Wednesday, July 06, 2016

Updates and Stuff

Registry Analysis
I received a question recently, asking if it were possible to manipulate Registry key LastWrite time stamps in a manner similar to file system time stomping.  Page 30 of Windows Registry Forensics addresses this; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a Warning sidebar on that page that refers to SetRegTime, which directly answers this question.

The second part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question was asking if I'd ever seen this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild, and to this point, I haven't.  Then I thought to myself, how would I identify or confirm this?   I think one way would be to make use of historical data within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image; let's say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key in question is available within Software hive, with a LastWrite time of 6 months prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image being acquired.  I'd start by examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegBack folder, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hives within any available VSCs.  So, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key has a LastWrite time of 6 months ago, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegBack folder was created 4 days ago and does NOT include any indication of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key existing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you might have an issue where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key was created and time stomped.

Powershell Logging
I personally don't use Powershell (much, yet), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been times when I've been investigating a Windows system and found some entries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Powershell Event Log that do little more than tell me that something happened.  While conducting analysis, I have no idea if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of Powershell is pervasive throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, if it's something one or two admins prefer to use, or if it was used by an attacker...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limited information available by default doesn't give me much of a view into what happened on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

The good news is that we can fix this; FireEye provides some valuable instructions for enabling a much greater level of visibility within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Event Log regarding activity that may have occurred via Powershell.  This Powershell Logging Cheat Sheet provides an easy reference for enabling a lot of FireEye's recommendations.

So, what does this mean to an incident responder?

Well, if you're investigating Powershell-based attacks, it can be extremely valuable, IF Powershell has been updated and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logging configured. If you're a responder in an FTE position, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n definitely push for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate updates to systems, be it upgrading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Powershell installed, or upgrading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.  When dealing with an attack, visibility is everything...you don't want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker moving through an obvious blind spot.

This is also really valuable for testing purposes; set up your VM, upgrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Powershell and configure logging, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n go about testing various attacks; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FireEye instructions mentioned above refer to Mimikatz.

Powershell PSReadLine Module
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that's "new" to Windows 10 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incorporation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PSReadLine module into Powershell v5.0, which provides a configurable command history (similar to a bash_history file).  Once everything's up and running correctly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history file is found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile at C:\Users\user\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt.

For versions of Windows prior to 10, you can update Powershell and install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module.

This is something else I'd definitely upgrade, configure and enable in a testing environment.

CLI Tools
As someone who's written a number of CLI tools in Perl, I found this presentation by Brad Lhotsky to be pretty interesting.

Tool Listing
Speaking of tools, I recently ran across this listing of tools, and what caught my attention wasn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listing itself as much as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format.  I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Explorer-style listing that lets you click to see what tools are listed...pretty slick.

Ransomware
I was doing some preparation for a talking I'm giving at ArchC0N in August, and was checking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MMPC site.  The first thing I noticed was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right-hand side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page had 10 new malware families identified, 6 of which were ransomware.

My talk at ArchC0N is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misconceptions of ransomware, something we saw early on in Feb and March of this year, but continue to see even now.  In an attempt to get something interesting out on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic, a number of media sites were eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r adding content to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir articles that had little to do with what was actually happening at a site infected with ransomware, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were simply parroting what someone else had said.  This has let to a great deal of confusion as infection vectors for ransomware in general, as well as what occurred during specific incidents.

More on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry...
With respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re're more misconceptions that continue unabated, particularly from Microsoft.  For example, take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ThreatFin ransomware, which states:

It can create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following registry entries to ensure it runs each time you start your PC:

The write-up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n goes on to identify values added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run key within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HKCU hive.  However, this doesn't cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to run each time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is started, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r when that user logs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

7 comments:

Jared Greenhill said...

Harlan,

Thanks for writing this - I think we might have been talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time stuff in context with Gamarue/Andromeda malware. I didn't dig into reversing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial dropper enough to see if it used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodology that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SetRegTime employs, but I wouldn't be surprised. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last year or so I've seen more commodity malware leverage timestomping. Previously this technique was more inline with APT TTP's. Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good continued discussion.

H. Carvey said...

Jared,

Glad to continue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a lot of things that we see that would benefit from continued discussion, keeping up to date, as well as innovating...

Anonymous said...

So answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question by saying 'it's in my book' - very helpful

H. Carvey said...

@Anonymous,

So answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question by saying 'it's in my book' - very helpful

Thanks, but I'm sure I have no idea to what you're referring...

Mari DeGrazia said...

Thanks for sharing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Powershell logging. I've started to see this more often, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations made by FireEye could go a long ways towards helping out once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are implemented.

H. Carvey said...

@Maria,

Agreed. I've analyzed a couple of system images for which process tracking had been enabled, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full command line wasn't being collected. With some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Powershell stuff I've also seen, it would be great to have more detailed auditing of what's going on, particularly if PS isn't traditionally used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure.

randomaccess said...


So answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question by saying 'it's in my book' - very helpful

It's also on page 87 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same book!