Monday, January 20, 2014

Book Review: Cloud Storage Forensics


I had an opportunity to review Cloud Storage Forensics recently, and I wanted to provide my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  I generally don't find book reviews that read like a table of contents (i.e., "...chapter 1 covers...ch 2 covers...") entirely useful, and I'm not sure that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs would find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m useful, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  As such, I'm going to approach my review in a different manner.

The book addresses digital forensic analysis of client systems used to connect to and make use of several "cloud storage providers".  This is important to point out, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms 'cloud' and 'cloud storage' can so often be misunderstood.  Some may think, for example, that this may have to do with those services available through Amazon Web Services.

The book primarily addresses three cloud storage providers...SkyDrive, Dropbox, and Google Drive...each accessed from a Windows 7 PC and an Apple iPhone 3G.  In both instances, access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 storage facilities were conducted via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client application for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 particular provider.

Brett's review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book can be found here.  Brett is also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sole review available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book's Amazon page.  It turns out that Brett was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical editor of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book (he was also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical editor for WFA 4/e, and he is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of Placing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Suspect Behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Keyboard), and as such, I was able to get a little bit of valuable insight into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process that went into getting this particular book published.  This was as enlightening as it is important, because not all books, even books produced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same publisher, follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same process.  A number of years ago, I was reading a book that was very popular at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic of computer forensics and incident response, and based on something I read, I contacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors to ask for clarification.  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors responded with, "...we wrote that section three years ago and didn't touch it before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book was published."  So...not all books follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "...sit down, write, review, publish..." format that is completed in a year (or less).

Pros
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I liked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detailed, methodical approach that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors took to populating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir test environment with data, as it not only provides an excellent road map for testing, but also for reasoning during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis process.  Too many times in DFIR work, too much is left to assumption, in part because analysts simply receive a hard drive or image, and are not equipped to address potential gaps between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y observe, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to answer.  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very first things I noticed about this book is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thorough approach taken to documenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment.

Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors clearly stated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools and versions that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y used during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analysis.  Some analysts may not realize it, but this is very important, as tools can very in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir capabilities (sometimes, quite significantly) between versions.

Reporting
This aspect of 'full disclosure' (i.e., clearly identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools and versions used) are near and dear to me, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are a significant aspect of chapter 9, Reporting, of my upcoming book, Windows Forensic Analysis 4/e.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools used, when I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool listing on pg 27 (I was reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soft cover edition, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Kindle edition), in ch. 3, I thought back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "challenges face by law enforcement and government agencies" in ch. 1; it occurred to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors were using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools on that list was that those are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools most often used by law enforcement and government agencies.

The authors address a great number of data sources, including not just Prefetch, LNK files, and Event Logs, but also browser artifacts.  The authors also explored (to some extent) what was still available in memory, as well.  This can be very valuable, as analysts should consider parsing available hibernation files, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile.

The chapters that address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual location of artifacts include additional information regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of anti-forensic techniques (through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of tools such as Eraser and CCleaner), and illustrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts that remain.  Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se chapters also include sections on Presentation, as well as tables that summarize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available artifacts.  I had found this type of summary to be very valuable when teaching courses, and it works equally well in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.

Cons
The book was published in 2014, and very shortly into chapter 3, it already appears out of date.  For example, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools used is "RegRipper version 20080909".

The version of X-Ways used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book was version 16.5 which according to Facebook, first became available in May, 2012 (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 graphic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right).  Now, I'm not bringing this up to say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most up-to-date version of a tool must always be used...not at all.  But this information gives us a time frame to understand when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors were writing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  It also brings into question why some artifacts...in this case, shellbags) were not discussed, as some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussions of artifacts were alarmingly light.  For example, on pg 40 (in ch 3), one sentence starts, "References were also found within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UsrClass.dat Registry files..."; clearly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors are referring to shellbags, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r discussion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact, nor anything that illustrated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader.  A similar reference to artifacts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UsrClass.dat Registry hive was made on pg 75 (ch 4) and on pg 105 (ch 5), but again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r details.

