory on Windows systems; you can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use tools like FTK Imager, or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r acquisition tool (dd.exe, dcfldd.exe, etc.) to acquire your memory dump. The figure I've posted here shows what physical memory on a remote system "looks like" on your investigation system...in this example, it shows up as \\.\PhysicalDrive2, and can be accessed by tools such as FTK Imager. Go here to see how to install F-Response EE remotely on Windows systems.

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools work best if tested and deployed before an incident occurs, before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool itself is actually needed. Tools such as mdd.exe and win32dd.exe can be deployed on CD or a thumb drive, and F-Response can be deployed remotely (even in stealth mode) over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, allowing you to accelerate your response.

Note: I don't want to leave out hibernation files. While I don't recommend hibernating a system as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default process for collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be times when its cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only option. For example, if a system already has a hibernation file on it, IMHO, I'd prefer to use that file for historical analysis, to establish or validate a timeline of activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is capable of hibernating, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be times when forcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to hibernate may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory. You can use powercfg.exe to configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to hibernate, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use run32dll.exe to force it to hibernate.

Analysis
There are some frameworks available that provide a means of analysis on memory dumps from several versions of Windows, such as Andreas's PTFinder Collection. Andreas's Perl scripts are primarily used to list processes (and pool tags) from within Windows memory dumps.

About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only tools I can think of that provide more than what Andreas's scripts provide for analyzing Windows 2000 memory dumps are my own scripts, which are still available on SourceForge, as well as on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Forensic Analysis DVD (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be provided on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of WFA).

When it comes to analyzing memory dumps from Windows XP SP2 and 3 systems for an incident response perspective, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Framework is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to go. Yes, I know it's CLI, requires Python (which is free), but to be honest, this framework gives you unprecedented access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump. I say "contents" because not only can you get things like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active process list and active network connections at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dump, but you can also run a linear scan through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dump for exited processes and expired network connections. The DFRWS 2008 Rodeo includes a memory dump you can try this out on. The output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various commands can be easily redirected to files, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n correlated using Perl or Python scripts (such as vol2html.pl).

Volatility includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability of working with hibernation files (incorporating Matthieu's work; note that Matthieu has also released a standalone hibernation shell, in alpha) and crash dump-format memory dumps, in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw, dd-style format dumps. Also, Volatility is extensible, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have taken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to create modules that can be easily installed and used with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 framework (ie, Jesse Kornblum's cryptoscan and suspicious modules, and Moyix's Windows message queue module).

Addendum: I've recently seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of additional plugins; malfind from MNIN Security, and moddump from Moyix. I've gotta take a look at and try cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se plugins...man, it's it AWESOME cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way Volatility can be extended??

Note: This is one of those places where I have seen folks say, "It doesn't work." As of now, Volatility works on XP SP 2 and 3 memory dumps. Please feel free to try it on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r memory dumps, but as a courtesy, please refrain from stating "it doesn't work" (most of us already know that), as well as asking "why doesn't it work?" Thanks!

Mandiant's Memoryze is an XML-based tool that started life as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant Intelligent Response (MIR) product, and will allow you to collect and analyze memory dumps from Windows XP, 2003, and Vista systems. To install Memoryze, download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSI file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation wizard will guide you through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. Memoryze ships with a number of batch files that make it a bit more user-friendly, and Mandiant also include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Audit Viewer, a wxPython-based GUI tool that makes viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of Memoryze a bit easier. Posts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 M-unition blog that describe how to use and extend Memoryze.

Also, please feel free to use tools such as strings or grep to extract information from memory dump files. However, keep in mind that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools are run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire dump file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information you find may be without context. However, using any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available tools to dump process memory for a memory dump file, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n searching it using strings/grep will provide you with a modicum of context.

It wouldn't be fair of me not to note HBGary's Responder product. I had an opportunity to try out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder Pro product a while ago, and found it be very useful for malware analysis. I haven't had an opportunity to try cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Field edition.

Monday, January 05, 2009

Characteristics of Effective Incident Response

The Need
There is a need for effective incident response, now more than ever. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key to incident response is incident preparedness. Responding without being prepared to respond correctly is what turns an incident into a major data breach and a major embarrassment.

Addendum: If you don't think incidents are going to happen, or that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't going to happen to you, take a look at this SecurityFix post from Brian Krebs. To be clear, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very first sentence says "reported"...which perhaps indicates a subset of what was actually detected.

