Thursday, August 21, 2014

What does that "look like"?

We've heard this question a lot, haven't we?

I attended a conference about 2 1/2 years ago, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agenda for that conference had about half a dozen or more presentations that contained "APT" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir title.  I attended several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and I have to say...I walked out of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  However, hearing comments from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attendees, many folks felt exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way; not only were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y under-whelmed, but I heard several attendees express cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir disappointment with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se presentations.  During one presentation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker stated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys, "...move laterally."  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attendees asked, "what does that look like on systems?", and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker's response was to repeat his previous statement.  It was immediately clear that he had no idea...but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r did anyone else.

Corey has asked this question in his blog, and he's also done some great work demonstrating what various activities "look like" on systems, such as when systems are exploited using a particular vulnerability.

What I'm referring to in this post isn't (well, mostly...) something like "...look at this Registry key."  Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it's about clusters or groups of artifacts that are indicative of an action or event that occurred on a system.

Clustering
As we share and use artifacts, we can take a step back and look at where those artifacts exist on systems.  Then we begin to see that, depending upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 types of cases we're working, artifacts are clustered in relatively few data sources.  What this means is that on drives that are 500GB, 1TB, or larger, I'm really only interested in a few MB of actual data.  This means that during incident response activities, I can focus my attention on those data sources, and more quickly triage systems.  Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than backing up a van full of hard drives and imaging 300 or more systems, I can quickly narrow down my approach to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few systems that truly need to be acquired and analyzed.

This also means a significant speed-up for digital analysis, as well.  I don't maintain tables of how long it takes to acquire different hard drives, but not long ago, I had one hard drive that took 9 hrs to acquire, and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r that was 250GB that took 5 hrs to acquire.  Knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sources that would provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest bang for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buck, I could have retrieved those after I connected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-blocker, but before I acquired cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive image.

Reliability
As we share and use artifacts, we begin to see things again and again.  This is a very good thing, because it shows us that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts are reliable.

Like ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, including Corey, I don't see sharing artifacts on any sort of scale.  Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are sites such as forensicartifacts.com, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't appear to be heavily trafficked or used.  Also, I generally don't find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 types of artifacts I'm looking for at those sites.  I've been achieving reliability, on my own, for various artifacts by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m across cases.  For example, I found one particular artifact that nailed down a particular variant of a lateral movement technique; once I completed my analysis of that system, I went back and searched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire timeline I'd developed for that system, and found that that artifact was unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event I was interested in.  I've since been able to use that artifact to quickly search successive timelines, significantly speeding up my analysis process.  Not finding that artifact is equally important, as well, because (a) it tells me that I need to look for something else, and (b) in searching for it, I can show a client that I've done an extremely thorough job of analysis, and done it much quicker.

Oxidation
A great reason for sharing artifacts is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oxidation of those artifacts.  Okay, so what does this mean?

The type of artifacts I'm referring to are, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, not single artifacts.  Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, when I talk about what something "looks like" on a system, I'm generally referring to a number of artifacts (Windows Event Log records, Registry keys/values, etc.) clustered "near" each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in a timeline.  How "near" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are...ranging from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same second to perhaps a couple of seconds apart...can vary.  So, let's say that you're doing some testing and replicating a particular activity, and you immediately "freeze" your test system and find six artifacts that, when clustered near each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, are indicative of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action you took.

How many times as incident responders and digital forensic analysts do we get access to a system immediately after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial intrusion occurred?  What's more likely to happen is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial response occurs hours, days, or even weeks after in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial incident, and is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of an alert or a victim notification.  Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passage of time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifact clusters tend to oxidize due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passage of time, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system continues to run, and to be used.  For example, if a system becomes infected by a browser drive-by and IE is used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, some artifacts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive-by may be oxidized simply due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal IE cache maintenance mechanism.  Logs with fixed file sizes roll over, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system may delete files based on some sort of timing mechanism, etc.  All of this assumes, of course, that someone hasn't done something to purposely remove those artifacts.

Someone may share a cluster of six artifacts that indicate a particular event.  As ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs incorporate those artifacts into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analysis, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reliability of that cluster grows.  Then someone analyzes a system on which two of those six artifacts have oxidized, and shares cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir findings, we can see how reliable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining four artifacts can be.

I specifically chose to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "oxidize", because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "expire" or "expired" seem to imply that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifetime of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact had passed.  Sometimes, specific artifacts may not be part of a cluster, due to specific actions taken by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder.  For example, we've all seen files be deleted, time stomped, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r actions taken that force artifacts to be removed, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to timeout.

Format
At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many questions with respect to sharing artifacts; one is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format.  What format is most useful to get examiners to incorporate those artifacts into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analysis?  Because, after all...what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of sharing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts if ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs aren't going to incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analysis processes?

During July, 2013, I posted a number of articles to this blog that I referred to as "HowTos"...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were narratives that described what to look for on systems, given various analysis goals.  Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response (in general) to those articles was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet equivalent of "cool story, bro."

A great indicator that I've used comes from pg 553 of The Art of Memory Forensics.  The indicator I'm referring to is pretty easy to pick out on that page...I've highlighted it in green in my book.  The authors shared it with us, and I found it valuable enough to write a RegRipper plugin so that I can incorporate that information directly into my own timelines for analysis...and yes, I have found this artifact extremely accurate and reliable, and as such, very valuable.  Having incorporated this indicator into my work, I began to see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts clustered "around" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicator in my timelines.  I also found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicator maintained it's reliability when some of those ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts were oxidized due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passage of time; in one instance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 *.pf file was deleted due to how Windows XP manages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of that folder.

Final Thoughts
A good deal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicators that I'm referring to can be abstracted to more general cases.  What I mean is, an artifact cluster that is indicative of targeted threat (or "APT") can be abstracted and used to determine if a system was infected with commodity malware.  Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifact clusters can similarly be extrapolated to more general cases...it's really more about how reliable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cluster are, than anything else.