What's also curious about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry hive file references is that when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client applications are used to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud storage, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no mention in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three instances (mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous paragraph) of UserAssist artifacts.  After all, it would stand to reason that when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accesses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client application, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would most likely double-click an icon on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir desktop, or click an entry on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Start menu...doing so would likely create artifacts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key.  The Registry section on pg 105 in particular specifically mentions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of "keyword searches", which would not locate entries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value names are ROT-13 encrypted.

Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts (RecentDocs listing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, Recycle Bin, browser artifacts) displayed in figures and tables in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book include time stamps (which allows us to see when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research was conducted), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no analysis techniques illustrated beyond simply locating and displaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual data sources.  Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no illustrations of timeline analysis to illustrate not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available artifacts, but how those artifacts might relate to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  There were several examples of timelines (figures 3.2, 4.4, etc.), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se were used for presentation of data, not for data analysis.

Summary
The book is very well structured, had a very methodical approach, and as such, it's easy to locate information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  Each section is structured identically...when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 PC is used to access SkyDrive or Dropbox, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sections listing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings of artifacts are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iPhone 3G is used to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same storage facilities.  This structure provides a framework for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysts who want to use updated, more recent versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platforms (Windows 8, iPad, iPhone 5+, etc.), as well as of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client applications for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud storage facilities.

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book was a bit light on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach to artifacts; racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than taking a targeted approach to artifact (i.e., shellbags, etc.) analysis, and using timelines in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary means of analysis appears to have been keyword searches and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of tools such as Magnet Forensics' IEF.  There is nothing inherently wrong or incorrect about this approach, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than that this approach is known to miss certain artifacts (i.e., UserAssist data).  I had hopped that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backgrounds of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors, particular cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of forensic investigations undertaken by one, would have obviated sections of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book that included, "...keyword was found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UsrClass.dat file...".

Sunday, January 12, 2014

Malware RE - IR Disconnect

Not long ago, I'd conducted some analysis that I had found to be...well, pretty fascinating...and shared some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis that were most fruitful.  In particular, I wanted to share how various tools had been used to achieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings and complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis.

Part of that analysis involved malware known as PlugX, and as such, a tweet that pointed to this blog post recently caught my attention.  While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post, as well as some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 links in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, contains some pretty fascinating information, I found that in some ways, it illustrates a disconnect between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR and malware RE analysis communities.
Caveat
I've noticed this disconnect for quite some time, going back as far as at least this post...however, I'm also fully aware that AV companies are not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business of making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job of DFIR analysts any easier.  They have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own business model, and even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y actually do run malware (i.e., perform dynamic analysis), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no benefit to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV companies) if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y engage in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detailed analysis of host-based artifacts.  The simple fact and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inescapable truth is that an AV vendors goals are different from those of a DFIR analyst.  The AV vendor wants to roll out an updated .dat file across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise in order to detect and remove all instances of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, whereas a DFIR analyst is usually tasked with answering such questions as "...when did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware first infect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system/infrastructure?", "...how did it get in?", and "...what data was taken?"

These are very different questions that need to be addressed, and as such, have very different models for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 businesses/services that address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  This is not unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI assessors and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI forensic analysts.

Specifically, what some folks on one side find to be valuable and interesting may not be useful to folks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side.  As such, what's left is two incomplete pictures of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall threat to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer, with little (if any) overlap between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, this simply leads not only both sides to having an incomplete view of what happened, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result is that what's provided to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one with questions that need to be answered...aren't provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value that could potentially be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

I'd like to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cassidian blog post as an example and walk through what I, as a host-based analysis guy, see as some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disconnects.  I'm not doing this to highlight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post and say that something was done wrong or incorrectly...not at all.  In fact, I greatly appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that was provided; however, I think that we can all agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are disconnects between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various infosec sub-communities, and my goal here is to see if we can't get folks from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RE and IR communities to come togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r just a bit more.  So what I'll do is discuss/address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content from some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sections if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cassidian post.

