Sunday, February 24, 2019

LNK Files

Update, 28 Feb: Just a quick note...this post is not about tools.  I do not mention any tools in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content isn't about one tool being better than anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. I do mention using a hex editor, but that is simply to verify finds from whichever tool is used.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first example below, every parsing tool available would've returned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same time stamps, and I would have (and recommended) used a hex editor to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finding. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I'm writing this update, this post has been viewed 1258 times, and not one question about tools has been posted as a comment. This post is about LNK file metadata, what it means, and how it can be used in analysis. Thanks.

I know, I know...yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blog post on LNK files...yeah.  I get it.  But some new things popped up recently that I wanted to take advantage of, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ended up here.

I had an opportunity to look at several LNK files recently, and I wanted to dig a bit deeper into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir metadata.  Most available write-ups make mention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file, but tend to gloss over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file and move right to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 embedded command and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next stage download.  I wanted to take a closer look at what's in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file, because after all, this is something created within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's environment that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're sending out.  In a lot of ways, it's like free money, so why not make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best use of what you have available, and squeeze every little bit out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that you have?  Maybe it's just me, but when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary gives you something, it's hardly a "little bit".

Consider this: several years ago, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks at JPCERT/CC said that LNK files give us a view into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker's development environment; this was, and still is, a great idea, so let's see if we can not only replicate what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did (with respect to metadata extraction) but also see if we can't squeeze just a bit more out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files, and see  what we can learn about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's development environment, and maybe even see what we can learn about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK files.

Steroids
I ran across two write-ups on LNK files recently; perhaps it would be more correct to say two write-ups on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same (or very similar) LNK file.  I found this write-up at D3xt3r's Malware Lab (blog includes a hash), and this write-up on Max's blog (blog includes a link to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample).  While D3xt3r's write-up is dated 16 Feb 2019, Max's doesn't have a date as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 published material, but it does appear to have been published in Feb 2019, as well.  This is to say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're both fairly recent posts, and as such, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file itself may be fairly recent, as well.

Anyway, I wanted to take a look at a few things associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file metadata that weren't discussed in eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blog post, specifically what we could learn by going really deep in parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files.  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first things that I looked at was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell item ID list, shown below:

shitemidlist       My Computer/C:\/Windows/system32/cmd.exe
**Shell Items Details (times in UTC)**
  C:0                   M:0                   A:0                  Windows (8)
  C:0                   M:0                   A:0                  system32 (8)
  C:0                   M:0                   A:0                  cmd.exe (8)

As we can see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above output, I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell item ID list, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamps embedded within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual shell items (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation, modification, and last accessed times of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources) appear to all be zeros.  Using a hex editor, I verified this quite easily, and in fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bytes at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locations for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamps within each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell items are all zeros.  Interestingly enough, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file mentioned here also has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell item time stamps zero'd out, so this is likely not a unique finding.  However, it's unclear whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool used to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file, or of anti-forensic/obfuscation efforts taken after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file was created.

We also see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version information for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell items is "8", indicating that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform is Windows 2008, 7, or 8 (per section 6.5 here).  This gives us some additional (beyond what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JPCERT/CC folks discussed) insight into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development environment used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

Now, let's take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PropertyStoreDataBlock, shown below:

***PropertyStoreDataBlock***
GUID/ID pairs:
{46588ae2-4cbc-4338-bbfc-139326986dce}/4       
         SID: S-1-5-21-1243223150-2135741377-3118647425-500
{f29f85e0-4ff9-1068-ab91-08002b27b3d9}/6

As we can see,cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two GUID/ID pairs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first of which points to a Unicode string that is a SID.  This is fairly common, in that we not only see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUID/ID pair populated with a SID in a good number of LNK files, but we can use native tools (PowerShell, etc.) on Windows systems to create LNK files that contain this property set.  In this instance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RID points to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default Administrator account for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.  For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second property, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUID indicates that it's a Summary Information Property Set, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ID indicates that it's a comment.  Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property set itself (via a hex editor), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re don't appear to be any visible strings.

Interestingly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file does not appear to have a TrackerDataBlock, and as such, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no machine ID (system NetBIOS name) embedded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file.  Again, this is pretty easy to verify via a hex editor.

What we have so far is a pretty interesting view into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacture of this LNK file.  There are some 'normal' elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file structure that exist, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r elements that we expect to see, but have been removed.  This is only one file, so without more insight, anything regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "why" is simply speculation and assumption.  What we do know at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment is that steps were taken, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturing process or afterward, to remove elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file structure, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removal of those elements did not impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file itself.

Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 D3xt3r post also includes a link (no pun intended) to this TrendMicro post from 2017.  The TM post indicates that, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of LNK files to download malware was a "rising trend".

