Friday, December 11, 2015

New RR Plugin: Identities.pl

This past week, I read an interesting FireEye blog post that discussed malware that targets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume boot record.  As I read through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, I got to step 4 ("Component Installation") for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry values listed caught my eye.  I know...go figure, right?

The blog post states that a number of values are created within a specific hive file, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se values refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various components of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware itself.  As such, I looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se values as a great way to determine if a system was infected, through eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r digital forensic analysis, or even active hunting within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise.


The key path for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post is "HKCU\.Default".  Hhhmmm...okay, so...where is that hive on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system?  As you can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right, taken via RegEdit on my Windows 10 system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path should be listed as "HKU", which stands for "HKEY_USERS", racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "HKCU", which stands for "HKEY_CURRENT_USER" (which would be me).  Regardless, we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ".Default" key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure.  This MSDN blog post lets us know that it's not what we think...no, not at all. That is, this key is not for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Default User", from which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new user profiles are created, but instead for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Local System account.

The RegRipper profilelist.pl plugin will show us cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paths to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT hives for various accounts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, including not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 users but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SIDs, as well:

Path      : %systemroot%\system32\config\systemprofile
SID       : S-1-5-18
LastWrite : Tue Jul 14 04:53:25 2009 (UTC)

Path      : C:\Windows\ServiceProfiles\LocalService
SID       : S-1-5-19
LastWrite : Thu Dec 30 20:51:42 2010 (UTC)

Path      : C:\Windows\ServiceProfiles\NetworkService
SID       : S-1-5-20
LastWrite : Thu Dec 30 20:51:42 2010 (UTC)

As such, you can extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT file from any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se profiles, and run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identities.pl plugin (uploaded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GitHub repository today) against it.

Addendum, 13 Dec: I added a plugin to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repository this morning called latentbot.pl that parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence location for LatentBot (as reported by FireEye), and attempts to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins, as well.  YMMV...extremely limited test suite.

No comments: