Sunday, October 16, 2016

Links and Updates

RegRipper Plugin
Not long ago, I read this blog post by Adapt Forward Cyber Security regarding an interesting persistence mechanism, and within 10 minutes, had RegRipper plugin written and tested against some existing data that I had available.

So why would I say this?  What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point?  The point is that with something as simple as copy-paste, I extended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, and now have new functionality that will let me flag something that may be of interest, without having to memorize a checklist.  And as I pushed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new plugin out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repository, everyone who downloads and uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin now has that same capability, without having to have spent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks at Adapt Forward spent on this; through documentation and sharing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community is able to extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality of existing toolsets, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of knowledge and experience.

Speaking of which, I was recently assisting with a case, and found some interesting artifacts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry regarding LogMeIn logons; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 login source (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was more detail recovered from a Windows Event Log record), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user name and date/time.  This was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of a creating a timeline that included Registry key LastWrite times, and led to investigating an unusual key/entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.  I created a RegRipper plugin to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information (logmein.pl), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n created one to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact in a timeline (logmein_tln.pl).  Shorty after creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m both, I pushed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m up to Github.

Extending Tools, Extending Capabilities
Not long ago, I posted about parsing .pub files that were used to deliver malicious macros.  There didn't seem to be a great deal of interest from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, but hey, what're you gonna do, right?  One comment that I did receive was, "yeah, so what...it's a limited infection vector."  You know what?  You're right, it is.  But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post wasn't, "hey, look here's a new thing..."; it was "hey, look, here's an old thing that's back, and here's how, if you understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file structure, you can use that information to extend your threat intel, and possibly even your understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actors using it."

And, oh, by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, if you think that OLE is an old format, you're right...but if you think that it's not used any longer, you're way not right.  The OLE file format is used with Sticky Notes, as well as automatic Jump Lists.

Live Imaging
Mari had an excellent post recently in which she addressed live imaging of Mac systems.  As she pointed out in her post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are times when live imaging is not only a good option, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only option.

The same can also be true for Windows systems, and not just when encryption is involved.  There are times when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to get an image of a server is to do so using a live imaging process.

Something that needs to be taken into consideration during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live imaging of Windows systems is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of various files and artifacts while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is live and running.  For example, Windows Event Logs may be "open", and it's well known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatCache data is written at system shutdown.

AmCache.hve
Not long ago, I commented regarding my experiences using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache.hve file during investigations; in short, I had not had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sort of experiences as those described by Eric Z.

That's changed.

Not long ago, I was examining some data from a point-of-sale breach investigation, and had noticed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were references to a number of tools that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary had used that were no longer available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.  I'd also found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed AV product wasn't writing detection events to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Application Event Log (as many such applications tend to do...), so I ran 'strings' across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quarantine index files, and was able to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quarantined files, as well as what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV product had alerted on.  In one instance, I found that a file had been identified by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV product as "W32.Bundle.Toolbar"...okay, not terribly descriptive.

I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache.hve file (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I was examining was a Windows 7 SP1 system), and searched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output for several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file names I had from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources (ShimCache, UserAssist, etc.), and lo and behold, I found a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file mentioned above.  Okay, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache entry had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same path, so I pushed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SHA-1 hash for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file up to VT, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file as CCleaner.  This fit into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination, as we'd observed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary "cleaning up", using eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r native tools (living off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 land), or using tools cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd brought with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Windows Event Log Analysis
Something I see over and over again (on Twitter, mostly, but also in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r venues) is analysts referring to Windows Event Log records solely by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir event ID, and not including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source.

Event IDs are not unique.  There are a number of event IDs out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re that have different sources, and as such, have a completely different context with respect to your investigation.  Searching Google, it's easy to see (for example) that events with ID 4000 have multiple sources; DNS, SMTPSvc, Diagnostics-Networking, etc.  And that doesn't include non-MS applications...that's just what I found in a couple of seconds of searching.  So, searching across all event logs (or even just one event log file) for all events with a specific ID could result in data that has no relevance to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation, or even obscure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation.

Okay...so what?  Who cares?  Well, something that I've found that really helps me out with an examination is to use eventmap.txt to "tag" events of interest ("interest", as in, "found to be interesting from previous exams") while creating a timeline.  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first things I'll do after opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TLN file is to search for "[maldetect]" and "[alert]", and get a sense of what I'm working with (i.e., develop a bit of situational awareness).  This works out really well because I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event source and ID in combination to identify records of interest.

As many of us still run across Windows XP and 2003 systems, this link provides a good explanation (and a graphic) of how wrapping of event records works in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs on those systems.

2 comments:

alistair1 said...

Like you technical blogs, are you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guy that wrote RegRipper and writes books on DF?

https://www.linkedin.com/pulse/incident-response-creation-digital-timeline-crime-alistair

H. Carvey said...

I am...