Cb
I also ran across this write-up from Carbon Black, dated 11 Feb 2019. The LNK file discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cb blog post contains some interesting metadata.  For example, this file happens to contain a description field, as shown below:

description        AVI

I can't say that I've often seen a description field within an LNK file that's been populated.  However, I should note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 campaign described here did have a description field of "ds7002.pdf"; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2016 campaign did not.

In addition, we can see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell item ID list (below) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell items contain time stamps, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version numbers embedded within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell items indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is a Windows 8.1 or 10 system.

shitemidlist       My Computer/C:\/Windows/System32/WindowsPowerShell/v1.0/powershell.exe
**Shell Items Details (times in UTC)**
  C:2018-04-11 21:04:34  M:2018-11-16 21:29:56  A:2018-11-16 21:29:56 Windows (9)
  C:2018-04-11 21:04:34  M:2018-11-21 17:32:02  A:2018-11-21 17:32:02 System32 (9)
  C:2018-04-11 23:38:22  M:2018-04-11 23:38:22  A:2018-06-28 23:05:46 WindowsPowerShell (9)
  C:2018-04-11 23:38:22  M:2018-06-28 23:04:20  A:2018-06-28 23:04:20 v1.0 (9)
  C:2018-04-11 23:35:28  M:2018-04-11 23:35:28  A:2018-04-11 23:35:28 powershell.exe (9)

Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PropertyStoreDataBlock (below), we see a SID, as well as anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r property.

***PropertyStoreDataBlock***
GUID/ID pairs:
{446d16b1-8dad-4870-a748-402ea43d788c}/104
{46588ae2-4cbc-4338-bbfc-139326986dce}/4       
    SID: S-1-5-21-1607665944-3235443811-1991609163-1001

Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SID, we see that in this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RID is "1001", indicating a user account was used to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file (as opposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 built-in administrator account, with a RID of 500).  In fact, we know from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RID that this was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second user account created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Looking up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r GUID, it appears to be a System.VolumeID property; I'm still looking for information on how to parse this property field.

Finally, we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TrackerDataBlock (below):

***TrackerDataBlock***
Machine ID                     : x10-slim
New Droid ID Time         : Sun Jul 29 22:57:38 2018 UTC
New Droid ID Seq Num  : 5969
New Droid    Node ID     : e8:9e:b4:3a:a3:ea
Birth Droid ID Time         : Sun Jul 29 22:57:38 2018 UTC
Birth Droid ID Seq Num  : 5969
Birth Droid Node ID        : e8:9e:b4:3a:a3:ea

As we can see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TrackerDataBlock, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NetBIOS name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system on which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file was created is "x10-slim". Looking up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC address OUI (i.e., e8:9e:b4) indicates that it belongs to "Hon Hai Precision Ind. Co.,Ltd.", which was also mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JPCERT/CC article. Through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of discussions of "toolmarks", one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topics that came up was that a common virtual machine may be used by actors; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that a VM is used is supported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OUI lookup, but something that hasn't been addressed is how common this may be.

RAT
I also ran across a Proofpoint blog post from August 2017 that was very interesting, and not just because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of Game of Thrones as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lure.  In this particular case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file was embedded within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .docx lure file

First, let's take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell item ID list (below):

shitemidlist       My Computer/C:\/WINDOWS/system32/WindowsPowerShell/v1.0/powershell.exe
**Shell Items Details (times in UTC)**
  C:2006-05-22 17:08:04  M:2007-12-06 05:29:12  A:2007-12-06 05:29:12 WINDOWS (3)
  C:2006-05-22 17:08:04  M:2007-12-04 00:44:06  A:2007-12-04 00:44:06 system32 (3)
  C:2007-09-21 00:56:32  M:2007-09-21 00:56:32  A:2007-09-21 00:56:32 WindowsPowerShell (3)
  C:2007-09-21 00:56:32  M:2007-12-03 06:20:46  A:2007-12-03 06:20:46 v1.0 (3)
  C:2009-07-13 23:49:08  M:2009-07-14 01:39:22  A:2009-07-13 23:49:08 powershell.exe (8)

In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of "3" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell items indicates a Windows XP or 2003 system.  And yes, I did catch (and verify) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version info for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final shell item ("powershell.exe") is indeed "8".  This seems to indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file was created on an older platform.