Evolution
Seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evolution of malware, in general, is pretty fascinating, but to be honest, it really doesn't help DFIR analysts understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where it helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m locate it on systems and answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer may have.  However, again...it is useful information and is part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall intelligence picture that can be developed of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, it's use, and possibly even lead to (along with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information) attribution.

Network Communications
Whenever an analyst identifies network traffic, that information is valuable to SOC analysts and folks looking at network traffic.  However, if you're doing DFIR work, many times you're handed a hard drive or an image and asked to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.  As such, whenever I see a malware RE analyst give specifics regarding network traffic, particularly HTTP requests, I immediately want to know which API was used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to send that traffic.  I want to know this because it helps me understand what artifacts I can look for within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image.  If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WinInet API, I know to look in index.dat files (for IE versions 5 through 9), and depending upon how soon after some network communications I'm able to obtain an image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, I may be able to find some server responses in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile.  If raw sockets are used, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I'd need to look for different artifacts.

Where network communications has provided to be very useful during host-based analysis is during memory analysis, such as locating open network connections in a memory capture or hibernation file.  Also, sharing information between malware RE and DFIR analysts has really pushed an examination to new levels, as in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case where I was looking at an instance where Win32/Crimea had been used by a bad guy.  That case, in particular, illustrated to me how things could have taken longer or possibly even been missed had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware RE analyst or I worked in isolation, whereas working togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and sharing information provided a much better view of what had happened.

Configuration
The information described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post is pretty fascinating, and can be used by analysts to determine or confirm ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r findings; for example, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timetable, this might line up with something seen in network or proxy logs.  There's enough information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post that would allow an accomplished programmer to write a parser...if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were some detailed information about where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blob (as described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post) was located.

Persistence
The blog post describes a data structure used to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanism of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware; in this case, that can be very valuable information.  Specifically, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware creates a Windows service for persistence.  This tells me where to look for artifacts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, and even gives me a means for determining specific artifacts in order to nail down when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware was first introduced on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.  For example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WinInet API (as mentioned above), that would tell me where to look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index.dat file, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of Windows I'm examining.

Also, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware uses a Windows service for persistence, I know where to look for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts associated (Registry keys, Windows Event Log records, etc.) with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, again, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of Windows I'm examining.

Unused Strings
In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors found two unused strings, set to "1234", in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware configuration.  I had seen a sample where that string was used as a file name.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Artifacts
The blog post makes little mention of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (specifically, host-based) artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware; however, this resource describes a Registry key created as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware installation, and in an instance I'd seen, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time for that key corresponded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware was run on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cassidian post, it would be interesting to hear if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FAST key was found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry; if so, this might be good validation, and if not, this might indicate eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a past version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, or a branch taken by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r author.

Something else that I saw that really helped me nail down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware was executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of a subkey beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tracing key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive.  This was pretty fascinating and allowed me to correlate multiple artifacts in order to develop a greater level of confidence in what I was seeing.

Not specifically related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cassidian blog post, I've seen tweets that talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of Windows shortcut/LNK files in a user's Startup folder as a persistence mechanism.  This may not be particularly interesting to an RE analyst, but for someone like me, that's pretty fascinating, particularly if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file does not contain a LinkInfo block.

Once again, my goal here is not to suggest that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cassidian folks have done anything wrong...not at all.  The information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir post is pretty interesting.  Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, what I wanted to do is see if we, as a community, can't agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a disconnect, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n begin working togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r more closely.  I've worked with a number of RE analysts, and each time, I've found that in doing so, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting analysis is more complete, more thorough, and provides more value to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer.  Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, future analysis is also more complete and thorough, in less time, and when dealing with sophisticated threat actors, time is of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 essence.