Windows Incident Response

The Windows Incident Response Blog is dedicated to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myriad information surrounding and inherent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topics of IR and digital analysis of Windows systems. This blog provides information in support of my books; "Windows Forensic Analysis" (1st thru 4th editions), "Windows Registry Forensics", as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book I co-authored with Cory Alcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ide, "Digital Forensics with Open Source Tools".

Friday, April 25, 2014

WFA 4/e Reviews

Brett Shavers has posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first (that I'm aware of) reviews of WFA 4/e...one on Amazon, and a longer one can be found on his WinFE blog.

Not so much a review, but Corey refers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book in one of his recent blog posts, saying that he's still digesting it. He also refers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf file, as well as to a tool I wrote and provided with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book materials for parsing it.

I greatly appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time and effort folks are putting into reading and digesting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, and particularly those who are writing reviews. Thank you, all.

Addendum, 29 Apr: Two more reviews are up on Amazon!

Wednesday, April 16, 2014

Follow up on TTPs post

David Bianco's "Pyramid of Pain"

As a follow-up to my previous post on TTPs, a couple of us (David Bianco, Jack Crook, etc.) took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion to G+. Unfortunately, I did not set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversation to public, so I wanted to recap cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments here, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n take this back to G+ for open discussions.

First, if you're new to this discussion, start by reading my previous post, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n check out David's post on combining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Kill Chain" with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pyramid of Pain. For anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r look at this, check out David's Enterprise Security Monitoring presentation from BSidesAugusta - he talks about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kill chain, PoP, and getting inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's OODA loop. Pay particular attention to David's "bed of nails" slide in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation.

Second, I wanted to provide a synopsis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion from G+. Those involved included myself, David, Jack, and Ryan Stillions...David brought him into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversation initially because Ryan had developed a concept of "Detection Maturity Level" that overlaps with David's Pyramid concept. Nothing is available yet, and hopefully Ryan will blog on it soon.

To start off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion, I asked that if finding, understanding and countering TTPs causes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary "pain", why is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re so much emphasis within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community on finding indicators? There was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought that indicators are shared because that's what clients are looking and asking for, implying that those providing 'threat intel' services follow client requests, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This goes back to maturity...in order to share TTPs, organizations have to be mature enough to (a) detect and find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and (b) understand and employ cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure. There was anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r comment that indicators at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lowest levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PoP are focused on because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...a recent presentation at RSA 2014 mentioned "3000 indicators". From a marketing perspective, that's much better than "TTPs for one group".

Ryan followed up with a comment that focusing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lower levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PoP actually inflicts pain on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysts (re: false positives), and he used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrase "Cost of Context Reconstruction" (Ryan, start blogging, dude!!), which refers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "lower in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack you operate, longer it takes to re-establish situational context, arrive at conclusions, pivot, etc."

At that point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n moved to organizational maturity and people...skills, etc. David recommended his above blog post and video, and I went off at that point to get caught up.

The question was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n posed asking if attribution was important. Ryan thought that would be a great panel question, and I agree...but I also think that this is a great question to start thinking about now, not simply to mature and crystallize your thoughts, but when it is posed to a panel, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are going to be a lot of folks who are hearing it for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time.

What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n centered around at that point was that attribution can be important, depending upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context (if you're in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intel or LE communities), but for most organizations with a maturity level that has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lower levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pyramid, attribution is a distraction. What needs to be focused on at that point is moving furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pyramid and maturing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where TTPs are understood, detected, and employed within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection and response framework.

This cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n circled back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "why", with "because that's what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client is asking for" thrown in as a possible response. David brought up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of "provisional attribution" during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of an incident, meaning that "this is what we know at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment, but we may be wrong so it's subject to change at any time".

At that point, we got back to "hey, maybe we should open this up", hence, this post. So, that's where we are at this point. So, as a means of summary:

Use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pyramid of Pain to:
- Identify detection/skill gaps
- Determine organizational detection/response maturity (looking for a blog post from Ryan...)
- Combine with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Kill Chain to bring "pain" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary

There was also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of actually having a panel discussion at a conference. I think that's great idea, but I also think that it's limiting...shelving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion until a conference means no movement, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n all of a sudden, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a discussion that many folks are seeing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y haven't had time to catch up. So, we'll take this back to G+ for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time being, simply because at this point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really hasn't been any better ideas for a forum for this sort of discussion.