Skipping past cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encoded Powershell command, we see a couple of times of interest.  First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PropertyStoreDataBlock (below):

***PropertyStoreDataBlock***
GUID/ID pairs:
{0c570607-0396-43de-9d61-e321d7df5026}/3
{46588ae2-4cbc-4338-bbfc-139326986dce}/4       
   SID: S-1-5-21-3345294922-2424827061-887656146-1000
{dabd30ed-0043-4789-a7f8-d013a4736622}/100
{b725f130-47ef-101a-a5f1-02608c9eebac}/10
{28636aa6-953d-11d2-b5d6-00c04fd918d0}/30

Okay, this LNK file has 5 items in this data block, which is unusual in itself.  We see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SID, which as with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Carbon Black post, is for a user account.  We also see a number of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r GUID/ID pairs, as well, and I think that this may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EnableTargetMetadata flag having been set in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file.  I say this because if you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flag (here), it says:

The shell link attempts to collect target properties and store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PropertyStoreDataBlock (section 2.5.7) when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link target is set.

I'm not 100% clear on what this means, but it seems to say that target properties are stored when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file is "set".  I guess maybe anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r question to consider is, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flag specifically set, and if so, what tool or application was used to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file?

Moving on, we see that this particular LNK file has a code page value identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata, as shown below:

***ConsoleFEDataBlock***
Code page: 936

The code page is identified as "simplified Chinese", which makes sense because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign was thought to have a Chinese nexus.  However, what I have to wonder is how many times a code page is seen within LNK files.  For example, neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK files discussed here appeared to contain code pages.  I rarely see write-ups that mention LNK files that also mention a code page entry.

Is it possible that this field was modified as a "false flag" or "red herring"?  Sure.  When looking at any single metadata field with a file structure in isolation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility exists that it was modified.  We've seen evidence, just in this blog post, of eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a manufacturing process that creates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state that we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, or an "after market" process that removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missing elements from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file structure.  But what we're not seeing is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se findings in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger campaign.  Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actors creating ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "false flags"?  If so, how pervasive are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y?  Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file elements linked to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r campaigns, possibly even ones associated with different actors?

Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TrackerDataBlock contains a machine ID of "john-win764".  Used in conjunction with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SID and volume serial number (in this case, "CC9C-E694"), a VirusTotal retro-hunt might turn up ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examples of similar LNK files.

Final Thoughts
Some thoughts come to mind as a result of looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files.  First off, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a good bit of metadata that can be used to do research on campaigns, particularly through individual archives, as well as VirusTotal (re: retro-hunt).

I know some folks have said, "...yeah, but it's easy to change those fields...".  Sure, I agree to an extent, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be a 'cost' associated with that.  The Proofpoint team addressed this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir post.  However, what I'm referring to is parsing files already collected, ones that have been archived by teams following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns and collecting data, or are available from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r archival sources (VirusTotal, etc.).  If those files are tied to specific campaigns, or attributed to specific actors, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you may have something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.  Not only can you see if and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files have changed over time (like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FireEye folks did), but what if LNK files with similar metadata appear across different campaigns, and are used by different actors?  What does that tell us?

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, what this sort of analysis shows is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot going on underneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MITRE ATT&CK technique, specifically, "Initial Access, Spearphishing Attachment".  In fact, quite a few sub-techniques and even specific technical details seem to pop right out.  Just look at what we've seen so far; some LNK files are sent as attachments cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, but in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK files are embedded in a lure document.  Embedded commands differ (WMIC, Powershell, etc.), as does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of obfuscation and encoding. Some LNK files contain embedded commands with some serious obfuscation, while some contain no obfuscation whatsoever.  We could create an entire matrix just for weaponized attachments.

The JPCERT/CC article described some work done in clustering LNK files based on some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available metadata around different attacks, which was very interesting.

Additional Resources
FireEye blog post, re: FIN7 - mentions LNK "toolmarks"
PodCast with Nick Carr, discussing "toolmarks"
2018 NCSC Advisory - discusses not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of iconfilename fields in LNK files to maintain persistence across password changes, but also includes a very basic Yara rule for detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'weaponized' LNK file (I should note that none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata was shared)

Saturday, February 23, 2019

Tribe of Hacker Responses

When I shared my review of Marcus and Jennifer's Tribe of Hackers, I suggested to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was value in responding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.  In this post, I'm sharing my first swag at my own responses to Marcus's questions.

1. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one myth that you could debunk in cybersecurity, what would it be?
That it's all about technology.  There is much more to "cyber" than technology, largely because technology is designed, purchased, employed, deployed, used, and abused by people.  When it comes to software products, it's people who use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  When you're threat hunting, it's one person or team against anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  Policies are created, enforced, and abused by people.

There was an engagement that I was working with several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r team members, and we'd identified a number of systems from which we required images for analysis.  All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems were in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data center, and none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m were "easy".  Needless to say, none of us wanted to stay in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data center for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it was going to take to acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 images, so we set our processes up, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n covered EVERYTHING in tape and signage.  In some ways it was as necessary as it was ridiculous.  We did this because we knew that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology and process were sound, but that someone would likely come in and remove everything.

