Wednesday, January 30, 2019

RegRipper

I recently tweeted that, as far as I'm aware, Nuix's Workstation/Investigator product is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only commercial product that incorporates RegRipper, or RegRipper-like functionality.

Brian responded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tweet that both OSForensics and OpenText include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability as well. The OSForensics page states that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guide was written using RegRipper version 2.02, from May, 2011, making it really quite old. For OpenText, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page states that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EnScript for launching RegRipper had been downloaded 4955 times, but is no longer supported.  Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reference to RegRipper, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old Wordpress site, tells us that it's pretty dated.

As such, that leaves us right were we started...Nuix Workstation is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only commercial product that incorporates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of RegRipper, or some similar functionality.  Here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact sheet that talks about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extension, and here's where you can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extension itself, for free.  Finally, here's a Nuix blog post that describes not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper extension, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Yara extension (also free), as well.

Okay, full disclosure time...while I was employed at Nuix, I helped direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper extension, as well as updating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Yara extension.  I didn't do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programming...that was something provided by Daniel Berry's team.  The "two Jasons" did a fantastic job of taking my guidance and turning it into reality.  Shoutz and mad props to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Juicy Dragon and his partner in crime, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir boss (Dan).

The RegRipper extension looks at each Windows evidence item, and "knows" where to go to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry hives.  This includes knowing, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of Windows, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT and USRCLASS.DAT files are located. It will also get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache.hve file (if it's in that version of Windows), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT hives in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Service Profiles subfolders, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Default hive file within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system32\config folder.  Automatically.

And it will run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate RegRipper profiles against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hives. Automatically.

And it will incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output from RegRipper, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence item and file parsed, right back into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nuix case as a separate evidence item.  Automatically.

Let's say you have multiple images of Windows systems, all different versions.  Run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper extension against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n run your keyword searches.  This can be extremely critical, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is data within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry that is ROT-13 encoded, as well as ASCII strings that are encoded as hexadecimal character streams that various RegRipper plugins will decode, making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data available to be included in your searches.

The Yara extension is equally as powerful.  You select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path you want scanned, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you want descendants (yes, please!) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule file(s) you want included, and let it go.  All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings are included as tagged items directly back into your case.

Want to give it a shot?  Go here, and download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image from challenge #1, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server case.  Add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image file as an evidence item to a Nuix case, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper extension.  Then, use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Yara extension to run Yara rule files that look for web shells across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server folder and all descendants.  In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server folder is not C:\inetpub.

RegRipper was released almost 11 yrs ago. I've been told time and time again that a lot of people "use" it.  I have no stats, nor any real insight into this, but what it means to me is that a lot of people download it, and run it "as is" without getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full benefit from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool.

I guess I'm really amazed that in all this time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re hasn't been a concerted effort to incorporate RegRipper, or a RegRipper-like capability, directly into a commercial tool.

Tuesday, January 15, 2019

Just For Fun...

OS/2Warp running in VirtualBox
When I started graduate school in June 1994, I showed up having used Win3.1 and AOL for dial-up.  While in grad school, I began using Sparc systems running SunOS (web browser was Netscape), which is what was available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 curriculum I was in.  I also got to interact and engage with a lot of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r now-historical stuff, and over time, I've had passing feelings of sentimentality and nostalgia.

After I arrived in CA, I was shown PPP/SLIP dial-up for Windows systems, and was fascinated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration and use, mostly because now, I was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cool kids.  For a while, I dabbled with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of a dual degree (EE/CS, never committed to it) and came in pretty close contact with folks from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CS department.  As it turned out, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were more than a few folks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CS department who were interested in OS/2, including one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 professors who had a program that would sort and optimize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boot-up sequence for OS/2 so that it would load and run faster.

Also, it didn't hurt that I attended grad school was not far from Silicon Valley, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 center of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 universe for tech coolness at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time.  In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EE curriculum had a class each summer called "hot chips" where we studied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest in microprocessor technology, and corresponded with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Hot Chips" conference in San Jose.  The class was taught by Prof. F. Terman, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 son of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Fred Terman.

