Sunday, December 18, 2016

Updates

What's New?
The question I hear perhaps most often, when a new book comes out, or if I'm presenting at a conference, is "what's new?" or "what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest and greatest in Windows version <insert upcoming release version>?"

In January, 2012, after attending a conference, I was at baggage claim at my home airport along with a fellow attendee (to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference)...he asked me about a Windows NT4 system he was analyzing.  In November of 2016, I was involved in an engagement where I was analyzing about half a dozen Windows 2003 server systems.  On an online forum just last week, I saw a question regarding tracking users accessing MSOffice 2003 documents on Windows 2003 systems.

The lesson here is, don't throw out or dismiss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "old stuff", because sometimes all you're left with is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old stuff.  Knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process for analysis is much more important than memorizing tidbits and interesting facts that you may or may not ever actually use.

Keeping Up
Douglas Brush recently started recording podcast interviews with industry luminaries, beginning with himself (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 array is indexed at zero), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n going to Chris Pogue and David Cowen.  I took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interview with Chris not long ago; he and I had worked togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r for some time at IBM (I was part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISS purchase, Chris was brought over from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IBM team).

Something Chris said during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interview was very poignant; it was one of those things that incident responders know to be true, even if it's not something you've ever stated or specifically crystallized in your own thoughts.  Chris mentioned during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interview that when faced with a number of apparently complex options, non-technical folks will often tend toward those options with which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are most familiar.  This is true not just in information security (Chris mentioned firewalls, IDS, etc.), but also during incident response.  As a responder and consultant, I've seen time and again where it takes some time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT staff that I'm working with to understand that while, yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is malware on this system, it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re because someone specifically put it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could control it (hands on keyboard) and move laterally within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure.

Chris's interview was fascinating, and I spent some time recently listening to David's interview, as well.  I had some great take-aways from a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things David said.  For example, a good bit of David's work is clearly related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 courts, and he does a great job of dispelling some of what may be seen as myth, as well as addressing a few simple facts that should (I say "should" because it's not always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case) persist across all DFIR work, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you're headed to court to testify or not.  David also has some great comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of sharing information within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community.

So far, it's been fascinating to listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks being interviewed, but to be honest, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a lot of women who've done exceptional work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, as well, and should not be overlooked.  Mari DeGrazia, Jamie Levy, Cindy Murphy, Sarah Edwards, to name just a few.  These ladies, as well as many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, have had a significant impact on, and continue to contribute to, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community.

I did listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Silver Bullet Podcast not long ago, specifically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 episode where Lesley Carhart was interviewed.  It's good to get a different perspective on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, and I'm not just talking about from a female perspective.  Lesley comes from a background that is much different from mine, so I found listening to her interview very enlightening.

Friday, November 18, 2016

The Joy of Open Source

Not long ago, I was involved in an IR engagement where an intruder had exploited a web-based application on a Windows 2003 system, created a local user account, accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system via Terminal Services using that account, run tools, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n deleted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd created before continuing on using accounts and stolen credentials.

The first data I got to look at was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system; using evtparse, I created a mini-timeline and got a pretty decent look at what had occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.  The client had enabled process tracking so I could see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security/592 and ../593 events, but unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional Registry value had not been created, so we weren't getting full command lines in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event records.  From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mini-timeline, I could "see" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account, using it, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n deleting it, all based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event record source/ID pairs.

For account creation:
Security/624 - user account created
Security/628 - user account password set
Security/632 - member added to global security group
Security/642 - user account changed

For account deletion:
Security/630 - user account deleted
Security/633 - member removed from global security group
Security/637 - member removed from local security group

Once I was able to access an image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, a visual review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system (via FTK Imager) confirmed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile was not visible within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active file system.  Knowing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account had been a local account, I extracted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAM Registry hive, and ran regslack.exe against it...and could clearly see two keys (username and RID, respectively), and two values (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "F" and "V" values) that had been deleted and were currently "residing" within unallocated space in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive file.  What was interesting was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values still included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir complete binary data.

I was also able to see one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted keys via RegistryExplorer.

SAM hive open in RegistryExplorer














Not that I needed to confirm it, but I also ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper del.pl plugin against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive and ended up finding indications of two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r deleted keys, in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previously-observed information.

Output of RR del.pl plugin (Excerpt)

















Not only that, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin retrieves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full value data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted values; as such, I was able to copy (via Notepad++) code for parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "F" and "V" value data out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 samparse.pl plugin and paste it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 del.pl plugin for temporary use, so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary data is parsed into something intelligible.

The del_tln.pl plugin (output below) made it relatively simple to add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted key information to a timeline, so that additional context would be visible.


Output of RR del_tln.pl plugin


If nothing else, this really illustrates one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 valuable aspects of open source software.  With relatively little effort and time, I was able to incorporate findings directly into my analysis, adding context and clarity to that analysis.  I've modified Perl and Python scripts to meet my own needs, and this is just anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of being able to make quick and easy changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available tools in order to meet immediate analysis needs.

Speaking of which, I've gone back and picked up something of a side project that I'd started a bit ago, based on a recent suggestion from a good friend. As I've started to dig into it a bit more, I've run into some challenges, particularly when it comes to "seeing" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and translating it into something readable.  Where I started with a hex editor and highlighting a DWORD value at a time, I've ended up writing and cobbling togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r bits of (open source) code to help me with this task. At first glance, it's like having a bunch of spare parts laying out on a workbench, but closer inspection reveals that it's all basically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same stuff, just being used in different ways.  What started a number of years ago with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 header files from Peter Nordahl's ntchpwd utility became cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Registry parsing code that I wrote, which I'm still using to this day.

Take-Aways
Some take-aways from this experience...

When a new version of Windows comes out, everyone wants to know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new 'thing' is...what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest and greatest artifact?  But what about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff that always works?  What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old stuff that gets used again and again, because it works?

Understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact cluster associated with certain actions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various versions of Windows can help in recognizing those actions when you don't have all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts available.  Using just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event record source/ID pairs, we could see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation and deletion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account, even if we didn't have process information to confirm it for us.  In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account deletion occurred through a GUI tool (mmc.exe running compmgmt.msc) and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process creation information would show us is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool was run, not which buttons were pushed.  Even without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log record metadata, we still had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information we extracted from unallocated space within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAM hive file.

Having access to open source tools means that things can be tweaked and modified to suit your needs.  Don't program?  No problem.  Know someone who does?  Are you willing to ask for help?  No one person can know everything, and sometimes it's helpful to go to someone and get a fresh point of view.

Saturday, October 29, 2016

Ransomware

Ransomware
I think that we can all agree, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you've experienced it within your enterprise or not, ransomware is a problem.  It's one of those things that you hope never happens to you, that you hope you never have to deal with, and you give a sigh of relief when you hear that someone else got hit.

The problem with that is that hoping isn't preparing.

Wait...what?  Prepare for a ransomware attack?  How would someone go about doing that?  Well, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quote from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie "Blade":

Once you understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of a thing, you know what it's capable of.