If you have kids, particularly ones that are grown now, you'll know one aspect of what I'm referring to.  Kids can be like a hive mind; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're all texting and on social media, and when one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finds something interesting or new in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use, within seconds, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all know it.  It doesn't matter if it's some undocumented feature in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new phone someone got, or something that allows parents to monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kid's activities through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest social media app; as soon as one knows, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all know.  If this doesn't illustrate that people are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key, I don't know what does.

2. What is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest bang-for-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-buck actions that an organization can take to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cybersecurity posture?
C- and E-suite executives, particularly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO, must take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cybersecurity posture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization seriously, and make it a priority.  And I mean, really make it a priority, not say that it is and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n go back to what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were doing..  You can't just talk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk, you have to walk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 walk.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO says that security is important, those within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company will know based on her actions, not her words.  If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see her tailgating into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 office after issuing a "no tailgating" policy, even once, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy is no longer effective.

You can hire all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "smart people" you want to help you with your security posture...a lot of organizations say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do exactly that.  "We hire smart people, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tell us what do do."  Sure, okay...but do you listen?  I know a lot of smart people who have left organizations out of frustration because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y said what needed to be done ("...we need to implement multi-factor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication on our remotely accessible resources..."), but it hasn't been done, even after events have occurred that illustrated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need.

Wrestlers and snakes know, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 head goes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 body follows.  So, make cybersecurity a business process.  Businesses have all kinds of processes, from payroll, to vendor and partner vetting, to fulfillment and customer service.  Making cybersecurity a business process makes it part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clumsy, drunk uncle that shows up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 holidays.

3. How is it that cybersecurity spending is increasing but breaches are still happening?
Spending does not equate to security.  Years ago, I responded to a customer who'd purchased three copies of ISS's RealSecure IDS product.  You're thinking, "wow, that's oddly specific...", but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact was that one copy, still in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shrinkwrap, was being used to prop open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SOC. People get hired into fancy new positions with big salaries, and are completely ineffective against embedded corporate culture.

4. Do you need a college degree or certification to be a cybersecurity professional?
Absolutely.

I say this with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 understanding that when you write your resume, as with anything else, you have to keep your audience in mind.  After all, being a "professional" implies that you're paid by someone, and in order to be paid by someone, you need to get a job.  Part of that is having a degree.  From my perspective as someone who has been a "gatekeeper" once or twice, when someone is looking to fill one position from 50 candidates, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has to be some way to trim cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, and a degree, any degree, is one way to do that.

Do you need a degree to be good at what you do?  No, not at all.  I've worked with some really exceptional practitioners who are really, really good, and I've worked with people with advanced degrees that have left me shaking my head in wonder.

5. How did you get started in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cybersecurity field, and what advice would you give to a beginner pursuing a career in cybersecurity?
I got started in "cybersecurity" back in '95, while I was in graduate school.  I asked a question that someone refused to answer.  It wasn't that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y couldn't answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y looked at me, smiled, and walked away.  Had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir answer been different, I might not be where I am today.

My advice...engage.  The "cybersecurity" field has grown to be so large as to be overwhelming. Engage with a mentor to help you narrow things down, specifically to help you determine what you want to do in this field.

One reason why I recommend engaging is that my career in cybersecurity started long before I was in cybersecurity, going back to times when I learned or did things that laid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foundation for what I do now, but even today, are not really discussed.  For example, I took public speaking in college (circa '86).  Throughout my military training, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were multiple times when I was given a limited amount of time to prepare a short "speech"; that is, learn to speak coherently on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fly, in public.  I was evaluated multiple times during training, had to use it in my job, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n when I went back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training environment, I had to evaluate ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ability to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same.

There was also a great deal that I did with respect to planning, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n executing that plan.  I found that this helped me a great deal when planning and executing assessment exercises, incident response engagements, etc.

What I'm saying is that, as is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who "grew up" in cybersecurity before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really was such a thing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a great deal that I brought with me when I moved into a field that was very much in its infancy.  A lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things are not included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 courses or programs of instruction today, but are indispensable nonecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less.  The only way folks today are going to "catch up" is to actively engage with those who have been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field for some time.

6. What is your specialty in cybersecurity? How can ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs gain expertise in your specialty?
Early on, I was doing assessment work, including war dialing. Not too long afterward, I moved into digital forensics and incident response work, and I've been doing that for quite some time.  Over a decade ago, that work started including targeted attacks, by both ecrime and nation-state actors.

I'm probably most known for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR side, particularly as it applies to Windows systems.  I've also spent some time looking at data structures within files found on Windows systems, with an eye toward using metadata to extend analysis, as well as to inform and extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat intelligence picture.

The field has grown significantly since I started, and has gotten to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where it is almost impossible to keep up.  My recommendation to anyone is to pick someplace to start...just pick one.  Look at it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way you "eat an elephant", so to speak...you do so one bite at a time.  Are you interested in malware analysis?  Start small.  Focus on something to get started...say, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PE file structure.  Learn what it is, and what it should "look like".  Build from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.  Or, you may find out that that aspect of cybersecurity is not for you.