While I was in grad school, I was eventually introduced to OS/2.  I purchased a copy of OS/2 2.1 at Frye's Electronics (in SunnyVale, next to Weird Stuff), specifically because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box came with a sticker/coupon for $15 off of OS/2 Warp 3.0.  I enjoyed working with OS/2 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time; I could dial into my local ISP (Garlique.com at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time), connect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 school systems, and run multiple instances of MatLab programs I'd written as part of a course.  I could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r connect later and collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output, or simply have it available when I arrived at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 school. 

I had no idea at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, but for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first four months or so that I was at NPS, I walked by Gary Kildall's office almost every day.  I never did get to see CP/M in action, but anyone who's ever used MS-DOS has interacted with a shadow of what CP/M once was and was intended to be.

While I was in grad school, I had two courses in assembly language programming, both based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Motorola 68000, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 microprocessor used in Amiga systems.  I never owned an Amiga as a kid, but while I was in grad school, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was someone in a nearby town who ran a BBS based on Amiga, and after grad school, I did see an Amiga system at a church yard sale. 

While I was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Monterey/Carmel area of California, I also became peripherally aware of such oddities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech world as BeOS and NeXT.

Looking back on all this, I was active duty military at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, and could not have afforded to pull togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various bits and pieces to lay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foundation for a future museum.  Also, for anyone familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military uses to move service members between duty stations, this likely would not have survived (ah, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stories...).  However, thanks to virtualization systems such as VirtualBox, you can now pull togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a museum-on-a-hard-drive, by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual images, or collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary materials and installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m yourself.  As you can see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image in this post, I found an OS/2Warp VB image available online.  I don't do much with it, but I do remember that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browser was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first one I encountered that would let you select an image in a web page and drag it to your desktop.  At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, that was some pretty cool stuff!

Resources (links to instructions, not all include images or ISO files)
VirtualBox BeOS R5
VirtualBox Haiku (inspired by BeOS) images (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's also a Plan 9 image...just sayin'...)
NeXT in VirtualBox: NeXTSTEP, stuffjasondoes
Virtually Fun - CPM/86
VirtualBox Amiga

Wednesday, January 09, 2019

A Tale of Two Analyses

I recently shared my findings from an analysis challenge that Ali posted, and after publishing my post, found out that Adam had also shared his findings.  Looking at both posts, it's clear that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two different approaches, and as I read through Adam's findings, it occurred to me that this is an excellent example of what I've seen time and time again in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry. 

Adam and I have never met, and I know nothing at all about his background.  I only know that Adam's blog has (at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of this writing) a single post, from 2 Jan 2019.  On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, my blogging goes back to 2004, and I've been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry for over 21 years, with several years of service prior to that.  All this is intended to point out is that Adam and I each come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table with a different perspective, and given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same data, will likely approach it differently.

A good deal of my experience is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consulting arena, meaning that engagements usually start with a phone call, and in most cases, it's very likely that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks I work with weren't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to be called, and won't be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last.  Yes, I'm saying that in some cases, consumers of digital analysis services shop around.  This isn't a bad thing, it's simply meant to indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "best deal".  As such, cases are "spec'd out" based on a number of hours...not necessarily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of hours it will take to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work, but more so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of hours a customer is willing to purchase for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want done.  The nature outcome of this is that once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer's questions have been established, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst assigned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work needs to focus on answering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions.  Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, time spent pursuing off-topic issues or "rabbit holes" increases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it takes to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work, which isn't billed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer.  As such, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hourly rate drops, and it can drop to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company looses money on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work.

All of this is meant to say that without an almost pedantic focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions at hand, an analyst is going to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves not making friends; reports won't be delivered on time, additional analysts will need to be assigned to actually complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work, and someone may have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir approved vacation rescinded (I've actually seen this happen...) in order to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work done.

