Tuesday, March 31, 2009

Some WAY Cool Stuff

First...you've GOT to see this. Tell me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main character doesn't look surprisingly like Marcus Ranum.

Second, a huge shout out to JT for her work on regslack.pl, which is available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Downloads section of RegRipper.net. I was running a search across an image recently for some important data, and surprisingly, I got several hits in Registry hive files; specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive, a couple of NTUSER.DAT files, and even in some UsrClass.dat files. This was odd, so I opened up a couple of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive files in UltraEdit to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive files and didn't see any key value structure information anywhere near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entries. To be sure, I ran JT's regslack.pl against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive files...I had done so previously to check for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive files for deleted keys...and was able to verify that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensitive data was, in fact, part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unallocated space within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive file and NOT part of any Registry structures. If you've ever found hits for your keywords within Registry hive files, you'll know that having this kind of definitive information can make a HUGE difference!

Rich over at HBGary showed me a neat trick for tracking down data in memory dumps. In this same engagement, I had collected a memory dump from a Windows 2003 system using Fast Dump Pro, and had used some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same tools I use to search images for sensitive data on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump...and found stuff. Well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step was to nail this down to a specific process. Unfortunately, within Responder Field Edition, you can export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable image for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process but not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory pages it uses. That's where Rich came to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rescue...he told me to right-click on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imported memory snapshot, choose View Binary from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context menu, and after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right-hand view pane, click on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binoculars at in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu bar above cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump and enter my search terms. I did this, and based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output, was able to determine that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I was searching for was not associated with a specific process. Interestingly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process itself had not contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I was looking for (based on my search terms) and that served to corroborate my findings. Thanks to Rich with for his helping hand in showing me how to ring just a little bit more out of Responder!

Saturday, March 28, 2009

EventLog Parsing

It's a rainy day here in Norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn VA, just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind of day where you want to sit inside and code. Seriously. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I've had to get back to is tweaking some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues I've had with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code for evt2xls.pl. For some reason, on smaller EVT files, it would rip right through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, but on larger files, particularly those around 16MB, it was having...issues.

Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than try to wade through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mess of code I wrote two years ago, I decided to just rewrite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up. Microsoft is nice enough to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVENTLOGRECORD structure format, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ELF_LOGFILE_HEADER structure and ELF_EOF_RECORD structure formats. Using this information, I completely rewrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basis of evt2xls.pl. I will also be updating evtrpt.pl, which provides statistics about EVT files, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequency of occurence of various event sources and IDs, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date range of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 records listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVT file. I plan to add some statistics for SIDs, as well.

So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method for analyzing EVT files from Windows 2000, XP, and 2003 remains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same

1. Run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditpol plugin from RegRipper (using rip.pl) against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security hive file to see what's being audited.

2. Run evtrpt.pl (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new one when it's out) against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVT file(s) to see what you have; for example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date range of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVT records doesn't cover your incident, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be little of value.

3. Run evt2xls.pl to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event records to XLS, CSV, or a timeline-specific format for analysis.

A basic version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rewritten evt2xls.pl will be available shortly. A more fully featured version will be available through some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means at a later date.

This is very useful, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Perl script is platform-independent...it will run on any platform that has Perl, as no special or platform-specific modules are required (with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception of Spreadsheet::WriteExcel, which can be easily installed on ActiveState Perl using PPM). Also, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows API is not used, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no worry about extracting event records from EVT files that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools (particularly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Viewer) refer to as "corrupted", so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir is not need to "fix" a corrupted EVT file (because it probably isn't corrupted at all).

Addendum: The next step is to create code for locating (and parsing) event records in memory dumps and unallocated space.

Friday, March 27, 2009

Case Studies

The guys over at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hacking Exposed Computer Forensics blog have been posting a couple of entries that may be of interest to examiners and analysts, called What did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y take when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y left? In today's economy, and particularly with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news media talking about disgruntled employees taking data or information with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y leave an employer, this information can be very helpful. Their first post refers to looking for artifacts of CD burning, and part 2 discusses what you might find in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key. These are both excellent posts that present more than just dry technical data to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y discuss how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data can be used.

There are some good points raised in part 2, particularly what might have happened if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no entries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user you're looking at. Based on my experience, one thing I'd point out is to be sure you're looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive file for an ACTIVE user. I can't tell you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of times that I've seen someone try to run extraction tools across an NTUSER.DAT file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Default User" or from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "All Users" profile. I've also seen seasoned examiners try to run tools against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ntuser.dat.log file.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r point I'd like to expand a bit is that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no entries beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Count key, or if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re don't seem to be a number of entries commensurate with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apparent user activity, be sure to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Count key (particularly if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key has no values at all). Remember, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time of a key is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last modification times for files, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time may correlate directly to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entries were deleted.

Speaking of which, if you're examining a Windows XP system, don't forget to consider System Restore Points. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user may have deleted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist entries from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current hive file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be a number of Restore Points that contain valuable data. The upcoming Windows Forensic Analysis second edition includes a discussion of a tool that I wrote to allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner to run RegRipper plugins across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Restore Points.

Be sure to continue following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posts over at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hacking Exposed Computer Forensics blog. Folks love a good story, particularly something that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can follow and actually use, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HECF guys are bringing it on!

Be sure to check out Matt's interview on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic 4Cast podcast, Hogfly's use of HBGary Responder, and Christine's updates at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 e-Evidence site.

Thursday, March 26, 2009

Timeline Analysis, pt V - First Steps

In order to really understand developing a timeline of activity on a system, a great place to start is with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system. Well...okay...not great, per se...it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional way, how's that? So, let's get some hands-on experience, and to do that, let's start with an image...pick one from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Available Images section below; I'm going to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST "hacking" case image because it has some interesting things we'll take a look at. You may have to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 segments of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw, dd-format image and reassemble cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into a single image file using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "type" command, or download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .E0x file and recapture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image into a raw format using FTK Imager.