Regardless, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is to not get overwhelmed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enormity of it all; break it down into smaller chunks and start by taking that first step.  Then take anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  Then anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

7. What is your advice for career success when it comes to getting hired, climbing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate ladder, or starting a company in cybersecurity?
Engage.  Get to know people, both in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, as well as in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fields and disciplines.

Getting to know ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field is going to have a profound impact on you.  First, it's going to help you with whatever level or degree of "imposter syndrome" with which you may have inflicted yourself.  Second, it's going to show that a lot of your assumptions about ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are, again, self-inflicted, and wild misconceptions.

Above all, actively engage.  Clicking "like" and posting pictures of your food, your pet, or your workout is not actively engaging.  It's great to have hobbies and interests outside of cybersecurity, and it's something I highly recommend; however, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 age of "social" media, I think we've really lost track of what it means to actively engage.

8. What qualities do you believe all highly successful cybersecurity professionals share?
A sense of humor, and a focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals that really matter.

Also, highly successful cybersecurity professionals understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value in documenting things.  Truly successful professionals don't hoard information or experiences, and don't hide behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "I don't remember" excuse.  There is too much that we don't know in this field to not be sharing what we do know, and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest qualities I see that truly successful professionals in this field share is sharing. 

9. What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best book or movie that can be used to illustrate cybersecurity challenges?
There are two books that come to mind; "Once an Eagle" by Anton Myrer, and "Leadership in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shadows" by Kyle Lamb.  Both are books that address leadership, but from a perspective that may be somewhat different than what you're used to.

Myrer's book is a fictional account of two officers, one who rises through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ranks by his own hard work and dedication, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r who is "born" to it.  In a lot of ways, I see a parallel between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two officers, and what we see in business today.

Lamb's book is much more practical, but no less impactful or important.  Lamb addresses and discusses leadership from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of a career working in special operations, providing lessons learned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard way.  Leaders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business world would see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir effectiveness explode if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y started following just some of what he describes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.

I know, I know, I've heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing throughout my career in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector; "...that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military, it won't work here."  The simple fact is that it will not only work, following (and living) military style leadership principles will have a profound effect not only on those around you, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business, as well.

10. What is your favorite hacker movie?
"Hackers", hands down.  I not only enjoyed it (after all, it was a movie), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some very quotable lines in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie, and when I'm giving a presentation I tend to share quotes from pop culture that, to me, are funny in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment.  Movies from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 '80s, '90s ("Hackers" is circa '94), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 later 2000s ("Deadpool") are fodder for many presentations.

11. What are your favorite books for motivation, personal development, or enjoyment?
I've always been a fan of first person perspectives of historical events, specifically first person accounts shared by military special operations personnel.  It doesn't matter if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is VietNam, Iraq, Afghanistan, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myriad smaller, undisclosed events, I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "boots on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground" perspective absolutely fascinating.  Having served in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n working in DFIR, it's interesting that in both cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "historical write-up" of an event from a macro-perspective, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual working in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trenches.  It's that worm's-eye view that is often missed.

For enjoyment, I've always leaned towards science fiction.  William Gibson and Orson Scott Card are two of my favorites.  One of William Gibson's books talked about "locative art", or digital renderings that existed in a place, dependent upon your location and which direction you were looking.  Interestingly enough, we're starting to see some of that in VR realms. Card's series of books that started with "Ender's Game" have provided me with some great reading on plane flights.

12. What is some practical cybersecurity advice you give to people at home in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 age of social media and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet of Things?
Don't.

Simply put, if you don't want your drama on social media, don't put it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

With respect to IoT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no reason why everything needs to be connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.  Baby monitors do not need to be accessible to anyone and everyone. The simple fact is, when something is made "easier", it's made easier for everyone.  If you can search for accessible security cameras online with a simple query, why would a baby monitor or your refrigerator be any different?  When technology is developed and made widely accessible, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unspoken guarantee is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no security, and you don't need to be an "expert" to understand that fact, nor to abuse it.

Vehicles have all sorts of new "safety" features built in, not to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver, but to offset and overcome all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r distractions we've put in front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver.

13. What is a life hack that you’d like to share?
Don't listen to that inner dialog that prevents you from doing something.  A while back, I was going through a very dark time in my life, and was overwhelmed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tasks I had before me.  To make things a bit worse, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were people actively working against me.  Let me be clear, this was not a perception based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negativity that I'd wrapped myself in; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se people were actively saying and doing things to make my life difficult.