When I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge, my focus was on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin saw and reported.  As such, my analysis goal, before even downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge image, was to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n determine how it got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

However, I approached Ali's first question of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was hacked a little differently; I've dealt with a lot of customers in two decades who've asked how something was "hacked", and I've had to keep in mind that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term is different from mine.  For me, "hacked" refers to exploiting a vulnerability to gain access to a system, escalate privileges, and/or essentially take actions for which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and data were never intended.  I didn't go into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis assuming that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was "hacked"...I approached my analysis from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of main effort for my analysis was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin had reported, and any "hacking" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system would be within some modicum of temporal proximity to that file being created and/or modified.  As such, a timeline was in order, and this approach helped me with question #2, regarding "evidence".  In fact, creating micro-timelines or "overlays" allowed me to target my analysis.  At one point, I created a timeline of just logon events from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Event Log.  In order to prove that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator account was used to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target readme.txt file, I created micro-timelines for both user profiles, using just web browser and Registry (specifically, shellbags and RecentDocs) data.

From my overall timeline, I found when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "C:\Tools\readme.txt" file had been created, and I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n used that as a pivot point for my analysis.  This is how I arrived at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finding that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator account had been used to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file.

From my perspective, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of additional text files (i.e., within a folder on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "master" profile desktop), who created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and when, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modification to magnify.exe, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system time change all fell into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same bucket for question #4 (i.e., "anything you would like to add").  All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things fell out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r easily, but I purposely did not pursue furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysis of things such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution of magnify.exe, net.exe, and net1.exe, as I had already achieved my analysis goal.

Again, in my experience as a consultant, completing analysis work within a suitable time frame (one that allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business to achieve it's margins) hinges upon a focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stated analysis goals. 

I've seen this throughout my career...a number of years ago, I was reviewing a ransomware case as part of an incident tracking effort, and noticed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vulnerability used to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system prior to ransomware being deployed had been used previously to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and install a bitcoin miner.  As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer's questions specifically focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware, analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bitcoin miner incident hadn't been pursued.  This wasn't an issue...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst hadn't "missed" anything.  In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report that applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware issue applied equally well to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bitcoin miner incident.

A Different Perspective
It would seem, from my reading (and interpretation) of Adam's findings that his focus was more on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hack".  Early on in his post, Adam's statement of his analysis goals corresponded very closely to my understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge:

We are tasked with performing an IR investigation from a user who reported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've found a suspicious note on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system. We are given only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message (seen below) without its file path, and also no time at which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 note was left.

...and...

Since we can understand that this note was of concern to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, it is very important to start developing a time frame of before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 note was created to understand what led to this point. This will allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root cause efficiently.

Adam went on to describe analyzing shellbags artifacts, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no indication in his write-up that he'd done a side-by-side mapping of date/time stamps, with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readme.txt file to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellbag artifacts.  Shortly after that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus shifted to magnify.exe, and away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text file in question.

Adam continued with a perspective that you don't often see in write-ups or reports; not only did he look up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hash of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file on VT, but he demonstrated his hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis regarding how magnify.exe might have been used, in a virtual machine.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, however, I could not find where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "C:\Tools\readme.txt" file came to be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was clearly and directly addressed.  It may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re; I just couldn't find it.

Final Words
I did engage with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge author early this morning (9 Jan), and he shared with me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specifics of how different files (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files in a folder on one user's desktop) were created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.  I think that one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major comments I shared with Ali was that not only was this challenge representative of what I've seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, but so are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shared findings.  No two analysts come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same experience and perspectives, and left to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own devices, no two analysts will approach and solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same analysis (or challenge) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way.  But this is where documentation and sharing is most valuable; by working challenges such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r separately or togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sharing our findings publicly, we can all find a way to improve every aspect of what we do.

Monday, January 07, 2019

Mystery Hacked System

Ali was gracious enough to make several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges that he put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r for his students available online, as well as for allowing me to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first challenge in IWS.  I didn't include challenge #3, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "mystery hacked system" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, but I did recently revisit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge.  Ali said that it would be fine for me to post my findings.

