Monday, February 17, 2014

More Tracking User Activity via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry

I have previously posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic of determining a user's access to files, and thanks to Jason Hale's recent post on a similar topic (i.e., MS Word 2013 Reading Locations), I got interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic again.  I was interested in seeing if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were any similar artifacts available for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r MS Office apps, such as PowerPoint or Excel.  I exchanged a couple of emails with Jason, and ran a somewhat simple, atomic test  to see what artifacts might be available.  Jason took a different approach to testing than I did...he used ProcMon on a live system, whereas I ran my test, pulled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pertinent hive files off of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and created a timeline.

Based on Jason's testing with MS Word, I wanted to see if a user were to open a PowerPoint presentation, get partway through it and close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application, would PowerPoint make some record of which slide was last in focus when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app was closed.  Jason ran a test or two of his own, and shared with me that he found some very interesting information beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following key:

HKCU\Software\Microsoft\Office\15.0\Common\Roaming\Identities\Anonymous\Settings\1076\{00000000-0000-0000-0000-000000000000}\PendingChanges\

I ran my own tests, using MS Office 2013 installed on Windows 8.1.  I plugged in a thumb drive (mounted as G:\) and double-clicked a PPTX file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of that volume (file named "shell items.pptx").  Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation was open, I clicked on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third slide, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n closed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application, launched FTK Imager on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, copied off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT and USRCLASS.DAT hives for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account, and shut cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system down.  I moved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thumb drive to my analysis system and created a timeline of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key LastWrite times from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hives...only to find that changes hadn't been written to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hives.  So, I booted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win8.1 system again, copied off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hives again, and repeated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process, and was able to see what I was looking for.

First, I had used my Live ID account when logging into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PendingChanges subkeys was a bit different from what Jason found:

HCKU/Software/Microsoft/Office/15.0/Common/Roaming/Identities/c4d2c8d78e44cf84_LiveId/Settings/1076/{00000000-0000-0000-0000-000000000000}/PendingChanges/dafbbe5e/22434

Beneath this key are several values, including one named "ItemData" that appears to contain XML-like contents, in Unicode format, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary value data.  Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r value, "LastModified", has data that appears to be a SystemTime structure.

I had incorporated details from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, and as such, I could see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline where that data marked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts I had hoped to see.  For example, within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same second in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, I could see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist data illustrating that PowerPoint had been launched, as well as an entry beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentDocs\.pptx key being created, pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file "shell items.pptx".

I also found values beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HCKU/Software/Microsoft/Office/15.0/PowerPoint/User MRU/LiveId_blah/File MRU and Place MRU keys that were very useful.  Specifically, both keys had values named "Item 1" with data that pointed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resource in question.  For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File MRU key, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Item 1" value data was:

[F00000000][T01CF2BE8F8E1FA40][O00000000]*G:\shell items.pptx

The Place MRU "Item 1" value data was similar, but only pointed to "G:\".  Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "T" value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brackets...that's a FileTime structure that correlates to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file...in this case, 17 Feb 2014 at approx. 14:03:02 UTC.

A couple of things to note at this point:

1.  This really illustrates what I've been saying for some time; that as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 versions of Windows have increased over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, more information is being recorded and maintained with respect to user activity, particularly within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry.  These artifacts are based solely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system is likely to have additional artifacts, such as Jump Lists, that can provide even more context and visibility into user activity.

2.  This was an atomic test...I performed one action and collected data to see what changes occurred.  We all know that DFIR work never occurs this way; in fact, most often, we may not get access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data for weeks or months after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity in question occurred.  As such, you should not expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts to appear exactly as described in this post.

3.  The available findings are based on extremely limited testing and data; more testing and data means better results.