However, in one moment of clarity, I had an epiphany.  I realized that if I broke cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mountain in front of me down into management, compartmentalized components, I ended up saying to myself, "wait a minute...hundreds of people do each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things every day, and do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m successfully".  Why can't I?

That moment changed everything for me.

14. What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest mistake you’ve ever made, and how did you recover from it?
Biggest?  Wow, where to begin?  I've made so many mistakes over my career that it's hard to pick just one. I've misplaced dongles.  I've said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong thing or reacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong way in front of a customer.  I've had a small error in a script snowball into a much bigger mistake in my findings.

You can recover from mistakes, and if what we see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news media on a regular basis is any indication, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is only one way to do so.  Own up.  Accept responsibility, and learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mistake.

One thing that I try very hard to do is recognize when I've made a mistake early on, own it, and most importantly, inform my boss as soon as possible.  Did you get a call from a customer, get on a late fly and fly all night (at considerable expense) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n miss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting because you overslept?  Bite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bullet, and tell your manager first.  Don't make excuses.  Yes, your manager will be upset, but not nearly as upset as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would be if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were hearing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer.

Mistakes are like breaches; you have to accept that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're going to happen. It's what you do about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that matters.  Own up, and learn from your mistakes.  Also, take every opportunity to learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mistakes of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, not just by passively following someone, but by actively engaging with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  I guarantee you that if you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to sit down with someone and engage over a beer, at some point, you'll find out what mistakes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y learned from.

Note that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have taken up this mantle, as well.  For example, Mark Kelly shared his responses on LinkedIn.

Friday, February 22, 2019

Aperture

If you follow me on Twitter or LinkedIn, you will very likely have seen me mention "aperture" more than a few times.  My use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term has been in reference to digital analysis work (DFIR), as well as to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 production and use of threat intelligence, particularly pursuant to, or with respect to, DFIR work.

What is "aperture"?  What am I referring to when I say, "aperture"? A definition I found online states that an aperture is "a space through which light passes in an optical or photographic instrument". In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context that I'm using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "space" is a lens shaped and polished by our own individual experiences, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "light" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that we have available.  How we interpret an event is based on what we know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data), applied to and filtered through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lens our own experiences.

To illustrate "aperture" by example, most of my background has been in DFIR work.  As a consultant, I was usually deployed after (sometimes quite a while after...) a breach had occurred, and I usually had host-based data with which to work.  The data that I did have available was heavily dependent upon a number of factors, including (but not limited to) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS, how long it had been since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual breach had occurred, actions admins had taken, etc.  All of this is to say that for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, I did not have access to time stamped process creation data, nor to real-time telemetry of any kind.  I may have had artifacts of files that existed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system at one time, or artifacts left behind by an application being executed, but what I did not have was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full, complete sequence of commands run by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad actor.  I may have had access to historical data of some kind (i.e., Registry data, VSCs, etc.), but for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, my aperture was limited to what was available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image.

As my career evolved into targeted threat hunting and response, my aperture widened a bit.  Sometimes, a response engagement was based on something detected through monitoring (process creation events, etc.) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer's network.  As such, we would have access to quite a bit of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious actor's activities, via endpoint telemetry collected through monitoring.  Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times, my response started by deploying an endpoint solution, which means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only historical data available prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer's call was logs and whatever was still available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoints.

However, in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r instances, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring infrastructure was not created or enabled until after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer called us.  Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 call, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring infrastructure would be deployed, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aperture was still limited; however, by deploying a sensor or agent, we were able to widen that aperture a bit.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of aperture can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 annual trend reports that we see published by security companies.  Not long ago, a friend of mine was at a company where about 90% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did was PFI work; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did a lot of payment card industry (PCI) breach investigations.  In this example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had available was predominantly based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI cases, interpreted through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis and experiences of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual analysts.

We all have our own aperture; OSINT/Intel, EDR monitoring (via a SOC or MSS function), and DFIR all have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own aperture, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific business model followed by each function, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customer base.

Consider this example...OSINT tells us that a particular threat actor or group is targeting a specific vertical.  DFIR response to an engagement may show evidence that certain documents or information was collected, archived, and exfil'd.  However, very often, actors will encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archives with a password, so while we may be able to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exfil mechanism (place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files on a web server, download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with a normal "GET" request, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...), we may not be able to open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files to see exactly what was taken.  Having an EDR solution in place will show us a great deal about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actor did, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y went within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y took, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y used to encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archives.

So what?  Why, or how, is aperture important?

For one, we have to acknowledge that we may not have a complete view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident or intrusion.  For example, if you're developing a "profile" of a threat group based on OSINT, which may include public reporting produced by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, you're going to have a much different view than that intrusion being actively monitored through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of EDR technology.  The same is true for an after-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-fact DFIR engagement, particular one that did not benefit from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of EDR technology (actor is long gone...).