Once you've downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, you can use FTK Imager to load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file and check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition table, or you can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VDK file system driver (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Resources section below) to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition table from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line. Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "vdk view" command, you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition table, which gives us similar information (along with offsets) as what is available through FTK Imager:


Disk Capacity : 9514260 sectors (4645 MB)
Number Of Files : 1

Type Size Path
------- ------- ----
FLAT 9514260 d:\hacking\image.dd

Partitions :
# Start Sector Length in sectors Type
-- ------------ --------------------- ----
0 0 9514260 ( 4645 MB)

1 63 9510417 ( 4643 MB) 07h:HPFS/NTFS


Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool you can use to collect similar information from an image is TSK's mmls tool. Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command "mmls -t dos d:\hacking\image.dd", we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following output:

DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

Slot Start End Length Description
00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000000 0000000062 0000000063 Unallocated
02: 00:00 0000000063 0009510479 0009510417 NTFS (0x07)
03: ----- 0009510480 0009514259 0000003780 Unallocated

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of both "vdk view" and "mmls", I've bolded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 particular information that we're looking for, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition that we're interested in.

This is why I chose this image in particular; it provides us with a good example to use in order to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS partition doesn't at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first sector; racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it starts at sector 63 (Note: you can get this same information by selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition in FTK Imager and choosing View -> Properties). One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools that we'll want to use to obtain timeline information from our acquired image is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSK tool 'fls' (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Resource section below). The 'fls' tool will allow you to extract timeline information for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image. In order to create a bodyfile containing all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline information, use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:

fls -r -p -o 63 -l -m C:/ d:\hacking\image.dd > bodyfile

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r great use for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is to get just a listing of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:

fls -d -r -p -l -o 63 -m C:/ d:\hacking\image.dd > deleted

I won't go into detail on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uses of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various switches, as you can find those by typing just "fls" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt, or by accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate link in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Resources section below. The output bodyfile from our first command contains all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted files, as well.

The bodyfile created by fls lists 4 timestamps in Unix epoch time format; atime, mtime, ctime, and crtime. In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crtime is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation time, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ctime value is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata change time, which are derived from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $STANDARD_INFORMATION NTFS attribute (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS file system, of course).

At this point, we have a body file that we can use with mactime to create a timeline of file system activity. We can also use this body file as an input to Michael Cloppert's ex-tip in order to incorporate ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data sources into our timeline.

Available Image
s
Lance's ForensicKB blog practicals
NIST "hacking" case
InfoSecShortTakes competition image

Resources
SleuthKit fls man page
SleutKit Wiki: BodyFile
SleuthKit Wiki: Timeline
Forensic Wiki: How to analyze partitions
VDK file system driver
ForensicWiki: NTFS

Dark Reading: WFA 2/e

John Sawyer had an article published in Dark Reading that mentions WFA 2/e! It's nice to get some love, even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book isn't out yet! Thanks, John!

Friday, March 20, 2009

Lessons in IR

Something in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news out of Tulsa, OK, this morning really provided an excellent lesson in IR.

Basically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story goes that someone saw what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y thought might be one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deadliest spiders on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planet, panicked, and killed it. An expert in spiders asked to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 body of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spider, but it wasn't available...it had been destroyed.

How many times has this happened to you as a responder?

Caller: "Help! We were hit with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deadliest Windows worm known to man!"

You: "Okay, calm down. How do you know?"

Caller: "We received an alert on our AV console!"

You: "Okay, good. What did it say?"

Caller: "We don't know."

You: "Uhm...okay. Have you isolated any infected systems or preserved a sample of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware?"

This is where things just kind of go downhill. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news article is a great example of how things go wrong on a daily basis in IR...

Memory Analysis, for real!

A bit ago, Rich over at HBGary was nice enough to provide me with a dongle for Responder Field Edition, so that I could take a look at it and work with it from an incident response perspective. Having that kind of access to that kind of tool is really pretty amazing, as it provides a perspective to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall environment that you don't get through reviewing web sites and testimonials.

First, some quick background...if you haven't been by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 redesigned HBGary site, go by and take a look. Also, be sure to add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fast Horizon blog to your RSS feed. The Fast Horizon blog gives some interesting insight into technical aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder product (i.e., Digital DNA, etc.) that you won't get even by working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool. Also, as I'm working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Field Edition, I don't have access to Digital DNA, so I won't be able to comment on that.

Okay, to make things even better when using tools like Responder to perform memory analysis, Hogfly has started a memory snapshot project, and has posted a memory snapshot from a VM guest running Windows XP (part II is posted here), with actual malware running. Pretty cool, and a great idea at that! This not only provides access to memory dumps with something to actually look for, but it also provides a great example of why you'd want to dump memory in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place!

I'll be taking a look at Hogfly's first memory snapshot (.vmem file) with Responder and Volatility, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snapshot is of a Windows XP system. I won't be using Memoryze, as I downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MemoryzeSetup.msi file and ran it several times, and had nothing installed. I tried specifying a path for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation, as well as using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default path. I even tried re-downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSI file. Nothing worked.

Responder Field Edition
Responder provides a very easy to use GUI interface for working with memory dumps or snapshots. You simply select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory snapshot to import, select a few options for what to do during processing, maybe add some keywords to search for, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool do its thing.

A couple of very interesting things that Responder will do is look for "keys and passwords" (a string search for components that might include passwords) as well as for "Internet History" or URLs. When locating both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column display in Responder includes a field for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string is located; this is useful as you may be able to map something interesting to a location in memory to give that string some context. In reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recovered URLs from Hogfly's memory snapshot, I found a LOT of Microsoft- and MSN.com-related entries, as well as some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, such as:

http://192.168.30.129/malware/
http://*:2869/
http://www.iec.ch
http://%s:%u http://[::1]:8080/

There are a number of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (too many to list here), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were also references to tunes.com and musicblvd.com.

For incident response purposes, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I really like about Responder is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to quickly get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory snapshot open and locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. In this case, for me, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "offending" process stood out like a sore thumb...svhost.exe, PID: 1824, with a command line of "C:\Windows\msagent\svhost.exe". From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, you can expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tree listing for that process in order to view specific information about and from that process. For example, we can see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process has a couple of open file handles, to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "foo" user's TIF index.dat file, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process also has an open TCP socket from port 1059 to a remote IP address on port 9899. This information can be extracted quickly once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory snapshot has been collected, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information available can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be used to correlate with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information, such as network packet captures, firewall or network device/appliance logs, etc.

From an incident response perspective, Responder is a great tool to really get you started in quickly identifying issues. I would like to be able to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary, if possible...I selected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Processes tree view (left-most pane of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI), right-clicked and selected Package, View Binary from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context menu...some dialog boxes flashed, but I didn't end up with a binary, nor did I get anything stating that I couldn't have it. This may be due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory pages for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process executable had been paged out; in cases such as this, using FastDump Pro would've been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to create a memory snapshot, incorporating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile, as well, providing a more complete picture.