This is true for ransomware, as well as Deacon Frost.  If you understand what ransomware does (encrypts files), and how it gets into an infrastructure, you can take some simple (relative to your infrastructure and culture, of course) to prepare for such an incident to occur.  Interestingly enough, many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se steps are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same that you'd use to prepare for any type of incident.

First, some interesting reading and quotes...such as from this article:

The organization paid, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n executives quickly realized a plan needed to be put in place in case this happened again. Most organizations are not prepared for events like this that will only get worse, and what we see is usually a reactive response instead of proactive thinking.

....and...

I witnessed a hospital in California be shut down because of ransomware. They paid $2 million in bitcoins to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network back.

The take-aways are "not prepared" and "$2 million"...because it would very likely have cost much less than $2 million to prepare for such attacks.

The major take-aways from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more general ransomware discussion should be that:

1.  Ransomware encrypts files.  That's it.

2.  Like ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware, those writing and deploying ransomware work to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir product from being detected.

3.  The business model of ransomware will continue to evolve as methods are changed and new methods are developed, while methods that continue to work will keep being used.

Wait...ransomware has a business model?  You bet it does!  Some ransomware (Locky, etc.) is spread eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r through malicious email attachments, or links that direct a user's browser to a web site.  Anyone who does process creation monitoring on an infrastructure likely sees this.  In a webcast I gave last spring (as well as in subsequent presentations), I included a slide that illustrated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process tree of a user opening an email attachment, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n choosing to "Enable Content", at which point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware took off.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ransomware (Samas, Le Chiffre, CryptoLuck) is deployed through a more directed means, bypassing email all togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  An intruder infiltrates an infrastructure through a vulnerable perimeter system, RDP, TeamViewer, etc., and deploys cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware in a dedicated fashion.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of Samas ransomware, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary appears to have spent time elevating privileges and mapping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure in order locate systems to which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware.  We've seen this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary would on one day, simply blast out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware to a large number of systems (most appeared to be servers).

The Ransomware Economy
There are a couple of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r really good posts on Secureworks blog regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samas ransomware (here, and here).  The second blog post, by Kevin Strickland, talks about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evolution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samas ransomware; not long ago, I ran across this tweet that let us know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evolution that Kevin talked about hasn't stopped.  This clearly illustrates that developers are continuing to "provide a better (i.e., less detectable) product", as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economy of ransomware.  The business models that are implemented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware economy will continue to evolve, simply because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is money to be had.

There is also a ransomware economy on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "blue" (defender) side, albeit one that is markedly different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "red" (attacker) side.

The blue-side economy does not evolve nearly as fast as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red-side.  How many victims of ransomware have not reported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir incident to anyone, or simply wiped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box and moved on?  How many of those with encrypted files have chosen to pay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransom racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than pay to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident investigated?  By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, that's part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red-side economy...make it more cost effective to pay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransom than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of an investigation.

As long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desire to obtain money is stronger that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desire to prevent that from happening, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red-side ransomware economy will continue to outstrip that of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blue-side.

Preparation
Preparation for a ransomware attack is, in many ways, no different from preparing for any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r computer security incident.

The first step is user awareness.  If you see something, say something.  If you get an odd email with an attachment that asks you to "enable content", don't do it!  Instead, raise an alarm, say something.

The second step is to use technical means to protect yourself.  We all know that prevention works for only so long, because adversaries are much more dedicated to bypassing those prevention mechanisms than we are to paying to keep those protection mechanisms up to date.  As such, augmenting those prevention mechanisms with detection can be extremely effective, particularly when it comes to definitively nailing down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector (IIV).  Why is this important?  Well, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last couple of months, we've not only seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deliver mechanism of familiar ransomware changing, but we've also seen entirely new ransomware variants infecting systems.  If you assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware is getting in as an email attachment, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you're going to direct resources to something that isn't going to be at all effective.

Case in point...I recently examined a system infected with Odin Locky, and was told that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware could not have gotten in via email, as a protection application had been purchased specifically for that purpose.  What I found was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware did, indeed, get on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system via email; however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user had accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir AOL email (bypassing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protection mechanism), and downloaded and executed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious attachment.

Tools such as Sysmon (or anything else that monitors process creation) can be extremely valuable when it comes to determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IIV for ransomware.  Many variants will delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves after files are encrypted, (attempt to) delete VSCs, etc., and being able to track cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process train back to it's origin can be extremely valuable in preventing such things in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.  Again, it's about dedicating resources where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most effective.  Why invest in email protections when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware is getting on your systems as a result of a watering hole attack, or strategic web compromise?  Or what if it's neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of those?  What if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system had been compromised, a reverse shell (or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r access method, such as TeamViewer) installed and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system infected through that vector?

Ransomware will continue to be an issue, and new means for deploying are being developed all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time.  The difference between ransomware and, say, a targeted breach is that you know almost immediately when you've had files encrypted.  Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, during targeted breaches, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary will most often copy your critical files; with ransomware, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files are made unavailable to anyone.  In fact, if you can't decrypt/recover your files, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's really no difference between ransomware and secure deletion of your files.

We know that on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blue-side, prevention eventually fails.  As such, we need to incorporate detection into our security posture, so that if we can't prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection or recover our files, we can determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IIV for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware and address that issue.

Addendum, 30 Oct: As a result of an exchange with (and thanks to) David Cowen, I think that I can encapsulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware business model to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following statement:

The red-side business model for ransomware converts a high number of low-value, blue-side assets into high-value attacker targets, with a corresponding high ROI (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker).

What does mean?  I've asked a number of folks who are not particularly knowledgeable in infosec if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are any files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir individual systems without which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could simply not do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir jobs, or without access to those files, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir daily work would significantly suffer.  So far, 100% have said, "yes".  Considering this, it's abundantly clear that attackers have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own reciprocal Pyramid of Pain that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y apply to defenders; that is, if you want to succeed (i.e., get paid), you need to impact your target in such a manner that it is more cost-effective (and less painful) to pay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransom than it is perform any alternative.  In most cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alternative amounts to changing corporate culture.




AmCache.hve

I was working on an incident recently, and while extracting files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, I noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was an AmCache.hve file.  Not knowing what I would find in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, I extracted it to include in my analysis.  As I began my analysis, I found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I was examining was a Windows Server 2012 R2 Standard system.  This was just one system involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, and I already had a couple of indicators.

As part of my analysis, I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatCache value and found one of my indicators:

SYSVOL\downloads\malware.exe  Wed Oct 19 15:35:23 2016 Z

I was able to find a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system, so I computed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MD5 hash, and pulled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PE compile time and interesting strings out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file.  The compile time was  9 Jul 2016, 11:19:37 UTC.