Aperture is also important to keep in mind when we're viewing available information, such as blog posts, reports, etc.  Some are very clear on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aperture; "..we saw this once, on one customer's infrastructure..."; here's a great example from Carbon Black.  With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 annual reports that company's publish, we have to keep aperture in mind, as well.  For example, a number of years ago, a friend of mind worked at a company where a majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did was PFI response investigations; keeping that in mind, what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y shared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir annual report was cast in a different light.  In that sense, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report clearly didn't cover even a small minority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available connected systems, and those engagements that were discussed were, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, somewhat specific.

As we engage and develop our understanding, this is something to keep in mind. 

Thursday, February 07, 2019

Review: Tribe of Hackers

I'm not a hacker.  Yes, I'm intensely curious about technology, and in particular, computing.  However, I don't consider myself a "hacker", in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term began to be used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid- to late-'90s.  That is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term was co-opted by marketing teams and became somewhat equivalent to "pen tester", and even began to be distinguished by prepending it with "ethical".  No, I've been on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense/investigation side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infosec community for most of my career. But I still downloaed a copy of Marcus and Jennifer's book, Tribe of Hackerscá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day and so far it's been an enjoyable and extremely insightful read. 

First, let me say that I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that Marcus found something that impacted him while reading anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book (Tribe of Mentors) and wanted to replicate that himself.  I did something similar in my book, Windows Forensics and Incident Recovery; in chapter 6, I tried to replicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodology for developing and building a process, based on The Defense of Duffers Drift, originally written by MajGen Swinton in 1904.  This book was required reading during my initial training as an officer in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States military, and I still remembered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach years later when I wrote my book.  I mention this because this is something Marcus states on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first page of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book; as such, it's one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first things I read, and it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing that really resonated with me.  So here, I feel as if I already have a connection with Marcus, in that 15 years later, his approach validates my thought process.

Before I continue, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's something I wanted to get out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way.  Yes, I read more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction (much more), and as such, I recommend that not only do you read this book, but that you also strongly consider taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions posed yourself, and perhaps even take a step beyond that and share your responses.  You can do this through a blog post, or take it one question at a time on LinkedIn, or simply use whichever medium with which you're comfortable.  I'm positive that not only will you find something in this book that resonates with you, someone with whom you connect, but if you share your responses to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions posed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, you'll connect with someone else, as well.

Next, I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book well-formatted and well-structured.  Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach is one of structured repetition, but in some ways, I think that's a good thing.  It gives a format to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than just a free-form flow of disparate ideas.  I've seen what happens in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, particularly at security conferences, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no structure and "famous" people are given a time slot and an open mic.  Hint: it doesn't go well.  The format used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book lets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader do something of an "apples-to-apples" comparison between respondents, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y each answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same questions, albeit in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own way.

The book does not contain technical content, per se.  It's content is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 views, opinions, experiences, reflections, and back-stories of those who responded.  If you're somewhat experienced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security field (say, 5 years, or more), you'll find a good bit of validation in what you've been thinking in this book. If you're new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, I really think that this will open a door for you.  The first thing most people will really see when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y flip through this book is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pictures.  The idea of adding pictures of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respondents humanizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir words; pretty much anyone who picks up this book is going to see someone who looks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  This cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n gets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to take a step furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words; given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breadth of respondents, you're more than likely going to find someone in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book with whom you share a common background.

I don't recognize most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 70 names in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table of contents; of those I do recognize, I've never met cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in person, face-to-face.  We may have seen each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r at a conference, in passing, but beyond that, I do not profess to "know" any of those who shared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir background and insight.  But that doesn't mean that I don't find value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir words. 

This book can also presents challenges for those new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry; in several instances, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations include "keeping up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest things in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry".  In this day and age, that's almost impossible.  Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backgrounds of many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respondents, someone new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, or looking to move into this sort of work, may find it intimidating.  Remember, many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respondents have been around for a while, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had to start somewhere.  Many, like me, started well before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was classes or courses of instruction available in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir areas of expertise.  Some may have seen a need and moved to fill it, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs picked a direction and began cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of building knowledge in that particular area.  In short, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all started somewhere, so don't let that intimidate you.  Don't look at what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've achieved and think, "oh, I'll never be as good, as smart, or as capable as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are..."; instead, take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step.  Don't look at where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are now as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story, consider where and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y started out and consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 journey. 

At this point, I have not read every chapter of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book; I'm still working through it.  Sometimes I'll open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF and read for a while, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times I'll pick out a name and just read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir responses.  However, I wanted to share my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book now, because I knew that if I forced myself to wait until I finished cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, I might never write my thoughts down. 