Over all, however, Responder lets you very quickly process information in a graphical format, providing speed and agility for something for which just a couple of years ago, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no real process or methodology at all available.

Addendum: I heard from Rich with respect to parsing strings from binaries with Responder, and its actually pretty simple. If you select a particular process in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Processes tree view, you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process listing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Modules (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above image) and select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable image, which is also listed as a module. Expanding that tree lets you see Bookmarks and Strings. So with a couple of mouse clicks, you can view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings extracted from any particular binary. Similarly, viewing, analyzing, or saving a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary is simply a matter of right-clicking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EXE file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Modules tree view, choosing Package, and selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option that you want (see figure).

Volatility
Analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory snapshot with Volatility was somewhat different, as Volatility is a purely command line interface (CLI) tool. However, that does not make Volatility any less powerful when it comes to memory analysis. I won't go through everything Volatility can do, as it's been discussed before (and is racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r nicely documented), but suffice to say that I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following commands against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory snapshot:

ident
datetime
pslist/psscan2
connections/connscan2
sockets
files
regobjkeys

The great thing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se commands is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be included in a batch file and run all at once, and finished off with tools such as JL's vol2html to tie everything togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r into a single report (examples here and here). Don't forget that you can also include ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r modules, such as malfind, moddump, or Moyix's Registry modules. JL's code is a great example of what you can do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools, showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flexibility available through Volatility.

Correlating output like this can make it easier to identify suspicious processes. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, once you identify a process of interest, you can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "procdump" and "memdmp" commands to collect as much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable image and process memory, respectively, as you can. In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable image data appears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local directory as "executable.1824.exe" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump appears as "1824.dmp". You can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files in a hex editor, or simply extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings. When running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 procdump command, however, I received a number of "Memory not accessible" responses, indicating that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory pages had been paged out.

As you can see, various memory analysis tools have strengths and weaknesses, and should be considered just as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are...tools to do a job. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than advocating one specific tool, I'd advocate understanding and using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all. Responder is more OS-complete than some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r available tools, while Volatility provides a level of granularity not seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools. At this point, if someone asked me, "which tool do you recommend...Responder, Volatility, or Memoryze", I'd have to say "yes".

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing to remember is that looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools in isolation only provides part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer, and only taps a small portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power available to you as a responder. For example, throw F-Response EE and FEMC, and RegRipper into your toolkit, and you're really expanding your capabilities.

Wednesday, March 18, 2009

Linkfest

This will be a short "linkfest"...

Ovie and Bret posted a new CyberSpeak podcast recently. In this podcast, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y interviewed Drew Fahey of e-Fense, and talked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons behind Helix becoming a commercial tool. I agree with Drew's reasoning...I can't say that I've been a huge user of Helix, although I do have copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDs for various versions of Helix. I have run into folks that use Helix (in some cases, almost exclusively), so it behooves me to be a bit familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool sets, particularly when it's a customer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're trying to provide me with some needed information.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 links from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show was for ADrive.com, an online storage and backup site. A while back, I blogged on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GMail Drive, an application that would allow you to use your GMail account as a backup/storage facility. Googling turns up a number of sites available for this kind of functionality, including VMN.NET, and an ExtremeTech article that lists six free online storage sites. Given some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media attention that's been directed at insider threats, particularly in a down economy, this is yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r avenue of data leakage to be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lookout for. When performing incident response or analysis in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se situations, you may want to look for artifacts of online storage sites

Sunday, March 15, 2009

Get in mah Kindle!!

Paraphrasing Fat Bastard, I thought it was kind of funny...I crack myself up!

Okay, enough of that. Rob Lee recently pointed me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Kindle, and this morning, Lance Mueller pointed me to something just as cool...Windows Forensic Analysis, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Kindle! Right below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book cover, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a little box that says "Tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Publisher"...you can tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher that you want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book on your Kindle!

And yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a similar box for WFA 2/e!

BTW...if you connect one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se to your Windows box to upload books, what artifacts does it leave?

Resources

With respect to incident management, and incident response and forensic analysis of Windows systems, what are your issues, concerns, and requirements?

What I mean by this is, what resources are out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re that help you meet your needs and goals, and which ones simply are not available? What meets your needs, and what needs aren't being met?

These questions apply across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 board, regardless of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you're local, state, or federal LE, a consultant, FTE IT staff, college/university student, etc.

Is it a matter of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 availability of information with respect to various or specific topics? If so, which ones? What about training? Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re information out that may be useful, but is out of reach for some reason (aside from being classified)? What are your limitations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se regards? Time? Funding? How could your requirements in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se areas be better met?

Have you come through an incident or completed some forensic analysis and been left with questions or concerns, such as "did I miss something?" or "what could I have done better?"

Are you looking around and simply not finding your needs being met? Have you sat down and figured out what those needs are, even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're moving targets? Do you keep coming back to some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m over and over again?

Saturday, March 14, 2009

A bunch of stuff

Here's a bunch of stuff I've run across recently...

As an update to my Working with email post, I found this post from digfor about a couple of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r useful tools for handling email. The post mentions Mail Viewer from MiTeC, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MiTeC Outlook Express Reader.

Digfor also mentions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ImDisk virtual disk driver, something I've mentioned before and included in my book. I agree, this is an excellent tool for mounting images of disks.

Digfor's post led me to this one about an SFCList tool that lets you see all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files protected by WFP. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I found this link to disabling SFC...something I've been aware of for a while, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason I wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wfpcheck tool discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of my book. The link to disabling SFC led me this one, and I knew about this one. I think that it's important for all responders and analysts to be aware of this, as it can help you to find bad stuff on a system or within an acquired image. This came into play with MS's initial release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir description of W32/Virut.BM (hey, I didn't name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variant, but it's funny to me, too!). In that initial description, under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Analysis tab, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had no mention of SFC being disabled. To me, this was just anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of how AV vendors are missing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mark when it comes to helping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers...racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than writing up malware in a way that helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT staffs that battle it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y write it up in a way that suits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.

Next - not a tool, per se, as much as a site...check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Command Line Kungfu blog!