Addendum: The G+ post with comments can be found here.

Monday, April 14, 2014

WFA 4/e

Okay, so Windows Forensic Analysis 4/e showed up in a couple of boxes on my doorstep tonight. It's now a thing. Cool.

As I write this, I'm working on finishing up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 materials that go along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. I got hung up on something, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was work...but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link will be posted very soon.

A question from Twitter from "Dark Operator":

so it is a version per version of Windows or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest will cover 7 and 8?

I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cover says "for Windows 8", and I tried to incorporate as much info as I could about Windows 8 into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it went in for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final review before printing...which was back in February. This edition includes all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third edition, plus some new information (and some corrections), as well as some information for Windows 8.

The thing about questions like this is that Twitter really isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medium for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. If you have a question or comment about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book contents, you can email me, or comment here. It's just that sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to questions like that do not fit neatly in to 140 characters or less.

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of months, I've been asked to speak at a number of events, and when I ask what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd like me to speak about, I generally get responses like, "...what's new in Windows 8?". The simple answer is...a lot. Also, most folks doing DFIR work may not be completely familiar with what information is available for Windows 7 systems, so what could I say about Windows 8 in an hour that would be useful to anyone. Some things (Jump Lists, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, etc.) are very similar in Windows 8 as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are in Windows 7, but ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, in particular...are different enough to pose some challenges to a good number of analysts.

So, once again...I'll be posting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 materials that go along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book very soon. I post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m online because people kept leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir DVDs somewhere (at home, at work, with a friend, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir car...) and needed a means for getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download, so I moved it online. This also allows me to update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 materials, as well.

Questions? Comments? Leave 'em here, or email me. Thanks so much.

Addendum: The book materials are posted here.

Sunday, April 13, 2014

TTPs

Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR and threat intel communities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been considerable talk about "TTPs" - tactics, techniques and procedures used by targeted threat actors. The most challenging aspect of this topic is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a great deal of discussion of "having TTPs" and "getting TTPs", but when you really look at something hard, it kind of becomes clear that you're gonna be left wondering, "where're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TTPs?" I'm still struggling a bit with this, and I'm sure ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are, as well.

I ran across Jack Crook's blog post recently, and didn't see how just posting a comment to his article would do it justice. Jack's been sharing a lot of great stuff, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot of great stuff in this article, as well. I particularly like how Jack tied what he was looking at directly into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pyramid of Pain, as discussed by David Bianco. That's something we don't see often enough...racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than going out and starting something from scratch, build on some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great stuff that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have done. Jack does this very well, and it was great to see him using David's pyramid to illustrate his point.

A couple of posts that might be of interest in fleshing out Jack's thoughts are HowTo: Track Lateral Movement, and HowTo: Determine Program Execution.

More than anything else, I would suggest that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramid that David described can be seen as a indicator of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of maturity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR capability within an organization. What this means is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more you've moved up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramid (Jack provides a great walk-through of moving up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramid), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more mature your activity tends to be, and when you've matured to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where you're focused on TTPs, you're actually using a process, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than simply looking for specific data points. And because you have a process, you're going to be able to not only detect and respond to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r threats that use different TTPs, but you'll also be able to detect when those TTPs change. Remember, when it comes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se targeted threats, you're not dealing with malware that simply does what it does, really fast and over and over again. Your adversary can think and change what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do, responding to any perceived stimulus.

Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of PSExec (a tool) as means to implement lateral movement. If you're looking for hashes, you may miss it...all someone has to do is flip a single bit within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PE file itself, particularly one that has no consequence on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable, and your detection method has been obviated. If a different tool (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of variants...) is used, and you're looking for specific tools, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n similarly, your detection method is obviated. However, if your organization has a policy that such tools will not be used, and it's enforced, and you're looking for Service Control Manager event records (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Event Log) with event ID 7045 (indicating that a service was installed), you're likely to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination systems, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r similar tools. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of more recent versions of Windows, you can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n look at ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r event records in order to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 originating system for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lateral movement.

Book
Looking for Service Control Manager/7045 events is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 items listed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware detection checklist that goes along with chapter 6 of Windows Forensic Analysis, 4/e.