As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge is pretty straightforward...an admin found a message "written on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system", and reported it.  The questions that Ali posed for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge were:
  1.  How was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system hacked?
  2. What evidence did you find that proved your hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis?
  3. How did you approach and solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case?
  4. Anything you would like to add?
Below are my responses:

Question 1
Based on what I observed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, I would say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was not, in fact, hacked.  Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it appears that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator user logged in from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 console, accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Tools folder and created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readme.txt file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message.

Question 2
I began with a visual inspection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, in order to verify that it could be opened, per SOP.  An initial view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image indicated two user profiles (Administrator, master), and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a folder named "C:\Tools".  Within that folder was a single file named "readme.txt", which contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text in question.

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I created a timeline of system activity, and started my analysis by locating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file 'C:\Tools\readme.txt' within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, and I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n pivoted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

The readme.txt file was created on 12 Dec 2015 at approx. 03:24:04 UTC.  Approx. 4 seconds later, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Automatic JumpList for Notepad within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator profile was modified; at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, UserAssist artifacts indicated that Administrator user launched Notepad.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was created, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator user was logged into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 console.  Shellbag artifacts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator account indicated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account was used to navigate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'C:\Tools' folder via Windows Explorer.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were web browser artifacts indicating that Administrator account was used to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file at 03:24:09 UTC on 12 Dec 2015, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'master' account was used to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file at 03:27:23 UTC on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same day.

Question 3
I created a timeline of system activity from several sources extracted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image; file system metadata, Windows Event Log metadata, and Registry metadata.  In a few instances, I created micro-timelines of specific data sources (i.e., login events from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Event Log, activity related to specific users) to use as "overlays" and make analysis easier.

Question 4
Not related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis goal provided were indications that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator account had been used to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Desktop\Docs folder for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'master' user and created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'readme.txt' file in that folder.

In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a pretty significant change in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system time, as indicated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Event Log:

Fri Dec 11 17:30:37 2015 Z
  EVTX     sensei            - [Time change] Microsoft-Windows-Kernel-General/1;
                                          2015-12-11T17:30:37.456000000Z,
                                          2015-12-12T03:30:35.244496800Z,1
*Time was changed TO 2015-12-11T17:30:37 FROM 2015-12-12T03:30:35

Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was some suspicious activity on 12 Dec, at 03:26:13 UTC, in that magnify.exe was executed, as indicated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation and last modification of an application prefetch file. This indicates that this may have been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first and only time that magnify.exe had been executed.

Several seconds before that, it appeared that utilman.exe had been executed, and shortly afterward, net.exe and net1.exe were executed, as well.

Concerned with "Image File Execution Option" or accessibility hijacks, I searched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, and found an indication that on 11 Dec, at approx. 19:18:54 UTC, cmd.exe had been copied to magnify.exe. This was verified by checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file version information within magnify.exe.  Utilman.exe does not appear to have been modified, nor replaced, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same appears to be true for osk.exe and sethc.exe.

Checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re do not appear to be any furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "Image File Execution Option" hijacks.

I should note that per cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution of magnify.exe occurred approx. two minutes after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message file was created.

Addendum:
After I posted this article and Ali commented, I found this blog posted by Adam which also provided a solution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge.  Adam had posted his solution on 2 Jan, so last week.  I have to say, it's great to see someone else working cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se challenges and posting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir solution.  Great job, Adam, and thanks for sharing!

Addendum, 9 Jan:
Based on a whim, I took a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN change journal, and it proved to be pretty fascinating...more so, it showed that following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net.exe/net1.exe, no files were apparently written to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system (i.e., output redirected to a file).  Very cool.

Tuesday, January 01, 2019

LNK Toolmarks, Revisted

There was a recent blog post and Twitter thread regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsing and use of weaponized LNK file metadata. Based on some of what was shared during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exchange, I got to thinking about toolmarks again, and how such files might be created.  My thinking was that perhaps some insight could be gained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format and structure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file itself.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weaponized LNK files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two campaigns appear to have valid structures, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re appear to have been no modifications to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file structure itself.  Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files contained specific structures, including a PropertyStoreDataBlock and a TrackerDataBlock.  While this may not seem particular unusual, I have seen some LNK files that do not contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se structures.  I parsed an LNK file not long ago that did not contain a TrackerDataBlock.  As such, I thought I'd look at some ways, or at least one way, to create LNK files and see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting files would "look like".

