Sunday, April 21, 2019

LNK Files In The Wild

The FireEye folks recently shared a fascinating article regarding a spear-phishing campaign that involved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of 'weaponized' LNK files, two of which were of particular interest:

1. SPEC-10T-MK2-000-ISS-4.10-09-2018-STANDARD.pdf.lnk
MD5: ec0fb9d17ec77ad05f9a69879327e2f9

2. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Related Samples section is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r LNK file with a filename that includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ukranian word for "Conclusion"
MD5: fe198e90813c5ee1cfd95edce5241e25

It turns out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some similarities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK files, but also some odd differences.

Similarities:
Basepath, shellitemIDlist: C:\Windows\System32\mshta.exe
Description: "Type: Text Document"
Iconfilename: ".\128_2_21.docx"
Commandline: Very similar, both point to same domain, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line in LNK 1 is base64 encoded, and in LNK 2, it isn't
PropertyStoreDataBlock: both contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same SID, S-1-5-21-871675894-2481818095-1561791058-1002

Differences:
Volume SN: Volume serial numbers are different both systems
TrackerDataBlock: Both LNK files have different TrackerDataBlocks, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machineID field.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, similarities in LNK file metadata (machineID, volume serial number, MAC address) have been attributed to a single VM being shared.  So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question becomes, how do different LNK files include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same user SID, but different volume serial numbers, NetBIOS machine names, and MAC addresses?

The MAC address artifact, I get.  I can also see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iconfilename might be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same; personally, I'm a fan of re-using things that work.  The description field is entirely optional, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same between LNK files is interesting.  In and of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different values in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TrackerDataBlock (machine ID, MAC address) are not unusual, but given that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIDs are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, that is odd.  Could it be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of something like this?  If so, that's pretty darned specific.

Thoughts?

Monday, April 15, 2019

Registry Transaction Logs, pt II

My previous blog post on this topic was an initial look into what happens (i.e., changes, what 'new' data is available, etc.) when you merge Registry transaction logs into a hive.  This started out with me just looking at what tools were available for doing so, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n expanded a bit into, "oh, let's see what changes were made in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive file...".

In this post, I wanted to provide a bit more information and clarification around what I did and what I found, so that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs can more clearly see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process, and hopefully, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of pursuing this sort of testing and research.

Clarification
My initial testing led to some very interesting findings, one of which was stated as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

The del.pl plugin produced some interesting results.  When I ran it against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original System hive, it pulled out a number of deleted keys and values; however, running it against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'new' (i.e., merged) hive, I got nothing.  Not one deleted key, not one deleted value.

Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumption here might be that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no deleted keys and values after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs have been merged into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive, and that would be incorrect.  The reason that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool displayed no findings on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second run (and thanks to Maxim for providing insight into this...) is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin only checks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of a free cell for indications of a deleted key or value node; it doesn't traverse and check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire cell.  This is why we have tool testing and verification, and what leads to those of us who write and use such tools to update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

So, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of clarity, merging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs into a hive file does not remove all unallocated space and deleted cells. That being said, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is significant value in running tools that check for deleted cells across both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merged hives.

Tools
For testing, I opted for using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LoneWolf scenario image, as it is readily available.  Any hives and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir corresponding transaction logs can be used, but going with a publicly available image allows for clarity and simplicity in discussions.  I opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image in FTK Imager, and extracted System hive from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system32\config folder, along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System.log1 and System.log2 transaction log files.

As to merging transaction logs into hives, I tweeted a question regarding tools used to merge hives and transaction logs. I got a response from Maxim, stating "yarp + registryFlush.py".  Once I got everything set up and running, this process ran as advertised.  I passed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary arguments to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, and ended up with four files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder:

03/27/2018  05:45 PM        12,845,056 SYSTEM
09/29/2017  04:45 AM         3,163,136 SYSTEM.LOG1
09/29/2017  04:45 AM         3,211,264 SYSTEM.LOG2
04/08/2019  04:04 PM        12,845,056 system_2019-04-08@160420

At this point, I have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'dirty' hive and transaction logs extracted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'merged' hive file.  Note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'dirty' and 'merged' hives as being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same size.