There are three primary characteristics of effective incident response, and knowing and understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lead to being better prepared to respond to incidents:

1. Completeness of Data
When I am called to respond to an incident, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are four sources of data I will generally look for, to some degree, regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of incident:

- Network traffic captures
- Logs from network devices (firewalls, routers, etc.)
- Host-based volatile data
- Host-based non-volatile data

Now, you may not need data from every source for every incident, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sources may vary depending upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. In all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I've been doing IR, in various capacities, I can't recall a single time when I've had all four sources of data available...in fact, in most cases, I'm lucky to get one, and it's a miracle to have two.

2. Accuracy of Data
How accurate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is in many cases can depend upon what it is you're actually trying to do. For example, capturing portions of volatile memory using a batch file and third party tools (ie, tlist.exe, tcpvcon.exe, etc.) to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of active processes, network connections, etc., may be accurate enough for your needs. However, in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r instances, collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full contents of physical memory may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only means of achieving accuracy (and completeness) of data.

3. Temporal proximity
This is a term I borrowed from Aaron Walters (of Volatility fame), not because it's cool and Star Trek-y sounding, but because it makes perfect sense. The sooner you begin responding to an incident, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more complete and accurate data you're going to get, and your overall response is going to be more effective and lead to better remediation, etc.

Since this field is wrought with analogies, let's try this one...as a homeowner, do you have smoke detectors in your home? How about fire extinguishers? I do. How about insurance? When you called for your insurance, did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurance company ask how far you are from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nearest hydrant? How about from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nearest fire department? Did you get a home inspection prior to purchasing your home? Is it up to code with respect to exits, etc? Do you know what to do in case of a grease fire in your kitchen?

So, your home is full of valuables, in particular, your family. If your home were to catch fire, what would you do? First off, how would you know? Then, once you knew, what would you do? Would you just wait until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house burned down to call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fire department?

Now, map your home to your network infrastructure, and a fire to a data breach. Where are your valuables? Do you have a detection mechanism? Are you able to respond immediately and correctly to a grease fire?

This example shows, in part, that temporal proximity plays an important role in incident response, but it also highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for approaching it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right way, which may include training. So what does this mean for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming year? Well, it should mean that training will be more important than ever. Think about it. If a small fire starts in your house, would you (a) wait for an hour, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fire department, (b) wait for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house to burn down completely, or (c) begin putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fire out yourself immediately? With respect to computer security incidents, who is in a better position to respond immediately...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sysadmin who is currently logged into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 console, or an responder such as myself who is 24-48 hrs away from being on-site? Not only is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sysadmin cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, but she more than likely knows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture very well; an external responder such as myself is going to have to get up to speed on your architecture, and even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n won't have all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 little nuances.

This is all fine and good, but as Lon Solomon is fond of saying, "so what?" The fact is that many organizations simply don't put any effort or resources into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir response plan because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no requirement to do so.

External Forces
I'm not going to make a prediction for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary drivers for incident response in 2009 (and beyond) will continue to be external forces; specifically, legislative and regulatory compliance requirements. Why is that? Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to be. After all, most of us think that if someone is making a business out of storing and/or processing our sensitive (PII, PHI, PCI) data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll do everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can to protect and secure that data. I mean, why wouldn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y, right? After all, if a buddy wants you to hold $50 for him, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ring he's going to present his bride at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir wedding, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you're going to do everything you can to protect that data, right? For many of us, this is just what we think of as common sense, but that's sadly not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with your sensitive data. Look here, or here. And things only start to change when some external forces come into play, and those forces are strong enough to act as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stimulus to cause that change...those external forces being legal (think CA SB-1386, etc.) or regulatory compliance (think HIPAA, Visa PCI, etc.) requirements.

Saturday, January 03, 2009

First Post of 2009

Just a couple of things for my first post of 2009...

It seems that RegRipper is catching on, if this post about Enhancing RegRipper is any indication. I have some comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author has responded.

Christina has updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eEvidence site again, just before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New Year...as always, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some very promising links...

What 2009 holds...
Not resolutions or predictions, but for 2009, I'd like to do more development on RegRipper, as well as integrate all of my tools into a timeline framework, extending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (Brian Carrier w/ TSK, Michael Cloppert w/ ex-tip, etc.)

Work is progressing on WFA 2/e...I'm currently finishing up chapter 3, and once I get that turned in to my editor, I'll try to get some rewrites done, but I still have one chapter...Registry Analysis...still left to do and get in for review.