When it comes to malware, I would agree with Jake's blog post regarding not uploading malware/tools that you've found to VT, but I would also suggest that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement, "...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y create a new piece of malware, with a unique hash, just for you..." falls short of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bigger issue. If you're focused on hashes, and specific tools/malware, yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy making changes is going to have a huge impact on your ability to detect what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're doing. After all, flipping a single bit somewhere in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file that does not affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executionof cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program is sufficient to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hash. However, if you're focused on TTPs, your protection and detection process will likely sweep up those changes, as well. I get it that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of Jake's blog post is to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information more digestible, but I would also suggest that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bar needs to be raised.

Uploading to VT
One issue not mentioned in Jake's post is that if you upload a sample that you found on your infrastructure, you run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of not only letting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy know that his stuff has been detected, but more than once responders have seen malware samples include infrastructure-specific information (domains, network paths, credentials, etc.) - uploading that sample exposes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. I would strongly suggest that before you even consider uploading something (sample, hash) to VT, you invest some time in collecting additional artifacts about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware itself, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r though your own internal resources or through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assistance of experts that you've partnered with.

A down-side of this pyramid approach, if you're a consultant (third-party responder), is that if you're responding to a client that hasn't engineered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure to help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m detect TTPs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what you've got left is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lower levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramid...you can't change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that you've got available to you. Of course, your final report should make suitable recommendations as to how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client might improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir posture for responding. One example might be to ensure that systems are configured to audit at a certain level, such as Audit Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Object Access - by default, this isn't configured. This would allow for scanning (via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, or via a SIEM) for event ID 4698 records, indicating that a scheduled task was created. Scanning for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, and filtering out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 known-good scheduled tasks within your infrastructure would allow for this TTP to be detected.

For a good example of changes in TTPs, take a look at this CrowdStrike video that I found out about via Twitter, thanks to Wendi Rafferty. The speakers do a very good job of describing changes in TTPs. One thing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video, however...I wouldn't think that a "new approach" to forensics is required, per se, at least not for response teams that are organic to an organization. As a consultant, I don't often see organizations that have enabled WMI logging, as recommended in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video, so it's more a matter of a combination of having an established relationship with your client (minimize response time, maximize available data), and having a detailed and thorough analysis process.

Regarding TTPs, Ran2 says in this EspionageWare blog post, "Out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se three layers, TTP carries cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest intelligent value to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human attackers." While being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most valuable, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y also seem to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardest to acquire and pin down.

Thursday, April 03, 2014

What's Up?

TTPs
A bit ago, I ran across this fascinating blog post regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pyramid of Pain. Yes, it's over a year old, but it's still relevant today.

For one thing, back when I was doing PCI exams (while a member of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IBM ISS ERS team), Visa would send us cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lists which included file names (no paths) and hashes...we had to search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in every exam, so we did. While I could see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 searches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, I felt at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that Visa was sitting on a great deal of valuable intelligence that, if shared and used properly, could not only help us with our analysis, but could also be used to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim merchants. After all, if we knew more about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys were getting in and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were targeting specific systems (TTPs), we could help prevent and detect such things. As such, it was validating to see someone else discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of such things.

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, I've heard ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs talk about things like attribution, when it came to "APT" (I apologize for using that term...). In fact, at one conference in particular, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker talked about how examples of code could be used for attribution, but shortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter stated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code could be downloaded from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, and that various snippets could be pasted togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to form working malware.

Indicators
In his recent RSA Confernce State of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hack talk, Kevin Mandia said that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report, 3000 indicators were released...he mentioned domains and IP addresses, specifically. Those are pretty low on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramid.

I have to agree that tools don't make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat group, as many seem to be using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same tools. In fact, it seems that a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools used for infrastructure recon are native tools...so which group gets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attribution? Microsoft? ;-)

Every time I read over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post, I keep coming back to agreeing with what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author says about TTPs. Once you're to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of detecting behaviors, you're no longer concerned with things like disclosure (public or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise) resulting in an adversary changing/adapting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tactics...because now, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than focusing on individual data points, you have a process in place. In particular, that process is iterative...anything new you learn gets rolled right back into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process and shared amongst all responders, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby improving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall response process. What you want to do is get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where you stop reacting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary, and instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y react to you.

