Wednesday, May 29, 2019

Troubleshooting and Deep Knowledge

What do we do when a tool that we're using doesn't return what we expect to see?

How often does this happen?  How often do we run a tool in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of our DFIR investigation process and for some reason, we don't see something in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool that we thought we would see?  How often do we look for something, only to find that it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re?  More importantly, what do we do about it?

I can't speak for anyone else, but I tend to want to figure out why, particularly if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I'm trying to parse is important to my overall analysis, based on my goals.  If it's just a curiosity, I'll leave it until later, but if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data itself is paramount to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis, I generally tend to want to know why I'm seeing (or not, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case may be) what I'm seeing. 

Several years ago, while I was QSA certified and working on PCI cases (sssshhhh...don't let that little secret out...), we ran across a case where we knew that two specific brands of credit cards were being used at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site, but for some reason, our scans were coming up empty for those specific brands.  We were getting lots of search results for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major card brands, but nothing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two brands that we expected to see.  We started peeling back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 layers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process, and go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where we were running scans of just straight text files that contained test data (several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brands provided a small number of "valid" but unassigned credit card numbers), but we were still coming up empty on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brands.  As we investigated furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, we narrowed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue down to a built-in API function, and determined that it was not, in fact, returning "valid" credit cards numbers.  Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it was, just not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m; it did not consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two brands as 'valid' for some reason.  We got some programming assistance and built our own replacement function, one that was a bit slower but more complete.

The moral of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story is that we looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 components involved...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner...and worked methodically to figure out where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue lay.  Was it an assumption on our part, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two brands were actually being used at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site?  How did we know?  Was it an assumption, or was it information that came from a specific, identifiable source?  What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data?  Was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re an issue with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data?  Or was it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool?

As it turned out, it was an issue of deep knowledge.  We knew what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data should look like, and we had an understanding of where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data should reside.  As a bit of a follow-on to my post on Deep Knowledge in DFIR work,  I wanted to take a few moments to discuss an issue I ran into with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DefCon 2018 CTF File Server image, and what I did to address it.

I was reviewing some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and I wanted to check and see if I could see a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-forensics tool in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatCache data; as such, I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper appcompatcache.pl plugin, and saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Launching appcompatcache v.20190112
appcompatcache v.20190112
(System) Parse files from System hive AppCompatCache

Signature: 0x0

That was it...nothing else.  No listing of file paths and names, no time stamps...nada.

Okay, so...now what?  Do I throw up my hands and assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool doesn't work?

No, not at all.  I start troubleshooting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue.

As  I mentioned, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are three components to this process...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operator.  Any one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three could have an "issue".  It's entirely possible that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool does not function properly.  For example, when looking at a Registry hive via a viewer, I like to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MiTeC Windows Registry Recovery (WRR) tool, even though I know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool has a deficiency.  Specifically, for value data over a certain size, a different data type is used to store that data (similar to non-resident files within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT using a run list), and WRR does not handle those data types. The AppCompatCache data is exactly that data type.  However, I could navigate through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry structure to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key in question, even though I could not directly view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw data value via WRR.

First step...check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool.  Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin working correctly?  It works correctly against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HR server, but that's a different version of Windows.  I don't have a System hive available that matches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows version from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file server image, but for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins seems to be working correctly.

RegRipper plugins are Perl scripts, which means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're essentially text files.  Opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appcompatcache.pl plugin in Notepad++, we see that lines 96 and 97 are commented out (that is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines start with "#"):

# ::rptMsg("Length of data: ".length($app_data));
# probe($app_data);

This is essentially some troubleshooting code; when it's not commented out, it will tell me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 length of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n print a hex dump of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data (via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probe() function).

Assuming that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue may have been with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin, I removed those "#" symbols, saved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, and re-ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin in hopes that I'd get some more information.  For example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin wasn't parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data correctly, I'd see a line telling me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 length of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a hex dump of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data itself.  However, when I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin, I saw simply "Length of data:" and nothing else; no length value, no hex dump.

Next step...check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data itself.  I opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive in WRR, and went to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Control\Session Manager key to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatibility subkey (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path is listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper plugin), and...nothing.  I couldn't find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatibility subkey.  It didn't seem to exist.

I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper del.pl plugin against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive file, redirecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output to a file:

rip.pl -r f:\defcon2\files\system -p del > f:\defcon2\files\system_del.txt

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output:

------------- Deleted Data ------------
  598220                          10 00 00 00 6f 6d 70 61          ....ompa
  598230  74 43 61 63 68 65 00 00                          tCache..

Okay, so let's try anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool.  Using yarp-print.py, I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command line:

yarp-print.py --deleted e:\defcon2\files\system > e:\defcon2\files\system_del_yarp.txt

Opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were quite a few recovered keys and values. I ran a search for "ompat", as well as one for "cache", and found nothing related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatCache value.

Okay, so now we're pretty sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper plugin didn't return what we expected is because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key and value question don't exist within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive file.  This is pretty unusual, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next question would be, "why?"