I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache.hve file and searched for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicator, and found:

File Reference  : 28000017b6a
LastWrite          : Wed Oct 19 06:07:02 2016 Z
Path                   : C:\downloads\malware.exe
SHA-1               : 0000
Last Mod Time2: Wed Aug  3 13:36:53 2016 Z

File Reference   : 3300001e39f
LastWrite           : Wed Oct 19 15:36:07 2016 Z
Path                    : C:\downloads\malware.exe
SHA-1                : 0000
Last Mod Time2: Wed Oct 19 15:35:23 2016 Z

File Reference  : 2d000017b6a
LastWrite          : Wed Oct 19 06:14:30 2016 Z
Path                   : C:\Users\\Desktop\malware.exe
SHA-1               : 0000
Last Mod Time  : Wed Aug  3 13:36:54 2016 Z
Last Mod Time2: Wed Aug  3 13:36:53 2016 Z
Create Time       : Wed Oct 19 06:14:20 2016 Z
Compile Time    : Sat Jul  9 11:19:37 2016 Z

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SHA-1 hashes were identical across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three entries.  Do not ask for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hashes...I'm not going to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, as this is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of this post.

What this illustrates is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of what what can be derived from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache.hve file.  Had I not been able to retrieve a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system, I would still have a great deal of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, including (but not limited to) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same file was on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system in three different locations.  In addition, I would also have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compile time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable file.

Sunday, October 16, 2016

Links and Updates

RegRipper Plugin
Not long ago, I read this blog post by Adapt Forward Cyber Security regarding an interesting persistence mechanism, and within 10 minutes, had RegRipper plugin written and tested against some existing data that I had available.

So why would I say this?  What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point?  The point is that with something as simple as copy-paste, I extended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, and now have new functionality that will let me flag something that may be of interest, without having to memorize a checklist.  And as I pushed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new plugin out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repository, everyone who downloads and uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin now has that same capability, without having to have spent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks at Adapt Forward spent on this; through documentation and sharing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community is able to extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality of existing toolsets, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of knowledge and experience.

Speaking of which, I was recently assisting with a case, and found some interesting artifacts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry regarding LogMeIn logons; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 login source (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was more detail recovered from a Windows Event Log record), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user name and date/time.  This was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of a creating a timeline that included Registry key LastWrite times, and led to investigating an unusual key/entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.  I created a RegRipper plugin to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information (logmein.pl), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n created one to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact in a timeline (logmein_tln.pl).  Shorty after creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m both, I pushed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m up to Github.

Extending Tools, Extending Capabilities
Not long ago, I posted about parsing .pub files that were used to deliver malicious macros.  There didn't seem to be a great deal of interest from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, but hey, what're you gonna do, right?  One comment that I did receive was, "yeah, so what...it's a limited infection vector."  You know what?  You're right, it is.  But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post wasn't, "hey, look here's a new thing..."; it was "hey, look, here's an old thing that's back, and here's how, if you understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file structure, you can use that information to extend your threat intel, and possibly even your understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actors using it."

And, oh, by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, if you think that OLE is an old format, you're right...but if you think that it's not used any longer, you're way not right.  The OLE file format is used with Sticky Notes, as well as automatic Jump Lists.

Live Imaging
Mari had an excellent post recently in which she addressed live imaging of Mac systems.  As she pointed out in her post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are times when live imaging is not only a good option, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only option.

The same can also be true for Windows systems, and not just when encryption is involved.  There are times when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to get an image of a server is to do so using a live imaging process.

Something that needs to be taken into consideration during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live imaging of Windows systems is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of various files and artifacts while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is live and running.  For example, Windows Event Logs may be "open", and it's well known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatCache data is written at system shutdown.

AmCache.hve
Not long ago, I commented regarding my experiences using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache.hve file during investigations; in short, I had not had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sort of experiences as those described by Eric Z.

That's changed.

Not long ago, I was examining some data from a point-of-sale breach investigation, and had noticed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were references to a number of tools that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary had used that were no longer available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.  I'd also found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed AV product wasn't writing detection events to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Application Event Log (as many such applications tend to do...), so I ran 'strings' across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quarantine index files, and was able to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quarantined files, as well as what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV product had alerted on.  In one instance, I found that a file had been identified by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV product as "W32.Bundle.Toolbar"...okay, not terribly descriptive.

I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache.hve file (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I was examining was a Windows 7 SP1 system), and searched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output for several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file names I had from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources (ShimCache, UserAssist, etc.), and lo and behold, I found a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file mentioned above.  Okay, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache entry had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same path, so I pushed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SHA-1 hash for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file up to VT, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file as CCleaner.  This fit into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination, as we'd observed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary "cleaning up", using eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r native tools (living off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 land), or using tools cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd brought with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Windows Event Log Analysis
Something I see over and over again (on Twitter, mostly, but also in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r venues) is analysts referring to Windows Event Log records solely by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir event ID, and not including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source.

Event IDs are not unique.  There are a number of event IDs out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re that have different sources, and as such, have a completely different context with respect to your investigation.  Searching Google, it's easy to see (for example) that events with ID 4000 have multiple sources; DNS, SMTPSvc, Diagnostics-Networking, etc.  And that doesn't include non-MS applications...that's just what I found in a couple of seconds of searching.  So, searching across all event logs (or even just one event log file) for all events with a specific ID could result in data that has no relevance to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation, or even obscure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation.

Okay...so what?  Who cares?  Well, something that I've found that really helps me out with an examination is to use eventmap.txt to "tag" events of interest ("interest", as in, "found to be interesting from previous exams") while creating a timeline.  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first things I'll do after opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TLN file is to search for "[maldetect]" and "[alert]", and get a sense of what I'm working with (i.e., develop a bit of situational awareness).  This works out really well because I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event source and ID in combination to identify records of interest.

As many of us still run across Windows XP and 2003 systems, this link provides a good explanation (and a graphic) of how wrapping of event records works in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs on those systems.

Thursday, September 22, 2016

Size Matters

Yes, it does, and sometimes smaller is better.

Here's why...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day I was "doing" some analysis, trying to develop some situational awareness from an image of a Windows 2008 SP2 system.  To do so, I extracted data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image...directory listing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition via FTK Imager, Windows Event Logs, and Registry hive files.  I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n used this data to create a micro-timeline (one based on limited data) so that I could just get a general "lay of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 land", if you will.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I did was open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline in Notepad++, run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slider bar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, and search (going "up" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file) for "Security-Auditing/".  I did this to see where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oldest event from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Event Log would be located.  Again, I was doing this for situational awareness.

Just to keep track, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extracted data sources, I was now just under 15 min into my analysis.

The next thing I did was go all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, and I started searching for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tags included in eventmap.txt.  I started with "[maldetect]", and immediately found clusters of malware detections via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed AV product.

Still under 18 min at this point.

Then I noticed something interesting...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was as section of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline that had just a bunch of failed login attempts (Microsoft-Windows-Security-Auditing/4625 events), all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m type 10 logins.  I knew that one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things about this case was unauthorized logins via Terminal Services, and seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failed login attempts helped me narrow down some aspects of that; specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failed login attempts originated from a limited number of IP addresses, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were multiple attempts, many using user names that didn't exist on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system...someone was scanning and attempting to brute force a login.