Friday, March 13, 2009

Incident Management 101

When responding to an incident, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 single biggest, most important factor is information.

Some of you are going to read this and your first thought will be, "well...duh!" Well, think about it for a moment...if you're a consultant (like me), how many times have you received a call for assistance where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to all of your questions was eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "I don't know" or "blue"? How many times have you responded to an incident where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer even had as much as a usable network diagram? Remember, like any (potentially) bleeding victim, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want answers NOW, but it's like trying to diagnose someone via email...whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you're on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone or on-site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing you need to do is orient yourself to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation, which, of course, takes time.

In any incident, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are going to be unknowns; ie, a lack of information. At first, you may not know what you're dealing with, so some data collection and analysis (you know..."investigation") will be required, and this should be based on a solid process.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unknowns during an incident should not be your environment; if it is, you're in trouble. By environment, I mean everything, include very basic stuff like "TCP connections start with a three-stage handshake." Laugh if you will, but I'm serious. Having JUST that basic piece of information and understanding how to apply it makes a tremendous difference during incident response, for anyone. Also, you need ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information such as, where are systems located, and what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paths that data is supposed to (or can) take? Where are applications located? Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any logging, and if so, what is logged?

When it comes to responding to an incident, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are four main locations for data collection:
1. The network - classic packet sniffing; analyze with Wireshark, NetWitness, etc.
2. Network devices - routers, firewalls, any appliances (IPS, Damballa, etc.)
3. Host system/memory
4. Host systems/physical disk - includes not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host OS, but any applications, application logs, etc.

Data can be collected from any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sources to assist you in your incident, IF you know where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are, how to (or who can) access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary data is located.

During an incident, something that is more dangerous than a lack of information (because you can always fill cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gap, often at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of time...) is misinformation. Sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best thing a responder or incident manager can do is recognize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't know something, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data and facts, and perform analysis, in order to fill cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gap. The absolute worst thing that can happen is when those gaps are filled (or created) by speculation and blatantly incorrect information.

As an example, I've been involved in a number of malware-related incidents in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate AV solution did not detect a bit of malware, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were hit with a variant of known malware family. In one instance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT staff captured a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and ran "strings" on it, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n searched Google for one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y found. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second page of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google search, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y found a reference to a keystroke logger on a public forum. Assuming that this was 100% credible, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y proclaimed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware had keystroke logging functionality...which immediately caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Legal and Compliance department to fire off a brown star cluster (Marines will find that one humorous) and declare an emergency! After all, what started out as a quickly-eradicated malware issue now became one of potential sensitive data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft!

In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information collected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT staff (ie, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string) had no context. Where was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string located within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EXE file? In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resource section, or in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 import table? Depending on which one, that string can affect incident response in vastly different ways.

In anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example, I was assisting an incident manager and providing advisory services when I was watching a couple of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT staff assembled in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "war room". Two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT staff were talking about something related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, and I heard one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m mention "keystroke logger". Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, having a keystroke logger on systems would be very bad...you might even say, super bad. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r IT staffer who was working away on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room looked up when he heard this, and said, "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan is a keystroke logger?" Right about that time, an IT manager walked into room and heard this and made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement, "The Trojan is a keystroke logger." An hour later at a status meeting, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT manager reported to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident manager that a keystroke logger had been installed on systems on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Hint: during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ensuing hour, no one had done any examination of eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems.

During incident response, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key to effectively managing an incident is knowing what you don't know, and doing what's necessary to fill that gap. Hint: Speculating ain't it!

Thursday, March 12, 2009

Bashing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 competition....FAIL!!

A letter went out recently from someone at Guidance Software that...well...misrepresented some facts about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-Response product. I understand that this is how some folks believe that business is done, and that's...well...sad. I'm not going to bash Guidance or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products; instead, I think that as someone who greatly appreciates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work that Matt has done, it is important to clear up some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misrepresentations put forth in that letter, as some are a bit off, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are just blatantly wrong.

The letter starts off with: F-Response is a utility that simply allows users to acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of remote computers and devices, but without any type of security framework, data analysis or forensic preservation capabilities.

F-Response is a tool-agnostic means that facilitates acquisition of data...Matt never intended for it to provide acquisition, analysis or forensic preservation capabilities. There are already enough bloated applications out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, why add anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one? Why not instead simply provide sound framework that allows you to do what you need to do? And don't get hung up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "sound"...if you're not willing to look into it for yourself, please don't argue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point.

Going on this way throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 letter, point for point, would be obnoxious and boring. Instead, I'll illustrate some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r major points brought up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 letter that include (but are not limited to):

Acquisition validation issues: Acquiring data using a new transfer method introduces an unknown into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition that needs to be vetted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 courts - How is new a bad thing? Of course things need to be vetted...EnCase needed to be vetted at one point. I'm not entirely sure I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point to this "issue".

No logging capabilities - Of course F-Response doesn't have logging capabilities...that's not what it was designed for. This is like complaining that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hammer you brought can't be used to tighten or loosen bolts.

No end node processing - Again, F-Response wasn't designed to be yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r version of available tools; racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it was designed to give greater capabilities to those already possessing a number of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available tools; just watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 videos that are freely available.

Limited Volatile Data Collection - F-Response provides full access to physical memory, exposing it as a physical drive on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst's system. Mandiant's Memoryze is capable of directly accessing that physical drive. The contents of physical memory can also be acquired in raw (ie, "dd style") format and immediately imported into HBGary's Responder product with no conversion.

No Solaris, Mac, Linux, AIX, Novell: The solution is Windows only - F-Response currently supports Linux and Apple OSX 10.4, 10.5, with more coming. Characterizing F-Response as "Windows only" is blatantly incorrect.

Invasive compared to servlet - What is "invasive"? F-Response Enterprise is only 70k. You're kidding, right?

Agent deployment is manual - F-Response Enterprise Management Console. It's easier for me to deploy F-Response EE to a dozen systems than it is for me to answer an email on my Blackberry.

No Encryption - F-Response can support Microsoft IPSEC, and F-Response can be run over VPNs.

No compression - F-Response end points can be moved closer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source machine, effectively reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for compression. Also, compression is CPU-intensive, and wait a second, didn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 letter just mention something about invasiveness??

All in all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 letter really goes a long way toward misrepresenting F-Response. Don't get me wrong...neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Matt nor F-Response need defending from me. Both are fully capable of standing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own without any help from me. But when I see a misrepresentation as blatant as this, I really feel that it would be a disservice for this go on without at least saying something.