Deleted Keys/Values
I mentioned checking for deleted keys and values at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of this post; Maxim provided this advice regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "yarp-print" tool as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more accurate approach to recovering deleted keys and values.

Specifically, if you're using yarp on Windows, start by opening a command prompt, navigating to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools are located, and type:

set PYTHONIOENCODING=utf-8

Then, to parse deleted keys/values from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'dirty' hive, you can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:

yarp-print --deleted --no-recovery SYSTEM

In this case, you would used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 --no-recovery switch as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool will automatically attempt to discover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction log files.

In order to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted keys and values, incorporating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process, you'd use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command line, if you extracted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same folder as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive file:

yarp-print --deleted SYSTEM

Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 yarp tools will attempt to discover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs for you, and incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsing.  This also means that you can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 yarp-print tool to extract deleted keys and values from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merged hive, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:

yarp-print --deleted system_2019-04-08@160420

In this case, you don't have to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 --no-recovery switch, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool won't find transaction logs associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merged hive.

RegRipper
As I mentioned in my previous post, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interesting aspects of this testing was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences in output from various RegRipper plugins when run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'dirty' and 'merged' hives.

The output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mountdev.pl plugin, when run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'merged' hive, included an additional DosDevice entry:

\DosDevices\F:
  Drive Signature =  76 d4 59 81

The output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bam.pl plugin, when run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'merged' hive, included two additional entries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user with RID 1001:

Fri Apr  6 12:27:06 2018 - \Device\HarddiskVolume4\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
Fri Apr  6 12:41:21 2018 - \Device\HarddiskVolume6\Programs\Imager_Lite_3.1.1\FTK Imager.exe

The same output also included an entry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Local System account that was not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'dirty' hive:

S-1-5-18
  Fri Apr  6 12:40:38 2018 - \Device\HarddiskVolume4\Windows\System32\csrss.exe

Take-Aways
Just with this initial testing, using just this one hive, we can begin to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of making use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive transaction logs.  The System hive used in this case was not from a high-use system; that is to say that it was from a forensic challenge scenario system, and not a system used in a corporate environment.  Regardless, this limited testing did allow us to see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is considerable value in incorporating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs in our Registry parsing process.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r images are available online which may be used to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this testing.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mystery Hacked System image includes activity within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profiles, and as such, may prove to be interesting and provide even more support for this process.

Finally, after merging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs, I ran some basic diff utilities against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'dirty' and 'merged' hives, and noted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were a number of entries that appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'merged' hive that were not visible in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'dirty' hive.  A method for narrowing this down a bit might be to run RegRipper profiles against both, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n run text-based diff utilities against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profile runs.

Next Steps
My next steps are to examine additional tools (specifically, Eric Zimmerman's Registry Explorer and RECmd tools) that can be used in this process, and leveraged to take advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional data within Registry transaction logs.

References
Maxim - Exploring intermediate states of a registry hive
FireEye - Digging up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Tools
Regipy - alternative tool for merging transaction logs (note: I'm working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author...)
RegRippy - RegRipper alternative, written in Python3

Saturday, April 13, 2019

Latest Testing: The Windows Registry, pt I

I've always been interested in and fascinated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Registry, in large part due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that early in my DFIR career few really seemed to have a good grasp on, or interest in, just how central it is to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows operating system.  By extension, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 grasp, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community at large, as to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry was underestimated.  We've seen changes to this attitude over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, and as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 migration to incorporating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Registry into analysis has progressed, so has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of techniques for deriving even more analysis value from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry.

Interest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry as a source of data for digital analysis and incident response has waxed and waned over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late '90s while I was performing vulnerability assessments, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was considerable utility in querying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry from live systems in order to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state and attack surface of those systems.  We were looking for (and finding) active modems in systems, as well as extracting information about software versions, etc.  To a large extent, this remains true today; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a great deal of data available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry to assist in developing an understanding of not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system at a given time, but also activity that occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

In 2008, Jolanta Thomassen shared her dissertation regarding parsing Windows Registry hive file unallocated space; that is, retrieving deleted keys and values from unallocated space within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive file itself.  She also released regslack.exe, a command line tool for extracting deleted keys and values from hive files.  Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools have followed suit, providing similar functionality. Eventually, RegRipper included this functionality, as well.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of years, attention has turned to Registry transaction logs, and incorporating data from those logs directly into hive files in order to achieve a more comprehensive and perhaps 'correct' view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive contents.  As such, I wanted to determine what tools were available to merge transaction logs into a hive file, and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, begin looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merge operation.