I already knew from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pre-engagement conference calls that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were two user accounts that were of primary interest...one was a legit account cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary had taken over, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r was one cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary had reportedly created.  I searched for one of those and started to see "Microsoft-Windows-Security-Auditing/4778" (session reconnect) and /4779 (session disconnect) events.  I had my events file, so I typed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands:

type events.txt | find "Microsoft-Windows-Security-Auditing/4778" > sec_events.txt
type events.txt | find "Microsoft-Windows-Security-Auditing/4779" >> sec_events.txt

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I wrote a quick script that ran through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sec_events.txt file and gave me a count of how many times various system names and IP addresses appeared togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, I could see that for some system names, ones that were unique (i.e., "Hustler", etc., but NOT "Dell-PC") were all connecting from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same range of IP addresses.

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data available, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where I was looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script was just under 45 min.  Some of that time included noodling over how best to present what I was looking for, so that I didn't have to go through things manually...make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code do alphabetical sorting racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than having to it myself, that sort of thing.

The point of all this is that sometimes, you don't need a full system timeline, using all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available data, in order to make headway in your analysis.  Sometimes a micro-timeline is much better, as it doesn't include all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "noise" associated with a bunch of unrelated activity.  And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are times when a nano-timeline is a vastly superior resource.

As a side note, after all of this was done, I extracted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT files for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two user profiles of interest from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist information from each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main events file, and recreated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original timeline with new data...total time to do that was less than 10 min, and I was being lazy.  That one small action really crystallized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture of activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Addendum, 27 Sept:
Here's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r useful command line that I used to get logon data:

type events.txt | find "Security-Auditing/4624" | find "admin123" | find ",10"


Monday, September 19, 2016

Links/Updates

Malicious Office Documents
Okay, my last post really doesn't seem to have sparked too much interest; it went over like a sack of hammers.  Too bad.  Personally, I thought it was pretty fascinating, and can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential for additional work furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road.  I engaged in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work to help develop a clearer threat intel picture, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has simply been no interest.  Oh, well.

Not long ago, I found this pretty comprehensive post regarding malicious Office documents, and it covers both pre- and post-2007 formats.

What's in your WPAD?
At one point in my career, I was a security admin in an FTE position within a company.  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I was doing was mapping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure and determining ingress/egress points, and I ran across a system that actually had persistent routes enabled via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry.  As such, I've always tried to be cognizant of anything that would redirect a system to a route or location ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than what was intended.  For example, when responding to an apparent drive-by downloader attack, I'd be sure to examine not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web history but also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user Favorites or Bookmarks; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been several times where doing this sort of analysis has added a slightly different shade to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examples of this include things like modifications to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file.  Windows uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file for name resolution, and I've used this in conjunction with a Scheduled Task, as a sort of "parental control", leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WiFi up after 10pm for a middle schooler, but redirecting some sites to localhost.  Using that knowledge over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, I've also examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file for indicators of untoward activity; I even had a plugin for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Scanner that would automatically extract any entries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file what was ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default.  Pretty slick.

Not new...this one is over four years old...but I ran across this post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NetSec blog, and thought that it was worth mentioning.  Sometimes, you just have to know what you're looking for when performing incident response, and sometimes what you're looking for isn't in memory, or in a packet capture.

Speaking of checking things related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser, I saw something that @DanielleEveIR tweeted recently, specifically:








I thought this was pretty interesting, not something I'd seen or thought of before.  Unfortunately, many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware RE folks I know are focused more on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host, so things such as modifications of Registry values tend to fall through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cracks.  However, if you're running Carbon Black, this might make a pretty good watchlist item, eh?

I did a search and found a malware sample described here that exhibits this behavior, and I found anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r description here.  Hopefully, that might provide some sort of idea as to how pervasive this artifact is.

@DanielleEveIR had anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting tweet, stating that if your app makes a copy of itself and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n launches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 copy, it might be malware.  Okay, she's starting to sound like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jeff Foxworthy of IR..."you might be malware if..."...but she has a very good point.  Our team recently saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LaZagne credential cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft tool being run in an infrastructure, and if you've ever seen or tested this, that's exactly what it does.  This would make a good watchlist item, as well...regardless of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application name is, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process name is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parent process name, flag that puppy!  You can also include this in any script that you use that parses Security Event Logs (for event ID 4688) or Sysmon Event Logs.

Defender Bias
There've been a number of blog posts that have discussed analyst bias when it comes to DFIR, threat intel, and attribution.

Something that I haven't seen discussed much is blue team or defender bias.  Wait...what?  What is "defender bias"?  Let's look at some examples...you're sitting in a meeting, discussing an incident that your team is investigating, and you're fully aware that you don't have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data at this point.  You're looking at a few indicators, maybe some files and Windows Event Log records, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n someone says, "...if I were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy, I'd...".  Ever have that happen?  Being an incident responder for about 17 years, I've heard that phrase spoken.  A lot.  Sometimes by members of my team, sometimes by members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client's team.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r place that defender bias can be seen is when discussing "crown jewels".  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommended exercises while developing a CSIRP is to determine where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critical data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is located within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n develop response plans around that data. The idea of this exercise is to accept that breaches are inevitable, and collapse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critical data that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization relies on to function.

But what happens when you don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instrumentation and visibility to determine what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy is actually doing?  You'll likely focus on protected that critical data while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy is siphoning off what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y came for.

The point is that what may be critical to you, to your business, may not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "crown jewels" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.  Going back as far as we can remember, reports from various consulting organizations have referred to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary as having a "shopping list", and while your organization may be on that list, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real question isn't just, "..where are your critical assets?", it's also "...what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary actually doing?"

What if your "crown jewels" aren't what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary is after, and your infrastructure is a conduit to someone else's infrastructure?  What if your "crown jewels" are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest and greatest tech that your company has on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drawing boards, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary is instead after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older gen stuff, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech shown to work and with a documented history and track record of reliability?   Or, what if your "crown jewels" are legal positions for clients, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary is after your escrow account?

My point is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is going to be a certain amount of defender bias in play, but it's critical for organizations to have situational awareness, and to also realize when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are gaps in that situational awareness.  What you decide are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "crown jewels", in complete isolation from any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r input, may not be what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary is after.  You'll find yourself hunkered down in your Maginot Line bunkers, awaiting that final assault, only to be mystified when it never seems to come.

Sunday, September 11, 2016

OLE...OLE, OLE, OLE!

Okay, if you've never seen The Replacements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of this post won't be nearly as funny to you as it is to me...but that's okay.

I recently posted an update blog that included a brief discussion of a tool I was working on, and why.  In short, and due in part to a recently publicized change in tactics, I wanted to dust off some old code I'd written and see what information or intel I could collect.

The tactic I'm referring to involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of malware delivered via '.pub' files.  I wasn't entirely too interested in this tactic until I found out that .pub (MS Publisher) files are OLE format files.

The code I'm referring to is wmd.pl, something I wrote a while back (according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 header information, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code is just about 10 yrs old!) and was written specifically to parse documents created using older versions of MS Word, specifically those that used OLE.