Regardless of my opinions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter, I'll leave it to anyone reading this to choose for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.


Addendum: Looks like this post got picked up here (in Poland) and by Moyix, as well. Moyix raises some excellent points about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FUD surrounding Volatility...

Malware for Incident Responders - Examples

I thought that now would be a good time to take a step back and look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware characteristics that have been presented, and see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be used to understand malware so that such incidents can be prevented, detected, and better responded to, not only by first responders, but also by forensic analysts. During many malware incidents, you'll hear things like, "we cleaned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y keep getting infected", or "we don't know how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is infecting systems." My hope is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 characteristics will provide a framework that can be used to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r questions.

Initial Infection Vector
One thing we're always curious about is how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware originally got on a system or into an infrastructure. Many times we see malware on a system and find out that it makes its way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network like a worm, exploiting a vulnerability or a specific set of vulnerabilities. However, many times, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se vulnerabilities are obviated at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ports are not accessible via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is NAT'd behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall, or something similar. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question remains, how did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware originally make its way into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network? Where is patient zero?

Initial infection vectors (IIVs) can come from a variety of sources. For example, a user opens an email attachment and eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worm kicks off or a downloader gets installed, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n reaches out and grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worm. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r IIVs can include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browser, USB thumb drives, etc. Heck, even digital cameras can be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IIV for malware!

Propagation Mechanism(s)
Propagation mechanisms are how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware "gets around" and infects ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems once it's in your infrastructure. Some malware...worms, in particular...like to propagate by exploiting vulnerabilities on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Some worms use just one exploit, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs actually use multiple exploits, going with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that works. This may also be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector, or it may be how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware propagates once it's on your network.

Very often, malware will exploit operational business functionality in order to propagate. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit example, worms will not only exploit vulnerabilities, but also exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational business functionality of not patching systems in a timely manner. A lot of malware currently exploits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational business functionality of having all users run with Administrator privileges. The release of Conficker has seen a move to exploit file sharing; by placing a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of a share, and adding an autorun.inf file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware exploits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational business functionality of file servers (as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that MS dropped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ball with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NoDriveTypeAutorun Registry setting).

Persistence Mechanism(s)
Persistence mechanisms are those artifacts that allow malware to survive a reboot. Jesse Kornblum's "Rootkit Paradox" paper points out that rootkits (a form of malware) wants to remain hidden from view but at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, it wants to run; extending that paradox just a bit, something similar can be said for most malware...it wants to run, but in most cases it also wants to remain persistent across reboots. As such, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a finite number of ways that malware (any software, really) can do this on Windows systems. Most of us are familiar with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanisms in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, in particular cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ubiquitous "Run" key.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r popular means of ensuring persistence is to load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware as a Windows Service, or in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of kernel-mode rootkits, as a device driver (*.sys file). This can be furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r extended by not only loading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware as a service, but loading it as a DLL under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Svchost service. Doing so has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect of loading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and hiding it in plain sight; by that, I mean that if a responder lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 running processes, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r through Task Manager or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware won't be readily visible, as its running as part of anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r service.

A variant of this persistence mechanism that I've personally seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field is to install two services...one that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual malware, and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r that checks to make sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is running after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system has been rebooted. I assisted a customer with a situation like this where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had identified one persistence mechanism, "cleaned" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system by removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n rebooted...only to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware return. Identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r service allowed us to finally clean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems.

Yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r persistence mechanism is to use Scheduled Tasks, also referred to as "AT jobs". Conficker is a recent example of malware that uses this persistence mechanism...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder users an AV vendor's tool to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware file itself, as well as any Registry keys, but shortly after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is removed, it's back again!

Artifacts
Artifacts differ from persistence mechanisms in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are both essentially artifacts, but persistence mechanisms allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to survive reboots and remain...well...persistent. Many times, malware will leave artifacts or "footprints" of its presence, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by design or simply by its interaction with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. For example, some malware modifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file; this isn't a persistence mechanism, but it is a modification that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is designed to do. Some malware does this so that processes on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system that need to make network connections...AV updates, for example...don't succefully resolve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domains that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y intend to for updates, etc.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts can include disabled or even deleted security applications and services, as well as modifications to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Firewall to register cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware as an exception to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall rules, allowing it to communicate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

Artifacts are not limited to host systems (ie, Registry entries, files created or modified, log file entries, etc.); artifacts can also be found in network traffic, or in log files on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems or devices. For example, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big things I've seen in a number of malware write-ups is malware's "phone home" capability, reaching out eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to an IRC server or requesting a URL so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected systems are logged in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server logs. Many AV companies are listing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various URLs, and malware authors have been randomizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain selection, making it a full time job to develop and maintain blacklists on firewalls and web proxies. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is that while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se URLs or IP addresses do change, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are transient artifacts that are found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network connections on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, as well as in network traffic.

The examples I've provided are not a complete list by any means. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are meant to illustrate a framework which can be used to understand and address malware from several perspectives, including initial triage of an incident, on-site or first response to a known or as-yet-unidentified malware incident, or forensic analysis following an incident. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 framework is in-place, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of resources that can be used to fill in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gaps, if you will: vendor-provided analysis, static/dynamic analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware itself, or analysis of captured network traffic and log data.

Monday, March 09, 2009

RegRipper in Action!

I received an email from an enthusiastic user of RegRipper today, pointing me to a blog he'd posted on his experiences with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool. I don't read Spanish, but I am really glad to see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool. This post led me to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r post explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of RegRipper at NeoSysForensics.

Also, from his blog, I found a link to Moyix's example output of RegRipper, apparently run against hive files in memory using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper/Volatility prototype.

Saturday, March 07, 2009

Malware for Incident Responders - FakeXPA

I've mentioned here before that many times it's very difficult for experienced incident responders to really get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir heads wrapped around a malware issue, such as an infection in a corporate infrastructure. As difficult as it is for folks who do this kind of work, imagine how difficult it can be for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT staffers managing that environment and attempting to recover from such an infection. I recently spent some time working with someone who'd been hit with a variant of a 9 year old dropper. Yes, that's right...9 years old. The secondary download was about 2 years old, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir AV product was able to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se baddies...well, as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV product installed was up-to-date and enabled. No extra.dat files were required.