I installed Python 3.7 on a Windows 10 system.  I opted for Python 3.7, as it is required for a tool I'm planning to test, Regipy.  I installed yarp on that system, as well.  This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I'm using as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform for merging hives with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir transaction logs.

I began testing by using yarp + registryFlush.py (thanks to Maxim) to merge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs (hive.log1, hive.log2) into a hive file, using hives from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LoneWolf scenario due in part to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir availability.  Once I had successfully merged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive, creating a 'new' System hive file, I used registry-diff.py and regdiff.pl to document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original and 'new' hives.  As an example of differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two hives, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were reported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same size, regdiff.pl found 2561 differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original and 'new' hives, many of which pertained to USB devices.

I should note here that this is a very interesting finding.  Several years ago, I ran into a situation where I was comparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive from a system to it's 'companion' in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegBack folder (clearly, this goes back to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hives in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 config folder were being actively backed up).  In that case, I found 9 USB devices listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive, and 13 devices listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backed up hive.  I did a text search across both folders for one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device names (one that was unique), and found an entry in one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .log files, but at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no tools available for merging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive.

I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n moved on to looking at differences in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hives via RegRipper.  Again, for this initial set of testing, I was focusing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive.  As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatCache (or ShimCache) data is written to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive at shutdown, I did not expect to see significant differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two hives, and that expectation was borne out by running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate plugin against both hives.  However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BAM and Mounted Devices plugins proved to be a bit more interesting.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mountdev.pl plugin run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'new' hive contained a drive signature for an F:\ volume that did not exist in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original hive.  The bam.pl plugin showed two additional entries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user with RID 1001 when run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'new' hive.  Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was an entry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Local Service account in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'new' hive (again, via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bam.pl plugin) that was not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original hive.

The del.pl plugin produced some interesting results.  When I ran it against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original System hive, it pulled out a number of deleted keys and values; however, running it against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'new' (i.e., merged) hive, I got nothing.  Not one deleted key, not one deleted value.

So, what does all this mean?

I started this out wanting to simply see what tools and processes could be used to merge transaction logs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hive file.  I posted a tweet to that effect, and Maxim was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first (and only) person to respond (to that query).  I do have additional testing to do, not just with this script, but with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools that are available, as well.  Again, what I'm looking at here is simply how to go about merging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs into a hive, and if successful, looking to see differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two in order to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se steps.

Something to keep in mind is that Windows systems no longer appear to be populating (by default) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backup copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry hives within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 config/RegBack folder.  As such, merging transaction logs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive files prior to any parsing and analysis processes would seem to be a pretty valuable approach, if not simply provide more complete information. From that point, it's a matter of conducting analysis. 

As far as a process goes, you'd likely want to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate files, or mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate tool such that you could access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary directories.  From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, you'd want to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original hive, and create a new version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive by merging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs.  The new hive would ideally give you a more complete view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original hive would provide you with historical information, particularly regarding deleted content.

So, more to come...

Resources
I recently became aware of RegRippy, a Python-based alternative to RegRipper.

Thursday, April 04, 2019

A Look Back...

I was chatting with someone recently with whom I'd crossed paths a bit more than 21 years ago, and throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time we chatted, I had this sense of nostalgia. What that led me to was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought that when you've been in and around any industry for a while, it's interesting to take a step back and reflect on your path.

One example of nostalgia and looking back that comes about pretty regularly is when I meet former Marines.  I've met many who were anywhere between toddlers and elementary school when I left active duty, and when we talk about what we did, I have to remember that my MOS (military occupational specialty) no longer exists.  I was a Communications Officer, 2502, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 25xx occfield is something a lot of current and former Marines have never heard of. So, nostalgia.