OLE
The Object Linking and Embedding (OLE) file format is pretty well documented at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS site, so I won't spend a lot of time discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details here.  However, I will say that MS has referred to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format as a "file system within a file", and that's exactly what it is.  If you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's actually a 'sector allocation table', and it's laid out very similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FAT file system.  Also, at some levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'file system' structure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are time stamps, as well.  Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact details of when and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se time stamps are created and/or modified (or if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are, at all) isn't exactly clear, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can serve as an indicator, and something that we can incorporate with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts such that when combining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with context, we can get a better idea of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir validity and value.

For most of us who have been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR business for a while, when we hear "OLE", we think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blair document, and in particular, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format used for pre-2007 versions of MS Office documents.  Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, many of us thought that with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of Office 2007, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format was going to disappear, and at most, we'd maybe have to dust off some tools or analysis techniques at some point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.  Wow, talk about a surprise!  Not only did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format not disappear, as of Windows 7, we started to see it being used in more and more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts we were seeing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.  Take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OLE Compound File page on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ForensicWiki for a list of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files on Windows systems that utilize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OLE file format (i.e., StickyNotes, auto JumpLists, etc.).  So, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "going away", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format has become more pervasive over time.  This is pretty fascinating, particularly if you have a detailed understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file structure format.  In most cases when you're looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files on a Windows system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files will be what you're most interested in; for example, with automatic Jump Lists, we may be most interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DestList stream.  However, when an OLE compound file is created off of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, perhaps through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of an application, we (as analysts) would be very interested in learning all we can about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file itself.


Tools
So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool I was working on was to pull apart one component of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall attack to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were any correlations to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same component with respect ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attacks.  I'm not going to suggest it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing (because it's not) but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea I was working from is similar to pulling a device apart and breaking down its components in order to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 builder, or at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least to learn a little bit more that could be applied to an overall threat intel picture.

Here's what we're looking at...in this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .pub files are arriving as email attachments, so you have a sender email address, contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email header and body, attachment name, etc.  All of this helps us build a picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat.  Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email body pretty generic, or is it specifically written to illicit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired response (opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to whom it was sent?  Is it targeted?  Is it spam or spear-phishing/whaling?

Then we have what occurs after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user opens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment; in some cases, we see that files are downloaded and native commands (i.e., bitsadmin.exe) are executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.  Some folks have already been researching those areas or aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall attacks, and started pulling togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things such as sites and files accessed by bitsadmin.exe, etc.

Knowing a bit about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment, I thought I'd take an approach similar to what Kevin talked about in his Continuing Evolution of Samas Ransomware blog post.  In particular, why not see if I could develop some information that could be mapped to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks?  Folks were already using Didier's oledump.py to extract information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .pub files, as well as extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 embedded macros, but I wanted to take a bit of a closer look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file structure itself.  As such, I collected a number of .pub files that were known to be malicious in nature and contain embedded macros (using open sources), and began to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool I'd written (oledmp.pl) across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various files, looking not only for commonalities, but differences, as well.  Here are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I found:

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files had different time stamps; within each file, all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "directory" streams had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time stamp.  For example, from one file:

Root Entry  Date: 30.06.2016, 22:03:16

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "directory" streams below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Root Entry had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time stamp, as illustrated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following image (different file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one with 30 June time stamps):
.pub file structure listing
















Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files had a populated "Authress:" entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SummaryInformation section.  However, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception of those files, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SummaryInformation and DocumentSummaryInformation streams were blank.

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files had Trash sections (again, see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document structure specification) that were blank.
Trash Sections Listed
For example, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left, we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool listing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trash sections and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sizes; for each file examined, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Space section was all zeros, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Space section was all "0xFFFF".  Without knowing more about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sections are managed, it's difficult to determine specifically if this is a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file being created by whichever application was used (sort of a 'default' configuration), or if this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of an intentional action.

Many (albeit not all) files contained a second stream with an embedded macro.  In all cases within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample set, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stream was named "Module1", and contained an empty function.  However, in each case, that empty function had a different name.

Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streams of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files were identical across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample set.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 \Quill\QuillSub\ \x01CompObj stream for all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files appears as you see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below.
\Quill\QuillSub\ \x01CompObj stream







All in all, for me, this was some pretty fascinating work.  I'm sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be even more information to collect with a larger sample set.  In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's more research to be done...for example, how do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files compare to legitimate, non-malicious Publisher files?  What tools can be used to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files?

Wednesday, September 07, 2016

More Updates

Timelines
Mari had a great post recently that touched on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic of timelines, which also happens to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic of her presentation at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent HTCIA conference (which, by all Twitter accounts, we very well received).

A little treasure that Mari added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post was how she went about modifying a Volatility plugin in order to create a new one.  Mari says in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, "...nothing earth shattering...", but you know what, sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best and most valuable things aren't earth shattering at all.  In just a few minutes, Mari created a new plugin, and it also happens to be her first Volatility plugin.  She shared her process, and you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code right cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post.

Scripting
Speaking of sharing..well, this has to do with DFIR in general, but not Windows specifically...I ran across this fascinating blog post recently.  In short, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author developed a means (using Python) for turning listings of cell tower locations (pulled from phones by Cellebrite) into a Google Map.

A while back, I'd written and shared a Perl script that did something similar, except with WiFi access points.

The point is that someone had a need and developed a tool and/or process for (semi-)automatically parsing and processing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original raw data into a final, useful output format.

.pub files
I ran across this ISC Handler Diary recently...pretty interesting stuff.  Has anyone seen or looked at this from a process creation perspective?  The .pub files are OLE compound "structured storage" files, so has anyone captured information from endpoints (IRL, or via a VM) that illustrates what happens when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files are launched?

For detection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files within an acquired image, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some really good Python tools available that are good for generally parsing OLE files.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's Didier's oledump.py, as well as decalage/oletools.  I really like oledump.py, and have tried using it for various testing purposes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, usually using files eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r from actual cases (after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact), or test documents downloaded from public sources.

while back I wrote some code (i.e., wmd.pl) specifically to parse OLE structured storage files, so I modified that code to essentially recurse through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OLE file structure, and when getting to a stream, simply dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stream to STDOUT in a hex-dump format.  However, as I'm digging through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's some interesting information available embedded within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file structure itself.  So, while I'm using Didier's oledump.py as a comparison for testing, I'm not entirely interested in replicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great work that he's done already, as much as I'm looking for new things to pull out, and new ways to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information, such as pulling out date information (for possible inclusion in a timeline, or inclusion in threat intelligence), etc.

So I downloaded a sample found on VirusTotal, and renamed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local copy to be more inline with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file that was submitted to VT.

Here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of oledump.py, when run across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downloaded file:

Oledump.py output



















Now, here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output from ole2.pl, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current iteration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OLE parsing tool that I'm working on, when run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same file:

Ole2.pl output



















As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are more than a few differences in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outputs, but that doesn't mean that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's anything wrong with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool.  In fact, it's quite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite.  Oledump.py uses a different technique for tracking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various streams in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file; ole2.pl uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 designators from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file itself.

