Monday, September 19, 2016

Links/Updates

Malicious Office Documents
Okay, my last post really doesn't seem to have sparked too much interest; it went over like a sack of hammers.  Too bad.  Personally, I thought it was pretty fascinating, and can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential for additional work furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road.  I engaged in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work to help develop a clearer threat intel picture, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has simply been no interest.  Oh, well.

Not long ago, I found this pretty comprehensive post regarding malicious Office documents, and it covers both pre- and post-2007 formats.

What's in your WPAD?
At one point in my career, I was a security admin in an FTE position within a company.  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I was doing was mapping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure and determining ingress/egress points, and I ran across a system that actually had persistent routes enabled via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry.  As such, I've always tried to be cognizant of anything that would redirect a system to a route or location ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than what was intended.  For example, when responding to an apparent drive-by downloader attack, I'd be sure to examine not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web history but also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user Favorites or Bookmarks; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been several times where doing this sort of analysis has added a slightly different shade to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examples of this include things like modifications to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file.  Windows uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file for name resolution, and I've used this in conjunction with a Scheduled Task, as a sort of "parental control", leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WiFi up after 10pm for a middle schooler, but redirecting some sites to localhost.  Using that knowledge over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, I've also examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file for indicators of untoward activity; I even had a plugin for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Scanner that would automatically extract any entries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file what was ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default.  Pretty slick.

Not new...this one is over four years old...but I ran across this post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NetSec blog, and thought that it was worth mentioning.  Sometimes, you just have to know what you're looking for when performing incident response, and sometimes what you're looking for isn't in memory, or in a packet capture.

Speaking of checking things related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser, I saw something that @DanielleEveIR tweeted recently, specifically:








I thought this was pretty interesting, not something I'd seen or thought of before.  Unfortunately, many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware RE folks I know are focused more on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host, so things such as modifications of Registry values tend to fall through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cracks.  However, if you're running Carbon Black, this might make a pretty good watchlist item, eh?

I did a search and found a malware sample described here that exhibits this behavior, and I found anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r description here.  Hopefully, that might provide some sort of idea as to how pervasive this artifact is.

@DanielleEveIR had anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting tweet, stating that if your app makes a copy of itself and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n launches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 copy, it might be malware.  Okay, she's starting to sound like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jeff Foxworthy of IR..."you might be malware if..."...but she has a very good point.  Our team recently saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LaZagne credential cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft tool being run in an infrastructure, and if you've ever seen or tested this, that's exactly what it does.  This would make a good watchlist item, as well...regardless of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application name is, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process name is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parent process name, flag that puppy!  You can also include this in any script that you use that parses Security Event Logs (for event ID 4688) or Sysmon Event Logs.

Defender Bias
There've been a number of blog posts that have discussed analyst bias when it comes to DFIR, threat intel, and attribution.

Something that I haven't seen discussed much is blue team or defender bias.  Wait...what?  What is "defender bias"?  Let's look at some examples...you're sitting in a meeting, discussing an incident that your team is investigating, and you're fully aware that you don't have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data at this point.  You're looking at a few indicators, maybe some files and Windows Event Log records, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n someone says, "...if I were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy, I'd...".  Ever have that happen?  Being an incident responder for about 17 years, I've heard that phrase spoken.  A lot.  Sometimes by members of my team, sometimes by members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client's team.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r place that defender bias can be seen is when discussing "crown jewels".  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommended exercises while developing a CSIRP is to determine where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critical data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is located within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n develop response plans around that data. The idea of this exercise is to accept that breaches are inevitable, and collapse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critical data that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization relies on to function.

But what happens when you don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instrumentation and visibility to determine what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy is actually doing?  You'll likely focus on protected that critical data while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy is siphoning off what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y came for.

The point is that what may be critical to you, to your business, may not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "crown jewels" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.  Going back as far as we can remember, reports from various consulting organizations have referred to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary as having a "shopping list", and while your organization may be on that list, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real question isn't just, "..where are your critical assets?", it's also "...what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary actually doing?"

What if your "crown jewels" aren't what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary is after, and your infrastructure is a conduit to someone else's infrastructure?  What if your "crown jewels" are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest and greatest tech that your company has on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drawing boards, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary is instead after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older gen stuff, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech shown to work and with a documented history and track record of reliability?   Or, what if your "crown jewels" are legal positions for clients, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary is after your escrow account?

My point is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is going to be a certain amount of defender bias in play, but it's critical for organizations to have situational awareness, and to also realize when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are gaps in that situational awareness.  What you decide are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "crown jewels", in complete isolation from any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r input, may not be what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary is after.  You'll find yourself hunkered down in your Maginot Line bunkers, awaiting that final assault, only to be mystified when it never seems to come.

1 comment:

Anonymous said...

Regarding this snippet: "... if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process name is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parent process name, flag that puppy!" it seems that this is not an absolute indicator, correct?

Maybe I'm doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong search, but I've been playing around with that simple logic and it seems that when I've reviewed EventID 4688 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are several instances of exe's where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creator process name is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new process name.

For example: I have seen multiple instances of iexplore launching iexplore.exe and of chrome launching chrome.exe

So it would seem that this type of indicator would need to be used in conjunction with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r indicators to determine if something malicious was occurring on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device....

Am I understanding that correctly?