So, how does this relate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberz? I first read The Cuckoo's Egg years ago, and thought, wow, what must it be like for Clifford and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs involved to look back on what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decisions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y made?  What was it like to revisit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events of that time with someone else who was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, reminiscing with, "...hey, do you remember when...?"

When I started grad school in June 1994, I walked by Gary Kildall's office for about 4 months before he passed.  I never met cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guy, and to be honest, would not have known who he was; I didn't find out until several years later.  At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, I was use MS-DOS and Windows 3.1, and had transitioned to Windows 3.11 for Workgroups just prior to heading west.  I had never heard of CP/M, nor did I know much about operating systems at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. 

While I was in grad school, OS/2 was a thing.  I went to Frye's Electronics in Sunnyvale to purchase a copy of OS/2 2.1, in part to install it on my desktop computer (with a 486DX microprocessor), but also to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $15 off coupon sticker to apply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purchase of OS/2 Warp 3.0.  I'd had to install a second hard drive in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer, in part due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that drives were so small back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n. 

To get a sense of perspective of cost, I dropped $500 to upgrade to 16 MB (YES, with an "M") of RAM.  When you installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second hard drive (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ribbon cables only had two connectors), you had to be sure to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jumpers correctly.

As part of my master's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis, I wrote an SNMP polling utility in Java.  This was just for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data collection phase of my cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis work; this was preceded by setting up a lab environment, using Windows 95 and Windows NT 3.51 servers, with two different network media (10-Base2, 10-BaseT) connected across two Cisco 2514 routers.  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 routers was connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campus area network (CAN) via a 10-Base5 vampire tap.  I used simple video teleconferencing software to generate traffic across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, and I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SNMP polling application to collect traffic volume information over time.  Once volumes of data had been collected, I did all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statistical processing and image display via MatLab.  To generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic, I'd sit in front of one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video cameras eating my lunch, and I'd sit in sight of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r camera.  I'd wave my arm to generate frame updates from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second camera.

As an aside, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge I developed of SNMP would serve me quite well, well after I left grad school and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military.  Not only could I make recommendations to a network operations team regarding security (i.e., don't allow SNMP or even just UDP through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall, etc.) based on that knowledge, but I could also use what I had learned to develop information about systems during pen testing.  Yes, you'd be surprised what was accessible from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n (SNMPNetBIOS), and even later.

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main terminals in my graduate program were SparcStations running Solaris (NetScape was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser we used).  I'd used TRS-80s in high school (programming PASCAL) and college (programming BASIC), and my family's first home computer was a Timex-Sinclair 1000; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second was an Epson QX-10.  During that time (early '80s) I had also taken a course in BASIC programming on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mac IIe.  Somewhere along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line, a friend of mine had a Commodore 64, but I wasn't into playing computer games so I didn't spend much time with it.  I never did touch an Amiga, but I did take two courses in grad school that involved using assembly language to program cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Motorola 68000 microprocessor.

I was in grad school when SATAN was released (circa  1995).  Shortly after it became available, I transitioned to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 student rep from my academic department to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT board.  I sat through more than a few meetings where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT admins from across campus argued about running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scanner on each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r's networks.  I never actually ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool; I was afraid to even download it.  This was due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that I'd downloaded a copy of a file called "crack.c", in order to learn a bit more about C programming (for a course I was taking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time).  I got in "trouble" with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 senior sysadmin for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department because I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file on my system.  I argued that I had never compiled it (part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compilation process), never created an object file, never linked it, etc.  None of that mattered to her.  Things went really sideways when she'd claimed that I had violated THE security policy; knowing that I'd never signed such a thing, I asked to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security policy. That's when she turned red and stormed off.  Even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r admins were on my side, I was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doghouse with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 senior sysadmin. The fact was that it was anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r year before a new Admiral took of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 school as superintendent and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was an actual written security policy.  Even what that policy was available, downloading crack.c would not have been a violation. 

