Friday, November 06, 2015

Goin' huntin'

I ran across this write-up on W32.Brambul recently, and as I often do when I see this sort of thing, I thought about how one might go about trying to find this within an infrastructure, from an endpoint perspective.  After all, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective that most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "threat intelligence" that we see tends to leave out.

The most obvious indicator would be failed login attempts within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Event Log of target systems, and possibly account lockouts.  You'd see this sort of indicator eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIEM you're using, or if you were proactively hunting within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain.

As something of a side note, I mentioned Ryan's (of Tanium) presentation at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTCIA2015 conference a bit ago, where he discussed "hunting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dark".  I thought it was a really good presentation as he broke down how to get started.  Hunting in any infrastructure can be a bit overwhelming, but if you break your goal down into discrete, manageable steps, it can be easier to get started.  As Ryan recommends, starting small is key...you start eating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elephant one bite a time.  Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enormity of an infrastructure can make things overwhelming, so start small.  Start with examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run key on systems, maybe starting with domain controllers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n once you've automated that, move to workstations.  Learn what's "normal" in your environment.  Then move on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Event Logs.  But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is to not get overwhelmed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apparent size and scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task, and to instead start working with what you have.

Okay.,.that said, we'll go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Brambul...

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected systems, looking in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run key might be a place to start.  However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware installs as a service, locating "Service Control Manager/7045" event records (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re shouldn't be many) within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Event Log would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to go.  If you're using a SIEM, and forwarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right logs, you could search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, instead.  Or set a filter.  If you don't have a SIEM, you can use Powershell (MS has some good documentation available...) or WMI.

Something else that may occur on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected systems is Security Auditing/4648 event records, indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of explicit credentials.  This likely won't be definitive without furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r context, and to be honest, it's not surprising that malware write-ups aren't addressing this sort of indicator.

The key is that if you're going to "go huntin'" within your infrastructure, what do you look for?  Do you look for malware, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-ups you're seeing all talk about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks writing this stuff are using high-speed techniques to ensure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware avoids detection and is hard to analyze?  Do you search for file hashes on systems?  Do you search for IP addresses in your logs?  Or do you go looking for indicators of behavior?

So, how is looking beyond low-level technical indicators (hashes, IP addresses) valuable?  Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Moker write-up?  This 'new APT' reportedly includes anti-detection and anti-debugging techniques, allowing it to bypass detection.  Yet, it apparently persists via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run key...so, if I just enumerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values within this key and look for anything suspicious, such as a path that includes "C:\ProgramData".  If I did that, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n correlated that information with a new user account being created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, would I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be able to determine that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was infected with something?  And that's not so much a low-level technical indicator as it is moving closer to a behavior, something that may be anomalous within your infrastructure and indicate that something needs to be looked at a bit closer.

Here's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r bit of malware that, according to some write-ups, may be associated with Brambul.  you'll notice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up that it states:

If it is successful in logging in, it will set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 %System Root% as a network share named adnim

I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emphasis, in order to draw your attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spelling of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 share (I did a copy-paste and didn't try to retype that...).  If you were hunting in your environment, looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LanmanServer/Shares key within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry might help you find this (or anything else that might be suspicious), particularly if you don't have auditing for Object Access/File Shares enabled.

Just for fun, I created a couple of shares using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "net share" command...one called "adnim" and one called "adnim$".  Both appeared as values beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LanmanServer/Shares key.  So racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than looking for file hashes on a system, we can start to correlate various indicators, based on time, and also develop context around what we're seeing.  The name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 share may change, but if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware continues to create a share, we know what to look for when we're hunting.

Testing and Monitoring
If you're testing malware, doing dynamic analysis by running it in a VM (or on bare metal), something that I don't seen done very often is running it with monitoring tools such as SysMon or Carbon Black.

Why would anyone want to do this?  After all, who really cares what happens on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint, right?  Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware RE and AV guys.  If you're protecting an infrastructure, or responding to a breach, you probably do care, because process creation monitoring is extremely valuable.

Here's an example...we've seen malware that persists via a particular key, and at one point that malware stopped using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API and instead used an embedded 'reg add' command to maintain persistence.  Okay, so now, we have not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence location, but we also have a command we can monitor for in order to perform detection much closer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of infection.  Or...and bear with me here...if you don't use reg.exe in your infrastructure, you can take steps to prevent it from being used, even by an account running with System-level privileges.

The same holds true for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r processes.  Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware described above that creates a share...how does it do this?  Via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API, included as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code, or via an embedded "net share" command?

Monitoring for this sort of activity within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure can give us a great deal more visibility into what's going on.  For example, if someone archives files (via WinRAR) and encrypts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process runs and completes, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory used if freed up for use by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r processes.  However, if we monitor for process creation, we can capture that command line (along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password used).  Process creation monitoring provides a great deal of insight into what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys are doing, or are trying to do, and will illustrate behaviors.