Again, as I've mentioned before, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues faced by responders (IT staff, as well as guys like me) is a lack of information from AV companies...most do not provide necessary information to perform detection, eradication and recovery effectively, simply because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business to do so. A commercial AV company's goal is to get you to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir product, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir response is to attempt to get a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variant, develop a definition or signature for it, and see if that signature works for you...all while you just want it gone!

As a side note, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that software vendors, in general, don't realize is this...by now, most folks are aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that things won't always be perfect. All products will have flaws, and most consumers know that. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key at this point is, when someone does have a problem, how do you respond? Customers are happiest with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first person that feels cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir pain and really helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Okay, enough of that. I thought that after our last example, it might be a good idea to take a look at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware that comes out, and take a look at it from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of an incident responder (and subsequently, a forensic analyst). An example I ran across today was W32/FakeXPA. Let's take a look at this from perspective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 framework we've already put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r...

First off, W32/FakeXPA is a "rogue" security product, which infects a system and makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have some sort of issue (or no issues at all) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r similar malware includes Trojan:W32/AntivirusXP. Fortunately, Trojan:W32/FakeXPA was added to MRT in December, 2008...so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's some protection cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Initial Infection Vector
No specific infection vector is identified. MS says that "various methods" are used to infect systems, so I'm sure that responders should look to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r email attachments or a secondary download based on an initial dropper via email or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browser. However, this also does not rule out ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r infected media (thumb drives, CDs) as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transport mechanism.

Artifacts
MS's write-up on W32/FakeXPA states that among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things, this malware may add an "XP Antivirus" value to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HKCU\Software key. The most recent information available from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MMPC also states that a recent variant modifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts may include an entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's Start Menu folder (ie, "%UserProfile%\Start Menu\XP Antivirus XXXX")

Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different variants have different artifacts. For example, from MS's write-up, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2010 variant installs as an BHO, as well as adding a subdirectory and files to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "C:\Documents and Settings\All Users\Application Data" directory.

While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hood" artifacts of an infection vary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commonality is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user will see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fake antivirus GUI giving alerts to various threats detected on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Most peoples reaction will be, "yes, get rid of all of it!!", but responders need to look to whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts are coming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legit installed AV product or not. See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS write-ups for screenshots of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variants.

Propagation Mechanism
This particular bit of malware doesn't appear to propogate once it's on a system. This is classified as a Trojan, not a worm.

Persistence Mechanism
According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS write-up, W32/FakeXPA writes a file to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 %ProgramFiles% or "%ProgramFiles%\XP Antivirus" directory and creates an entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's (HKCU hive) Run key. This appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common persistence mechanism across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variants (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2010 variant also includes a BHO), and provides responders with a great way to check individual machines, systems within a domain, as well as acquired images for indications of an infection.

Interestingly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest MMPC write-up ends with a listing of SHA-1 hashes for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest variant. Come on, guys...not only do many products rely on MD5 hashes (EnCase, Gargoyle, etc.) but using static hashes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of malware that varies just does not make sense! Why not use fuzzy hashes?

Resources
VirusTotal page for one variant of FakeXPA (see how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r AV vendors are detecting it)
ThreatExpert (2009 variant, A360 variant)
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r rogue "security product"

Final Note
Look at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various write-ups...for example, compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ThreatExpert 2009 variant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MMPC Security Portal write-up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same variant. Both identify some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files and Registry keys left by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, but ThreatExpert identifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packer, which means anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means of detection may include Scout Sniper, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 illustrious Don Weber!

Thursday, March 05, 2009

Working with emails

An interesting question popped up on one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lists yesterday, and I just sort of watched it to see what happened, and how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs would respond. The original question had to do with parsing emails, from one format to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Like many examiners, I've had to deal with this sort of thing myself, looking at data exfiltration or misuse/abuse of corporate assets by an employee. Many times this sort of question really comes down to, how can you parse email messages from one format to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, in order to perform searches of eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email text or of attachments?

The results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posts to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list are encapsulated below in a list of email conversion tools.

Email Conversion Tools
Emailchemy
Vound Software Intella
Aid4Mail
AvTech - Beware...Perl ahead!
Email Conversion Tools

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r respondent suggested Google searches for "eml to mbox bulk" and "msg to mbox bulk"

So...what do you do? What tools do you use?

Addendum: An alert reader mentioned a free (as in "beer") tool called Mail Cure for Outlook Express (described here) that reportedly can recovery emails from damaged or deleted dbx files. Very cool!

Wednesday, March 04, 2009

Malware Characteristics - An Example

In my last post, we took a look at some ways to do malware detection, and in that post, I presented four general characteristics of malware that can be used to detect and deal with many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues that we run into. I thought that a good way to get discussion on this started would be to run through an example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nice folks at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MMPC popped up a great example today...%LnkGet%. Let's take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write up on %LnkGet% and see how we can apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four characteristics, and see if a response methodology (and even an analysis methodology) begins to evolve...

Initial Infection Vector
Okay, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MMPC describes this bit of malware as a Trojan Downloader that when run, downloads ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files. Also according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MMPC, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector is to arrive as an email attachment, so one way to begin looking for indications of this is to search for Windows shortcut (*.lnk) files in email attachment directories; remember, this may also include web-based email tools, as well, so looking for .lnk files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web cache may be a good idea, too.

Artifacts
The artifacts of this malware are pretty straightforward...first off, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main file involved is a Windows shortcut/*.lnk file. Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re can be a great number of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se on a Windows system, but as an analyst, what you'll be looking for is a .lnk file in an unusual place (ie, email attachment or web browser cache directory). In addition, this .lnk file downloads a .vbs script that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n downloads additional malware.

From a network perspective, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downloading may leave artifacts in log files; as you can see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write up, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of sites involved which resolve to .cn and .tw domains.

Propogation Mechanism
This bit of malware is described as a downloader, and doesn't propogate on it's own. However, as a downloader, it may download additional malware that does propogate (ie, a worm of some kind).

Persistance Mechanism
This bit of malware doesn't seem to need a persistance mechanism, because once it's downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional malware, it's done. The MMPC does state that while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shortcut files do try to disguise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of icons, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y apparently do not delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've completed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir task(s).

What this tells us...
1. Block .lnk file attachments
2. Have a written policy and educate users against launching arbitrary files that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y receive, regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source.
3. Develop a CSIRP and train your responders (this is a subject for a whole ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r series of posts).