The output of ole2.pl has 5 columns:
- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stream designator (from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file itself)
- a tuple that tells me:
   - is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stream a "file" (F) or a "directory" (D)
   - if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stream contains a macro
   - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "type" (from here); basically, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property a PropertySet?
- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date (OLE VT_DATE format is explained here)

Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason I wrote this script was to see which sections within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OLE file structure had dates associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, as perhaps that information can be used as part of building cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat intel picture of an incident.  The script has embedded code to display cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streams in a hex-dump format; I've disabled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code as I'm considering adding options for selecting specific streams to dump.

Both tools use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same technique for determining if macros exist in a stream (something I found at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VBA_Tools site).

One thing I haven't done is added code to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "trash" (described here) within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format.  I'm not entirely sure how useful something like this would be, but hey, it may be something worth looking at.  There are still more capabilities I'm planning to add to this tool, because what I'm looking at is digging into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format itself in order to see if I can develop indicators, which can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be clustered with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r indicators.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of .pub file attachments has been seen by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (ex: MyOnlineSecurity) being delivered via specific emails.  At this point, we have things such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sender address, email content, name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment, etc.  Still ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (ex: MoradLabs) have shared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of dynamic analysis; in this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 embedded macro launching bitsadmin.exe with specific parameters.  Including attachment "tooling" may help provide additional insight into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of this tactic by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

Something else I haven't implemented (yet) is extracting and displaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macros.  According to this site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macros are compressed, and I have yet to find anything that will let me easily extract and decompress a macro from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stream in which its embedded, using Perl.  Didier has done it in Python, so perhaps that's something I'll leave to his tool.

Threat Intel
I read this racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fascinating Cisco Continuum article recently, and I have to say, I'm still trying to digest it.  Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason for this is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author says some things I agree with, but I need to go back and make sure I understand what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're saying, as I might be agreeing while at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time misunderstanding what's being said.

A big take-away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article was:

Where a team like Cisco’s Talos and products like AMP or SourceFire really has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantage, Reid said, is in automating a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se processes for customers and applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to security products that customers are already using. That’s where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of threat intelligence, cybersecurity products and strategies are headed.

Regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team or products, where we seem to be now is that processes are being automated and applied to devices and systems that clients are already using, in many cases because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company sold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices, as part of a service.

Saturday, September 03, 2016

Updates

Registry Settings
Microsoft TechNet had a blog post recently regarding malware setting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IE proxy settings by modifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "AutoConfigURL" value.  That value sounded pretty familiar, so I did a quick search of my local repository of plugins:

C:\Perl\rr\plugins>findstr /C:"autoconfigurl" /i *.pl

I came up with one plugin, ie_settings.pl, that contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value name, and specifically contained this line:

ie_settings.pl:#  20130328 - added "AutoConfigURL" value info

Pretty fascinating to have an entry added to a plugin 3 1/2 years ago still be of value today.

Speaking of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, I saw a tweet recently indicating that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks at Volatility had updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 svcscan module to retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service setting for what happens when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 services fails to start.  This is pretty interesting...I haven't seen this value having been set or used during an engagement.  However, I am curious...what Windows Event Log record is generated when a service fails to start?  Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re more than one?  According to Microsoft, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of event IDs related to service failures of various types.  The question is, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re one (or two) in particular that I should look for, with respect to this Registry value? For example, if I were creating a timeline of system activity and included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Event Log, which event IDs (likely from source "Service Control Manager") would I be most interested in, in this case?

Outlook Rulez
Jamie (@gleeda) recently RT'd an interesting tweet from MWR Labs regarding a tool that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd created to set malicious Outlook rules for persistence.

I was going to say, "hey, this is pretty fascinating...", but I can't.  Here's why...SilentBreak Security talked about malicious Outlook rules, as have ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.  In fact, if you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MWRLabs blog post, you'll see that this is something that's been talked about and demonstrated going back as far as 2008...and that's just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publicly available stuff.

Imagine compromising an infrastructure and leaving something in place that you could control via a text message or email.  Well, many admins would look at this and think, "well, yeah, but you need this level of access, and you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n have to have this..."...well, now it's just in a single .exe file, and can be achieved with command line access.

I know, this isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to do this...and apparently, it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only tool available to do it, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  However, it does represent a means for retaining access to a high-value infrastructure, even following eviction/eradication.  Imagine working very hard (and very long hours) to scope, contain, and clean up after a breach, only to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary return, seemingly at will.  And to make matters even more difficult, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command used could easily include a sleep() function, so it's even harder to tie back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 return to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure to a specific event without knowing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule exists.

Webshells
Doing threat hunting and threat response, I see web shells being used now and again.  I've seen web shells as part of a legacy breach that predated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one we were investigating, and I've seen infrastructures rife with web shells.  I've seen a web shell used internally within an infrastructure to move laterally (yeah, no idea about that one, as to "why"...), and I've seen where an employee would regularly find and remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web shell but not do an RCA and remediate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method used to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web shell on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system; as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability persists, so does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

I caught this pretty fascinating description of a new variant of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 China Chopper web shell, called "CKnife", recently.  I have to wonder, has anyone else seen this, and if so, do you know what it "looks like" if you're monitoring process creation events (via Carbon Black, Sysmon, etc.) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system?

Tool Testing
Eric Zimmerman recently shared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of some pretty extensive tool testing via his blog, and appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Lunch with David and Matt, to discuss his testing.  I applaud and greatly appreciate Eric's efforts in putting this togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r...it was clearly a great deal of work to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests up, run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

I am, however, one of those folks who won't find a great deal of value in all of that work.  I can't say that I've done, or needed to do, a keyword search in a long time.  When I have had to perform a keyword search, or file carving, I tend to leave long running tasks such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se for after-hours work, so if it finishes in 6 1/2 hrs, or 8 hrs, really isn't too big a deal for me.

A great deal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work that I do involves creating timelines of all sizes (Mari recently gave a talk on creating mini-timelines at HTCIA).  I've created timelines from just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Event Log, to using metadata from multiple sources (file system, Windows Event Logs, Registry, etc.) from within an image.  If I need to illustrate how and when a user account was used to log into a system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n download and view image files, I don't need a full commercial suite to do this...and a keyword search isn't going to give me any thing of value.

That's not to say that I haven't looked for specific strings.  However, when I do, I tend to take a targeted approach, extracting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data source (pagefile, unallocated space, etc.) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, running strings, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n searching for specific items (strings, substrings, etc.) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output.

Again...and don't misunderstand...I think that what Eric did was some really great work.  He would not have done it if it wasn't of significant value to him, and I have no doubt in my mind that he shared it because it will have significant value to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.  

Sunday, August 28, 2016

Links and Updates

Corporate Blogs
Two cool things about my day job is that I see cool things, and get to share some of what is seen through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecureWorks corporate blog.  Most of my day job can be described as DFIR and threat hunting, and all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff that goes into doing those things.  We see some pretty fascinating things and it's really awesome that we get to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Some really good examples of stuff that our team has seen can be found here, thanks to Phil. Now and again, we see stuff and someone will write up a corporate blog post to share what we saw.  For example, here's an instance where we saw an adversary create and attempt to access a new virtual machine.  Fortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new VM was created on a system that was itself a VM...so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new VM couldn't be launched.

In anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example, we saw an adversary launch an encoded and compressed PowerShell script via a web shell, in order to collect SQL system identifiers and credentials.  The adversary had limited privileges and access via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web shell (it wasn't running with System level privileges), but may have been able to use native tools to run commands at elevated privileges on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database servers.

Some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r really good blog posts include (but are not limited to):
A Novel WMI Persistence Implementation
The Continuing Evolution of Samas Ransomware (I really like this one...)
Ransomware Deployed by Adversary with Established Foothold
Ransomware as a Distraction

VSCs
I watched Ryan Nolette's BSidesBoston2016 presentation recently, in part because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title and description caught my attention.  However, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation, I was mystified by a couple of things, but some research and asking some questions cleared it up.  Ryan's presentation was based on a ransomware sample that had been discussed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cb blog on 3 Aug 2015...so by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSides presentation went on, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post was almost a year old.

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation, Ryan talked about bad guys using vshadow.exe (I found binaries here) to create a persistent shadow copy, mounting that copy (via mklink.exe), copying malware to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mounted VSC and executing it, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n deleting all VSCs.  Ryan said that after all of that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware was still running.  However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation wasn't quite right...if you want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real process, you need to look at this Cb blog post from 5 Aug 2015.

This is a pretty interesting technique, and given that it was discussed last year (it was likely utilized and observed prior to that) it makes me wonder if perhaps I've missed it in my own investigations...which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n got me to thinking, how would I find this during a DFIR investigation?  Ryan was pretty clear as to how he uses Cb to detect this sort of activity, but not all endpoint tools have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same capabilities as Cb.  I'll have to look into some furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r testing to see about how to detect this sort of activity through analysis of an acquired image.

Saturday, August 13, 2016

LANDesk in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry

LANDesk in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry
Some of my co-workers recently became aware of information maintained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Registry by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LANDesk softmon utility, which is pretty fascinating when you look at it.  The previously-linked post states that, "LANDesk Softmon.exe monitors application execution..."...so not just installed applications, or just services, but application execution.  The post goes on to state:

Unfortunately, if an application is no longer available cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage information still lives on in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry.

This goes back to what I've said before about indicators on Windows systems, particularly within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, persisting beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deletion or removal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application, which is pretty awesome.

The softmon utility maintains some basic information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executed apps within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive, with subkeys named for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app.  The path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys in question is:

HKLM\SOFTWARE\[Wow6432Node]\LANDesk\ManagementSuite\WinClient\SoftwareMonitoring\
      MonitorLog\<path to executed app>

Information maintained within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following values:
  • Current User
  • First Started
  • Last Started
  • Last Duration
  • Total Duration
  • Total Runs
This site provides information regarding how to decode some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above values; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "First Started" and "Last Started" values are FILETIME objects, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore pretty trivial to parse.

This information isn't nearly as comprehensive as something like Sysmon, of course, but it's much better than nothing.

Sysforensics posted a LANDesk Registry Entry Parser script on GitHub, about 2 yrs ago.  Don Weber wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original landesk.pl RegRipper plugin back in 2009, and I made some updates to it in 2013.  There's also a landesk_tln.pl plugin that incorporates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data into a timeline.

Wednesday, August 10, 2016

Links

Data Exfil
A question that analysts get from time to time is "was any data exfiltrated from this system?"  Sometimes, this can be easy to determine; for example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromised system had a web server running (and was accessible from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Interwebs), you might find indications of GET requests for unusual files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server logs.  You would usually expect to find something like this if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy archived whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd collected, moved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive(s) into a web folder, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n issued a GET request to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir local system.  In many cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n deleted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive.  With no instrumentation on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only place you will find any indication of this activity is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server logs.

However, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, definitive determination of data exfiltration is almost impossible without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate instrumentation; eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r having a packet sniffer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transfer, or appropriate endpoint agent monitoring process creation events (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Endpoints section below) in order to catch/record command lines.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of endpoint monitoring, you'd likely see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of an archiving tool, and little else until you moved to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server logs (given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above example).

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r area to look is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Background Intelligent Transfer Service, or "BITS".  SecureWorks has a very interesting blog post that illustrates one way that this native Windows service has been abused.  I highly suggest that if you're doing any kind of DFIR or threat hunting work, you do a good, solid read of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecureWorks blog post.

I am not aware of any publicly-available tools for parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BITS qmgr0.dat or qmgr1.dat files, but you can use 'strings' to locate information of interest, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use a hex editor from that point in order to get more specific information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of transfer (upload, download) that may have taken place, and it's status.  Also, be sure to keep an eye on those Windows Event Logs, as well.

Finding Bad
Jack Crook recently started a new blog, Finding Bad, covering DFIR and threat hunting topics.  As

Jack's most recent post on hunting for lateral movement is a good start, but IMHO, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference in artifacts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source vs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination system during lateral movement needs to be clearly delineated.  Yeah, I know...it may be pedantic, but from my perspective, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is actually a pretty huge difference, and that difference needs to be understood, for no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reason that because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts on each system are different.

Endpoints
Adam recently posted a spreadsheet of various endpoint solutions that are available...it's interesting to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison.  Having detailed knowledge of one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listed solutions does a level set with respect to my expectations regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

MAC Addresses in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry
I recently received a question from a friend regarding MAC addresses being stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry.  It turns out, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are places where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC address of a system is "stored" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, just not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way you might think.  For example, running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mountdev2.pl RegRipper plugin, we see (at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output) something like this:

Unique MAC Addresses:
80:6E:6F:6E:69:63

I should also point out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macaddr.pl plugin, which is about 8 yrs old at this point, also might provide some information.

Registry Findings - 2012
The MAC Daddy - circa 2007

EventMonkey
I ran across EventMonkey (wiki here) recently, which is a Python-based event processing utility.  What does that mean?  Well, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wiki, that means "A multiprocessing utility that processes Windows event logs and stores into SQLite database with an option to send records to Elastic for indexing."  Cool.

This definitely seems like an interesting tool for DFIR analysts.  Something else that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool reportedly does is process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JSON output from Willi's EVTXtract.

Presentations
As I've mentioned before, later this month I'll be presenting at ArchC0N, discussing some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misconceptions of ransomware.  I ran across an interesting blog post recently regarding, Fixing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Culture of Infosec Presentations.  I can't say that I fully agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, nor with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of blog post.  IMHO, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identified "culture" is from too narrow a sample of conferences...it's unclear as to which "infosec conferences" this discussion applies.

I will say this...I stopped attending some conferences a while back because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were populated with speakers.  Big-named, headliner speakers were simply given a time slot, and in some cases, did not even prepare a talk.  I remember one such speaker using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir time slot to talk about wicca.

At one point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author refers to a particular presenter who simply reads an essay that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've written; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author goes on to say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y prefer that.  What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point?  If you write an essay, and it's available online, why spend your time reading it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience is (or should be) fully capable of reading it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves?

There's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r statement made in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post that I wanted to comment on...