As my active duty time ended and I was processing out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military, I was attached to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marine Detachment at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army's Defense Language Institute (DLI). My role at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time was to connect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer systems in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detachment to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army's CAN, which was token ring. Around that time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commandant of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marine Corps (Chuck Krulak) had stated that Marines were authorized to play "Marine DOOM", and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detachment had purchased 6 Gateway computer systems for that purpose.  These systems were set up on a round credenza, connected via a 10-Base2 network, running IPX.  At one point, a SSgt joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unit and decided to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room his office.  To make more room, he had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marines split cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credenza in half and place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flat parts against opposite walls, with 3 stations on eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room.  To do so, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers needed to be disconnected.  Once everything was in place, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers were reconnected, and attempts were made to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game, all of which failed. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSgt approached me for assistance, I didn't realize until much later in life that this was my first consulting gig.  The SSgt informed me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer network had been reassembled EXACTLY as its previous state.  I took a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, and realized that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RS-232 connector had been attached directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC; looking around, I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 T connector and terminator sitting under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyboard.  No one saw me reconnect everything, but I told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSgt to try again, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network sprung to life.  Within minutes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marines were back to playing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game. 

In one of my first jobs out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military, I was doing assessment work.  During that time, I spent time in one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Twin Towers in New York City, doing war dialing work.  Our tools of choice were THCScan and ToneLoc. It was pretty exciting for two of us to sit in a cubicle, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sound turned way down on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop we were using, listening to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responses we were getting from remote systems.  Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end would be answered, and we'd hear "hello" come out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers. It really got exciting when we could hear software dial a number, and a phone ring two cubicles down, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person in that cubicle respond, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "hello" echoing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop.  When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software dialed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cubicle on eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side of us, we threw our jackets over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop to ensure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 residents didn't hear us.  We got "caught" when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software dialed phones on opposite sides of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mainframe room; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mainframe admin wasn't happy about having to get up and walk across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room apparently, and he called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO to report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity. 

I later worked at Trident Data Systems (TDS), where I was doing vulnerability assessments and some light pen testing work.  We used ISS's Internet Scanner for our vulnerability assessment work, and while I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I began developing a tool we called "NTCAT" to replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of ISS's tool.  We were getting a good bit of spurious findings from Internet Scanner, most notably with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows "AutoAdminLogon" setting, and were learning more about what Internet Scanner was doing.  That is, what data it was collecting, and how it was making it's determinations.  And this is where we were running into issues, which we were addressing using this new tool.  When I wasn't doing assessment work or writing reports, I was connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab, developing and testing NTCAT.  This is also where I really started to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value in graphic representations of data, albeit in a very simple format (i.e., red for bad, green for good).  I also began to see, up close, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of processing data in different ways; getting a quick SWAG while you're on-site, versus a deeper inspection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data when you had time.  Taking it a step furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, we were finding out new things and developing new tools to process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, making things more useful and valuable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst, and subsequently to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I pitched to my manager at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time was that once we collected all of this data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer, we had it.  We'd need to address it legally, through our contracts of course, but we could keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual data in a secure manner (encrypted and/or stored offline on a CD), and as we learned new things, run this new processing across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retained data.  It's interesting to look back on those discussions, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n look at what we do now with respect to MSS and EDR, particularly regarding data retention times.  I've seen some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same questions and issues from back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n in today's world; few EDR tools provide a retrospective look at what happened on a system prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agent or sensor, and as such, IR teams have to use ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means to collect this historical data.  Things brings up questions of "what do you collect?", "how do you collect it?", as well as "how long can you keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data?"  Times have changed, technology has changed, but we still see some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issues.

During my time with TDS, some members of our team were working a pretty big pen test, and had run up against an Internet-connected PBX.  They really wanted to get access to this PBX, and worked hard at doing so.  At one point, several members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team went to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loading dock on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first floor of our building for a smoke break, and were talking about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd run into.  On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first floor of our building was an engineering firm, one that specialized (as it turns out) in that PBX. While our guys were out on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir break, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engineers was just finishing up a break of his own when he overheard what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were discussing.  He walked over and offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 15 character password that was hard-coded into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PBX. 

In anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r job, I worked (indirectly) for a security director who'd appeared by name in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book TakeDown.  Several years later, while I was attending a conference in Seattle, I saw Kevin Mitnick.  I didn't talk to him...he was surrounded by a mob, and I don't do mobs. Also, I wasn't really sure what I'd say. 

As time passes, I may write some additional posts, looking back on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I've seen, as well as folks I've engaged with.  We'll see...