My reason for looking at things like this is that AV companies are not incident responders. People who discover vulnerabilities and publish exploits are not incident responders. In most cases, companies such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se provide information that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y think is important, but very often what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide is not sufficient for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir users and customers to incorporate into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir risk management and incident response planning. In this regard, I really think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se companies are doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers a huge disservice.

Tuesday, March 03, 2009

Looking for "Bad Stuff", pt III (Malware Detection)

So far, I've posted twice (see Resources below) on this subject, each time giving sort of a general overview of a process, but without getting down-and-dirty. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difficult things about putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a process or a "best practice" is that very often, what's "best" for one person (or group) may not be "best" for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. So, with respect to malware detection (not analysis...at this point, we're still looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "bad stuff"), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re several techniques you can use when going about this sort of process.

First, many times we may be looking for malware for different reasons. One reason would be that we suspect that a system may be infected with malware, while anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r may be that by looking for malware, we're attempting to nail down an intrusion or compromise (like following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trail of artifacts back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original compromise vector), with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware being a byproduct of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing to keep in mind is that malware, in general, has four main characteristics:
1. An initial infection vector - how it got on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place; this can be through browser download (even on a secondary or tertiary level), email attachment, etc. Conficker, for example, can infect a system when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user opens Explorer on drive (USB thumb drive, mapped share, etc.) that has been infected. In some SQL injection compromises, I've seen malware placed on a system by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder sending tftp commands or creating and launching an FTP script, all via SQL injection. I've also seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware into a database table in 512 byte chunks, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database reassemble cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could launch it.

2. Artifacts - what actions does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware take upon infection and what footprints does it leave? Many time, we can determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ourselves through dynamic malware analysis, but often its sufficient (and quicker) to use what's available from AV sites. Sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "footprints" can be unique to a malware family (Conficker, for example). Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts do not have to be restricted to a host; are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any network-based artifacts that you can use when analyzing logs?

3. Propogation Mechanism - How does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware get about? Is it a worm that exploits a known (or unknown) vulnerability? Or is it like Conficker, infecting files at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of drives and adding autorun.inf files? Understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 propogation mechanism can help you fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tide, as it were, or develop a mechanism to block or detect furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r infections.

4. Persistence Mechanism - As Jesse Kornblum points out in his "Rootkit Paradox" paper, malware likes to remain persistent, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simple fact is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a finite number of ways to do that on a Windows system. The persistence mechanism can relate back to Artifacts; however, this would be an artifact specifically intended to allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to survive reboots.

These characteristics act as a framework to help us visualize, understand, and categorize malware. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, I have used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se four characteristics to track down malware and help ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. In one instance in particular, after a customer had battled with a persistent (albeit fairly harmless) worm for over a month, I was told that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would delete certain files, reboot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files would be back. It occurred to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hadn't adequately tracked down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanism, and once we found it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were able to clean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems!

Okay, so how can we go about tracking down malware, detecting its presence? I'm going to start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that we have an acquired image, and we need to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I'm going to list several mechanisms for doing so, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are not listed in order of priority. It will be incumbent upon you, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader, to determine which steps work best for you, and in which order...that said, away we go!

Targeted Artifact Analysis
A lot of times, we may not know exactly what we're looking for, but if we know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanism or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts of malware, we can do a quick, surgical scan that malware. Tools such as RegRipper can make this a fast and extremely easy process (remember, for live systems, you can use RegRipper in combination with F-Response!). Take Conficker...while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are changes in artifacts based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variant, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 set of unique artifacts is pretty limited. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variants have changed so as to obviate both AV scans and hash comparisons (at this point, everyone should be aware that hash comparisons for malware are marginally less effective than AV scanning with a single engine), artifacts have remained fairly static (Registry modifications) with some new ones (Scheduled Task) being added. The addition of unique artifacts helps narrow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 false positives.

Log Analysis
There are a number of logs on Windows systems that may provide some insight into malware detection. For example, maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed AV product detected and quaratined a tertiary download...depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product, this may appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV product logs as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log. Or perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV scanner's real-time protection mechanism was disabled and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user ran a scan at a later time that detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way, check for an installed AV or anti-spyware product, and check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs. Also, examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs. And don't forget mrt.log!

Scans
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to go about detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of malware on systems is to scan for it using AV products. Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are commercial AV products available, but as many have seen over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of months, particularly with Conficker and Virut, sometimes using just one commercial AV product isn't enough. The key to running scans is to know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan is looking for so that you can better interpret cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results.

For example, look at tools such as sigcheck and missidentify; both are extremely useful, but each tool looks for certain things. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r scanning tool that can be extremely useful is Yara, and anyone looking at using Yara should consider using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Yara-Scout Sniper release from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 illustrious Don Weber! Yara can use packer rules (from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public PeID signatures) to detect packed files, and Don has added fuzzy hashing to Scout Sniper.

As a side note, while fuzzy hashing is obviously predicated on having a sample of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to hash, it is still a much preferable technique over "normal" hashing using MD5 or SHA-1 hashes. In one instance, I had two examinations about 8 months apart where I found files of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same name on both. Traditional (MD5) hashes didn't match, but using ssdeep, I was able to determine that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files were 99% similar.

So, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than scanning for not-normal files (with "normal" being somewhat amorphous), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways to scan for possible malware infections. With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of malware that subverts Windows File Protection (WFP) in some manner, tools like wfpcheck can be used to determine if something on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system modified any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "protected" files.

But again, keep in mind that scanning in general is a broad-brush approach and scans don't find everything. The idea is to have some idea of what you're looking for, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper tool (or tools) to build a comprehensive process. As part of that process, you'll need to document what you did, what you looked for, and what tools you used...because without that documentation, how to describe what you did in a repeatable manner, and how do you go about improving your process in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future?

Resources
Looking for "Bad Stuff", pt I and pt II
Claus's post on Portable AV tools
Free-av.com
Free AVG
PCTools

Monday, March 02, 2009

WFA 2/e is on its way!

Windows Forensic Analysis, second edition, is on its way!

Today is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day that everything was due, and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part I think that everything is in. At this point, all that's really left to do is for me to wait to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher sends me any mastered chapters in PDF format to review, but beyond that, it's simply a matter of waiting. As soon as I know when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book will be available, and in what formats, I'll let you know.