Several years ago, Adam had an excellent blog post regarding LNK hotkeys; I borrowed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VBS code (ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examples and code snippets can be found here and here), and made some minor tweaks.  For example, I pointed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target path to calc.exe, ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n moved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Desktop to a testing folder, changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file extension in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process.  Running my own parser against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting LNK file, I found that it had a valid PropertyStoreDataBlock (containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user SID), as well as a properly structured TrackerDataBlock.

These findings coincide with what I saw when running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parser against LNK files from both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2016 and 2018 APT29/Cozy Bear campaigns.

You can also use PowerShell to create shortcuts, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same API as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VBScript:
Create shortcuts in PowerShell
PowerShell script to modify an LNK file (target path)
Editing shortcuts in PowerShell

We also know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK files used in those campaigns were relatively large, much larger than a 'normal' LNK file, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logical file was extended beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file structure to include additional payloads.  These payloads were extracted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PowerShell commands embedded with in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file itself.

Felix Weyne published a blog post that discussed how to create a booby-trapped LNK file (much like those from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT29 campaigns) via PowerShell.

So, we have a start in understanding how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK files may have been created.  Let's go back and take anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.

The FireEye blog post regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent phishing campaign included an operational timeline in table 1.  From that table, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "LNK weaponized" time stamp was developed (at least in part) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last modification DOSDate time stamp for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'system32' folder shell item within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file.  What this means is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FireEye team stripped out and used as much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file metadata as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had available.  From my perspective, this is unusual because most write-ups I've seen regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of weaponized LNK files (or really, any weaponized files) tend to give only a cursory overview of or reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file before moving on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payloads. Even write-ups involving weaponized Word documents make mention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file extension, maybe give a graphic illustrating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n move on.

As described by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks at JPCERT/CC, parsing of weaponized LNK files can give us a view into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker's development environment.  The FireEye team illustrated some of that by digging into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual shell items and incorporating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 embedded DOSDate time stamps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analysis, and subsequently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational timeline cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y shared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir post.

There's a little bit (quite literally, no pun intended...) more that we can tease out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file.  The VBScript that I ran to create an LNK file on my Windows 10 test system.  Figure 1 shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "version" field (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 green box) for one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell items in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 itemIDList from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file.

Fig. 1: Excerpt from "foo" LNK file





In figure 1, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version is "0x09", which corresponds to a Windows 10 system (see section 6.5 of Joachim Metz's Windows Shell Item format specification).

Figure 2 illustrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell item version value (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red box) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approximate corresponding location in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT29 LNK file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 campaign.

Fig. 2: Excerpt from APT29 LNK file





In figure 2, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version field is "0x08", which corresponds to Windows 7 (as well as Windows 8.0, and Windows 2008).  It may not be a lot, but as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 versions of Windows continue to progress, this will have more meaning.

Finally, some things to consider about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weaponized LNK files...

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell items in both LNK files have consistent extension blocks, which may indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were created through some automated means, such as via an API, and not modified (by hand or by script) as a means of defense evasion.

So, what about that?  What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect of individual shell items, and to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire LNK file, if modifications are made?  From figure 1, I modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version value to read 0x07 instead of 0x09, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shortcut performed as expected.  Modifications to weaponized LNK files such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se will very likely affect parsers, but for those within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community who wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsers and understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file structure (along with associated shell item structures), such things are relatively straightforward to overcome (see my previous "toolmarks" blog post).

Final Words
Using "all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buffalo", and fully exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that you have available, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way that you're going to develop a full intelligence picture. Some of what was discussed in this post may not be immediately useful for, say, threat hunting within an infrastructure, but it can be used to develop a better understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 progression of techniques employed by actors, and provide a better understanding of what to hunt for.

Additional Reference Material
Joachim Metz's Windows Shell Item format specification
Link to reported bash and C versions of a tool to create LNK files on Linux