Interestingly enough, with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different backgrounds and beginnings described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, so far, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's one common cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me I've picked up on...people.  In short, if you isolate yourself in this industry, you're obviating your ability to grow and progress, regardless of where you want to go.  However, if you actively engage and develop those "soft skills" that are referred to more than once throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key to growth and progression.  This is not a purely technical profession; at some point, you're going to have to engage with someone, be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y a team member, manager, or customer.  In many cases, you're going to have to harness all of your technical capabilities and communicate with someone who's not technical at all, be it through reporting, a presentation, or just talking. 

This cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me continues to manifest itself, even from a technical perspective.  If you're into pen testing or web app testing, "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Googles" are only going to get you so far.  However, actively engaging with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs is a force multiplier; more often than not, I know I've come away from a conversation with even just one person where we've actively engaged and come up with something much greater than we each could have on our own.  And we see this repeated time and again throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  Many (and when I finish reading all 70 chapters, I'm sure I'll be saying "all"...) of chapters include testimonies where active engagement with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs has made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference.

What does this book get me that I couldn't get someplace else?
This book provides something of an inside view into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 considered thoughts of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, those who have gone before and in some cases, laid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 groundwork and foundations for where we are today.  You only get so much from presentations or media sound bites; this book provides a deep dive into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minds of some who are not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media presence or notoriety. 

Kudos to Marcus and Jennifer, and to all of those who were involved in this book.  Thank you so much for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time and effort you put into it.  Interestingly enough, I see this as just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition; in as short a time as two years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could be anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 70 or 100 respondents, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n at five years, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 100 more; by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respondents will be including, "...when I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition..." in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir words.  Great work, folks!

Monday, February 04, 2019

Data Points And Analysis

In DFIR and "threat intel" analysis, very often individual data points are dismissed out of hand, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are thought to be easily mutable.  We see it all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, don't we? We find a data point, and instead of just adding it to our picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, instead, we ask, "Hey, what about this...?".  Very often, we hear in response, "...hackers change that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time...", so we drop it.

Why do we do this?  Why do we not include "easily mutable" artifacts in our analysis?

A common example of this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PE compile time, a time stamp value added to an executable file during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compilation process.  I'm not an expert in compilers or linkers, but this time stamp value is understood throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community to be easily mutable; that is, it doesn't "cost" an adversary much to change this value.  Many of us have seen where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PE compile time value, when converted, indicates that file was compiled in 1980, or possibly even a date in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.  This value is thought to be easily mutable precisely because many of us have eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r seen it changed, or have actually changed it ourselves.  A consequence of this is that when someone brings up, "...hey, this time stamp value says...", we may be immediately met with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value itself being dismissed out of hand.

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be considerable value in including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se values in our corpus of viable, relevant data points. What I mean is, just because a value is understood to be easily mutable, what if it wasn't changed?  Why are we not including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se values in our analysis because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could be changed, without checking to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had been changed?

Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FireEye blog post from Nov 2018 regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT29/Cozy Bear phishing campaign; table 1 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article illustrates an "operational timeline", which is a great idea.  The fourth row in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table illustrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time at which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file is thought to have been weaponized; this is a time stamp stored in a shell item, as an MS-DOS date/time value.  The specific value is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last modification time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "system32" folder, and if you know enough about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format of LNK files, it's not hard at all to modify this time value, so it could be considered "easily mutable".  For example, open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file in binary mode, go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location/offset with in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, and overwrite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16-bit value with 0's.  Boom.  You don't even have to mess with issues of endianness, just write 0's and be done with it.

However, in this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FireEye folks included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir corpus, and found that it had significant value.

Something else you'll hear very often is, "...yeah, we see that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time...".  Okay, great...so why dismiss it?  Sure, you see it all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, but in what context?  When you say that you "see it all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time", does that mean you're seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same data points across disparate campaigns?

Let's consider Windows shortcut/LNK files again.  Let's say we retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine ID from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file metadata, and we see "user-pc" again, and again, and again.  We also see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same node ID (or "MAC address") and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same volume serial number across different campaigns.  Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se campaigns all related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same threat actor group, or different adversaries?  Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way, this would tell us something, wouldn't it?

The same can be said for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file and document metadata, including that found in phishing campaign lure documents, particularly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OLE format documents.  You see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same metadata across different campaigns?  Great.  Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns attributed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same actors?

What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 embedded macros?  Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y obfuscated?  I've seen macros with no obfuscation at all, and I've seen macros with four or five levels of obfuscation, each level being completely different (i.e., base64 encoding, character encoding, differences in string concatenation, etc.).

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se can be useful pieces of information to build out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat intel picture.  Threat intel analysts need to know what's available, so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can ask for it if it's not present, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n utilize it and track it.  DFIR analysts need to understand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's more to answering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR questions, and a small amount of additional work can yield significant dividends down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road, particularly when shared with analysts from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r disciplines.