Eoghan Casey deserves a great big, huge thanks for his efforts as a technical editor. He put in a lot of work and had a lot of great suggestions, not all of which I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to really take advantage of; nonecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, I greatly appreciate Eoghan's efforts in reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 materials, and I'm sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readers will, too.

Now, a lot of you are going to ask me (and have been asking me) , what's new in this edition? First off, this isn't a new book, it's a second edition, so I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition as a starting point. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapters have been updated to some degree; some just a bit, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information still holds, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs were pretty heavily updated (ch. 3, 4, and 5) due to changes that have occurred since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition was published.

For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a lot of references to and discussion of Matt Shannon's F-Response, particularly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enterprise Edition. I spent a good deal of time writing a step-by-step process for deploying F-Response EE remotely, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n just as I was getting ready to send that chapter in to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher, Matt came up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FEMC! With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FEMC, any analyst or responder with an F-Response EE dongle now has an enterprise capability that is as easy to deploy remotely (and in a steathy manner) as it is to play Solitaire!

Chapter 3 on Memory Analysis has been heavily updated to include tools such as Volatility, HBGary's Responder and Mandiant's Memoryze. Unfortunately, all three went through some updates fairly recently, after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapter was sent in to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher.

Chapter 4, Registry Analysis, has been very heavily updated, particularly since RegRipper plays such an important part in that chapter. Beware, Eoghan feels that this chapter is a bit of a "marathon" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader, and I agree...but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re simply wasn't enough time to address that...so consider it a reference tome. ;-)

Chapter 5, File Analysis was pretty heavily updated, to include more information on some topics (such as SQL injection in IIS web server logs), as well as information on files from Vista, etc.

Yes, I've added more information on Vista and even dipped a bit into Windows 7.

I've also added two additional chapters; chapter 8 is Tying It All Togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, is meant to bridge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gap imposed by many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapters. For example, one chapter talks about memory analysis, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, and yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r about files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system...but chapter 8 is where I've added case studies or war stories, illustrating how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se different areas of analysis can be tied togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to build a comprehensive picture of your incident or case.

Chapter 9, Performing Analysis on a Budget, isn't meant to tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader not to use commercial forensic analysis applications; not at all...I still like ProDiscover. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact is that analysis isn't about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, it's about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. Some folks need to see what tools are out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in order to expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir process...that's cool. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs may want to know what's possible, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be able to pick from a list of tools (or like me, develop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own...). This chapter is not only meant for hobbyists who want to learn more, university students, and maybe LE, but it's also meant to show everyone that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re besides...well...fill in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of your favorite application. ;-)

Now, some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that aren't in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book...first, any updates to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material that is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book that occurred in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last week or so. This includes some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff I've blogged about, such as Moyix's new and amazing feats! Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing that really isn't in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline analysis stuff I've been blogging about...I only got time to work on that after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manuscript was sent in. And finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff you're just now thinking about isn't in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book...sorry! ;-)

That being said, as soon as I get more information about when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book will actually be available and in bookstores, I'll let you know.

Extreme Coolness

Moyix has done it again! Not only has he updated his Volatility modules for retrieving Registry data from memory, but he's also developed a means to run RegRipper against a memory image! This was also picked up on SANS ISC. Very, VERY cool! Check it out and give it a try...

Sunday, March 01, 2009

Timeline Analysis, pt IV

My last post on this subject was starting to get a bit long, so racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than add to it, I thought it would be best to write anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r post.

I think that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long run, Michael was correct in his comment that a database schema would be needed. However, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time being, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is enough here to provide a bit of insight to an analyst, albeit one with some programming ability. Okay, so here's how this can be used all togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r right now...

You have an acquired image, and you run Brian's TSK tool, fls, against it, getting a body file. You can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mactime utility to filter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 body file into a secondary file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5 fields which were described in part III. At this point, we should have a file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .tln format from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system. You can also extract files from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image itself (Event Logs, Registry hives, etc.) and run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same filtering process. For example, evt2xls has such a filtering capability for .evt files...I ran it against a SysEvent.evt file, and got entries that look like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

1092790209|EVT|PETER||EventLog/6006;EVENTLOG_INFORMATION_TYPE; 1092790237|EVT|PETER||EventLog/6009;EVENTLOG_INFORMATION_TYPE;5.01. 2600 Service Pack 1 Uniprocessor Free 1092790237|EVT|PETER||EventLog/6005;EVENTLOG_INFORMATION_TYPE;

As you can see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three .tln file entries, we have fields for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date/time value based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unix epoch (GMT, of course), source (EVT), host or system ("Peter", taken from Ender's Game), user (blank, in this case), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event. All fields are pipe-separated.

Quick segue...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description field for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above events is semi-colon separated, starting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event source and ID fields from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event record. I do this because when I have a question about Windows event records, I'll start by going to EventID.net, where you can look up events by...well...source and ID. There are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs ways to look up what an event record may be indicating, including searching on MS or Google, but that's for a different post all togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Now, say you wanted to write a filter for events from IIS web server logs or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like. Michael wrote such a filter for McAfee AV logs in ex-tip; converting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time values in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs to a Unix epoch time is pretty straightforward using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Perl Time::Local module, and as necessary, time zone settings in order to normalize all values to Unix epoch times based on GMT. Doing so gives us an easy means of comparison.

So, after running filters and creating output files, you may end up with several such .tln files right cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in a subdirectory within your analysis file structure. At that point, if you wanted to...say...locate all events with a specific time frame, you could enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dates into a script, have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversion and searching, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n display all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events appropriately, where "appropriately" could mean eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a text file or some sort of graphical output, such as Simile.

You may be asking questions like, "what about specific events that I'd like to add to a tln file that may not be something from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image, or I just want to add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event myself?" No problem...GUIs are easy to write, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you're using Perl or Python or whatever...heck you could even add an event using Notepad! But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key to all of this is that you still have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw data, and you've performed filtering and data reduction without modifying that raw data, and you're able to narrow down your analysis a bit.

The next step, I guess, would be to put something like this togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r as a complete package, and run it against an available image.

Addendum: This afternoon I updated recbin.pl, a Perl script I wrote for Windows Forensic Analysis to parse INFO2 files. The update I added was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to write timeline information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format I'm using, as well as allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst to add values for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system (host name) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user (SID or username). Works like a champ!