We have a force field up that only allows like .1% of our community to get on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage, and that’s hurting all of us. It’s hurting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who are too afraid to present. It’s hurting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference attendees. And it’s hurting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conferences cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re only seeing a fraction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great content that’s out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

I completely agree that we're missing a lot of great content, but I do not agree that "we have put up a force field"; or, perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to look at it is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 force field is self-inflicted.  I have seen some really good presentations out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one thing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all have in common is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker is comfortable with public speaking.  I say "self-inflicted" because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are also a lot of people in this field who are not only afraid to create a presentation and speak, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're also afraid to ask questions, or offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own opinion on a topic.

What I've tried to do when presenting is to interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience, to solicit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir input and engage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  After all, being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker doesn't mean that I know everything...I can't possibly know or have seen as much as all of us put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preconceptions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience, why not ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m?  Admittedly, I will sometimes ask a question, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only sound in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room is me breathing into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mic...but after a few minutes folks tend to start loosing up a bit, and in many cases,  a pretty good interactive discussion ensues.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, we all walk away with something.

I also do not believe that "infosec presentations" need to be limited to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r narrow spectrum described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post.  Attack, defend, or a tool for doing eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one.  There is so much more than that out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re and available.  How about something new that you've seen (okay, maybe that would part of "defend"), or a new way of looking at something you've seen?  Want a good example?  Take a look at Kevin Strickland's blog post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evolution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samas Ransomware.  At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where he wrote that blog post, SecureWorks (full disclosure, Kevin and I are both employed by SecureWorks) had seen several Samas ransomware cases; Kevin chose to look at what we'd all seen from a different perspective.

There are conferences that have already gone to taking at least some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last time I attended a SANS360 presentation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were 10 speakers, each with 6 minutes to present.  Some timed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir presentations down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs seemed to completely ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6 minute limit on presentations.  Even so, it was great to see a speaker literally remove all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fluff and focus on one specific topic, and get that across.

Sunday, July 17, 2016

Updates

Book Update
I recently and quite literally stumbled across an image online that was provided as part of a challenge, involving a compromised system.  I contacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author, as well as discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of updating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book with my tech editor, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of both conversations is that I will be extending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book with an additional chapter.  This image is from a Windows 2008 web server that had been "compromised", and I thought it would be great to add this to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 types of "cases" that were already being covered in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.

RDP Bitmap Cache Parser
I ran across this French web site recently, and after having Google translate it for me, got a bit better view into what went into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RDP bitmap cache parsing tool. This is a pretty fascinating idea; I know that I've run across a number of cases involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of RDP, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by an intruder or a malicious insider, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could have been valuable clues left behind in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bitmap cache file.

Pancake Viewer
I learned from David Dym recently that Matt (works with David Cowen) is working on something called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "pancake viewer", which is as DFVFS-backed image viewer using wxPython for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI.  This looks like a fascinating project, and something that will likely have considerable use, particularly as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "future functionality" is added.


Web Shells
Web shells are nothing new; here is a Security Disclosures blog post regarding web shells from 3 years ago.  What's "new" is what is has recently been shared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic of web shells.

This DFIR.IT blog post provides some references (at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post) where ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r firms have discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of web shells, and this post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecureWorks site provides insight as to how a web shell was used as a mechanism to deploy ransomware.

This DFIR.IT blog post (#3 in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 series) provides a review of tools used to detect web shells.

A useful resource for Yara rules used to detect web shells includes this one by 1aNOrmus.





Wednesday, July 06, 2016

Updates and Stuff

Registry Analysis
I received a question recently, asking if it were possible to manipulate Registry key LastWrite time stamps in a manner similar to file system time stomping.  Page 30 of Windows Registry Forensics addresses this; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a Warning sidebar on that page that refers to SetRegTime, which directly answers this question.

The second part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question was asking if I'd ever seen this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild, and to this point, I haven't.  Then I thought to myself, how would I identify or confirm this?   I think one way would be to make use of historical data within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image; let's say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key in question is available within Software hive, with a LastWrite time of 6 months prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image being acquired.  I'd start by examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegBack folder, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hives within any available VSCs.  So, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key has a LastWrite time of 6 months ago, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegBack folder was created 4 days ago and does NOT include any indication of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key existing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you might have an issue where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key was created and time stomped.

Powershell Logging
I personally don't use Powershell (much, yet), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been times when I've been investigating a Windows system and found some entries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Powershell Event Log that do little more than tell me that something happened.  While conducting analysis, I have no idea if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of Powershell is pervasive throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, if it's something one or two admins prefer to use, or if it was used by an attacker...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limited information available by default doesn't give me much of a view into what happened on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

The good news is that we can fix this; FireEye provides some valuable instructions for enabling a much greater level of visibility within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Event Log regarding activity that may have occurred via Powershell.  This Powershell Logging Cheat Sheet provides an easy reference for enabling a lot of FireEye's recommendations.

So, what does this mean to an incident responder?

Well, if you're investigating Powershell-based attacks, it can be extremely valuable, IF Powershell has been updated and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logging configured. If you're a responder in an FTE position, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n definitely push for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate updates to systems, be it upgrading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Powershell installed, or upgrading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.  When dealing with an attack, visibility is everything...you don't want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker moving through an obvious blind spot.

This is also really valuable for testing purposes; set up your VM, upgrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Powershell and configure logging, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n go about testing various attacks; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FireEye instructions mentioned above refer to Mimikatz.

Powershell PSReadLine Module
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that's "new" to Windows 10 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incorporation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PSReadLine module into Powershell v5.0, which provides a configurable command history (similar to a bash_history file).  Once everything's up and running correctly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history file is found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile at C:\Users\user\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt.

For versions of Windows prior to 10, you can update Powershell and install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module.

This is something else I'd definitely upgrade, configure and enable in a testing environment.

CLI Tools
As someone who's written a number of CLI tools in Perl, I found this presentation by Brad Lhotsky to be pretty interesting.

Tool Listing
Speaking of tools, I recently ran across this listing of tools, and what caught my attention wasn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listing itself as much as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format.  I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Explorer-style listing that lets you click to see what tools are listed...pretty slick.

Ransomware
I was doing some preparation for a talking I'm giving at ArchC0N in August, and was checking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MMPC site.  The first thing I noticed was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right-hand side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page had 10 new malware families identified, 6 of which were ransomware.

My talk at ArchC0N is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misconceptions of ransomware, something we saw early on in Feb and March of this year, but continue to see even now.  In an attempt to get something interesting out on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic, a number of media sites were eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r adding content to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir articles that had little to do with what was actually happening at a site infected with ransomware, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were simply parroting what someone else had said.  This has let to a great deal of confusion as infection vectors for ransomware in general, as well as what occurred during specific incidents.

More on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry...
With respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re're more misconceptions that continue unabated, particularly from Microsoft.  For example, take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ThreatFin ransomware, which states:

It can create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following registry entries to ensure it runs each time you start your PC:

The write-up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n goes on to identify values added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run key within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HKCU hive.  However, this doesn't cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to run each time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is started, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r when that user logs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.