RegRipper EnScript
I recently found out that someone is selling an EnScript to tie RegRipper into EnCase. Some tweeted questions about how I felt about it, if I was receiving royalties, and asking if it "violated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GPL"...which, honestly, I didn't understand, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 license file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 license. Why ask me if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is right cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re?

Since Twitter really isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medium for this sort of thing (and I honestly have no idea why so many people in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community restrict cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves to that medium), I thought I'd share my thoughts here. First, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are making money off of free software, in general, and a few are doing so specifically with RegRipper...so why is this particular situation any different? The GPL v3 quick guide states, in part, that users should have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 freedom to "use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software for any purpose". It furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r goes on to state that free software should remain free...and in this case, it would appear that RR remains free, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $15 pays for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EnScript. As such, I'm wouldn't think that selling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EnScript violates anything.

Second, this is clearly an attempt to bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of RR to users of EnCase. I've never been a big fan of EnCase, but I realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of folks who are, and that many specifically rely on this software. My original purpose for releasing RegRipper was to put it out in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to use and improve upon...well, that second part really hasn't happened to a great extent, and I don't see this EnScript eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r taking anything away from RegRipper, or adding anything to it.

RegRipper
I'm not saying that no one has offered up ways for improving RegRipper...some have. Not long ago, I received a plugin from someone, and Corey Harrell submitted one just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day. I've had exchanges recently with some folks who have had some thoughtful suggestions regarding how to improve RegRipper, and perhaps make it more useful to a wider range of users. All I'm saying is that it hasn't happened to a great extent; some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 improvements and updates (inclusion of alerts, RLO plugin, etc.) are things I've added for my own benefit, and I don't want to maintain two disparate source trees.

Does this mean that more people are likely to use it? Hhhhhmmmm...maybe. Folks who go this route are likely going to go cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same route as most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks who already use RegRipper, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by downloading it or using it as part of a consolidated distribution. That is to say, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're just going to just blindly run all plugins against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hives that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have available, and it's unlikely that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re're going to have any ideas for new plugins (or tool updates or improvements as a whole) coming from this crowd.

So, in short, I don't see how this EnScript is a violation of anything...it's no different from what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are doing, and RegRipper itself remains free. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it takes nothing away from RegRipper, nor adds anything to it.

Finally, Jamie had a good point on Twitter...if you don't want this to happen, don't put stuff out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re for free. Point well taken.

Speaking of which, I had an email exchange with Jamie and Corey Harrell recently, where we discussed some well-considered possible future additions to RegRipper.

Book
Windows Forensic Analysis 4/e is due to be released soon...I need to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive of materials that go along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book and get it posted. As soon as that's done, I will start working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible additions to RegRipper.

Malware Detection
Speaking of WFA 4/e, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapters I kept was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one on Malware Detection. Not long ago, I was following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps that I had laid out in that chapter, and I found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system had McAfee AV installed. So, per my process, I noted this to (a) be sure that I didn't run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same product against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image (mounted as read-only volume) and (b) look for logs and quarantined items.

It turns out that when McAfee AV quarantines an item, it creates a .bup file, which follows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS CFB file format. This Open Security Research blog post is very helpful in opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files up, in part because it points to this McAfee Knowledge Center article on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same topic.

Some additional resources:
Punbup - Python script for parsing BUP files
Bup-parse - Enscript for parsing BUP files
McBup - Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Python script that may be useful

Conferences
I'll be speaking at a couple of conferences here in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 near future. I'm giving two presentations at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USACyberCrime Conference (formerly known as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD CyberCrime Conference, or DC3) at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of April. My presentations will be "APT sans Malware", and "Registry Analysis". It's unlikely that I will be posting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PPTXs for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, as I'm not putting everything I'm going to say in bullets in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides...if I did, what would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of me actually speaking, right?

Thanks to Suzanne Widup, I'll be speaking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's panel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensics Summit in Austin, TX, in June. This is something new, and something I'm looking forward to. Not getting feedback from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community regarding what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd like to see or hear in a presentation, I've backed away somewhat from submitting presentations to CfPs that are posted. One of my go-to presentations is Registry Analysis, in part because I really believe that it's a critical component of Windows forensic analysis, and also because I'm not sure that analysts are doing it correctly. However, I've been told that I need to present on something else...but not what. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel format is more free-form...I was on a panel at one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first SANS Forensic Summits, and if you've attended any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Memory Forensic Workshops, you've seen how interesting a panel can be.