I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ControlSet001\Control\Session Manager key via WRR, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n pivoted into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline of system activity.  Events near that time are shown below:

Wed Aug  8 03:51:12 2018 Z
  FILE                       - M... [37092] C:\ProgramData\Microsoft\Windows Defender\Support\MPLog-02112017-053110.log

Wed Aug  8 03:51:03 2018 Z
  REG                        - M... HKLM/Software/Microsoft/MpSigStub 
  FILE                       - M... [5732] C:\Windows\Temp\MpSigStub.log
  FILE                       - MA.. [4096] C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{8DCEFA0C-BEA3-48DC-B17D-E363C91F2F5D}\$I30
  REG                        - M... HKLM/Software/Microsoft/Windows/CurrentVersion/WindowsUpdate/Auto Update/Results/Install 
  FILE                       - MA.. [48] C:\Windows\Temp\2A62F43A-0724-4D0C-8B60-BC284D249D64-Sigs\
  FILE                       - MA.. [48] C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{8DCEFA0C-BEA3-48DC-B17D-E363C91F2F5D}\

Wed Aug  8 03:51:02 2018 Z
  REG                        - M... HKLM/Software/Microsoft/Windows Defender/Signature Updates 
  FILE                       - M... [5699701] C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-008087D650ED729E08CB8F27E1DE2E1889585057.bin
  FILE                       - MA.B [1999848] C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-008087D650ED729E08CB8F27E1DE2E1889585057.bin.83
  REG                        - M... HKLM/System/ControlSet001/Control/Session Manager 

Interesting.  It looks as if Windows Defender was being updated or a scan was being run at about that time.  Checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 support log from 03:51:12, we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file:

[Tue Aug 07 2018 20:51:03] Process scan started.
[Tue Aug 07 2018 20:51:04] Process scan completed.

Checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timezone settings for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, we see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ActiveTimeBias is 7 hrs, and that a scan was started and completed shortly after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry key in question was last modified.

What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ControlSet?  Pivoting within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Control\Session Manager key within ControlSet002 was modified, we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Tue Aug  7 20:25:33 2018 Z
  FILE                       - MA.. [655360] C:\Windows\System32\$I30
  FILE                       - MA.. [56] C:\Program Files (x86)\
  FILE                       - MA.. [56] C:\Program Files\
  FILE                       - MA.. [56] C:\Program Files (x86)\$TXF_DATA
  FILE                       - MA.. [56] C:\Program Files\$TXF_DATA
  FILE                       - .A.. [20] C:\Windows\AppCompat\Programs\RecentFileCache.bcf
  EVTX     WIN-M5327EF98B9   - NetBT/4321;,WIN-M5327EF98B9:0,74.118.139.11,74.118.139.201
  REG                        - M... HKLM/Software/Wow6432Node/Microsoft/Windows/CurrentVersion/explorer 
  FILE                       - MA.. [520] C:\Users\mpowers\AppData\Local\Microsoft\Windows Mail\Backup\new\
  FILE                       - MA.. [56] C:\Windows\System32\
  FILE                       - MA.. [4096] C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\$I30
  FILE                       - MA.. [4096] C:\Program Files\$I30
  FILE                       - MA.. [256] C:\Windows\System32\sysprep\Pancá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r\IE\
  REG                        - M... HKLM/System/ControlSet002/Control/Session Manager

Looking nearby within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, we see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of modifications to both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system and Registry hives going on leading up to, as well as following that time.

Remember my previous blog post regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deletion of forensic artifacts? It appeared that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PrivaZer application was launched at approximately 20:21:51 Z on 7 Aug, and completed its work approximately 10 minutes later; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Session Manager key seen above is right in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle of that activity. As such, it would appear that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no AppCompatCache data available is due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deletion of forensic artifacts by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PrivaZer application.  The later LastWrite time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key found within ControlSet001 may be due to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors, such as activity that occurred after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key of interest was deleted.

Summary
When engaged in analysis, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are number of components at play, in particular cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool being used, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst.  Any one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, or any combination cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reof, could result in an "issue".  For example, in this case, an examiner could have easily come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 determination that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper plugin) was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. I can't remember ever seeing a System hive file that did not have an AppCompatCache value.  As such, why wouldn't it be an issue with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool? 

It turns out that all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 components for running this issue down were right cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.  We had an open source tool, one which we could literally open in Notepad and read what it does, that would start us down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 troubleshooting road.  We had ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools available; without WRR, I could have just as easily imported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive into RegEdit, and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, seen that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatibility subkey didn't exist. 

Tuesday, May 21, 2019

DefCon 2018 CTF File Server Take-Aways

In my last post, I shared some findings with respect to analyzing an image for anti- or counter-forensics techniques, which was part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DefCon 2018 CTF.  Working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question I pursued, writing it up, and reflecting on it afterwards really brought out a number of what I consider important take-aways that apply to DFIR analysis.

Version
The Windows version matters.  The first DefCon 2018 CTF image I looked at was Windows 2016, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file server image was Windows 2008 R2.  Each had some artifacts that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r didn't.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file server image had a SysCache.hve file, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HR server didn't.

Both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 images that I've looked at so far from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTF were of Windows server systems, and by default, application prefetching is not enabled on server editions.

Something else to consider is, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system 32- or 64-bit?  This is an important factor, as some artifacts associated with 32-bit applications will be found in a different location on a 64-bit system.

The version of Windows you're working with is very important, as it tells you what should and should not be available for analysis, and sort of sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expectations.  Now, once you start digging in, things could change.  Someone could have enabled more detailed logging, or enabled application prefetching on a server edition of Windows; if that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, it's gravy.

This is also true for applications, as well as ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r operating systems.  Versions and family matter. 

Execution
A file existing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system does not definitively mean it was executed; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same is true with a GUI application.  Just because a GUI application was launched by a user, does that mean that it was actually run, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality available through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI was run?  That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge with GUI applications, isn't it?  How do you tell when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're actually run beyond just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI being opened?  Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user select various options in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n click "Ok", or did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y simply open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n close it?

Yeah, I get it...why open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application and launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI if you don't actually intend to run it?  We often think or say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing when it comes to data staging and exfiltration, don't we?  Why would an actor bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to stage an archive if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y weren't going to exfil it somehow?  So, when we see data staged, we would assume (of course) that it was exfiltrated.  However, we may end up making that statement about exfiltration in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of any actual data to support it. What if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actor tried to exfil cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive, but failed? 

If you don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data available to clearly and definitively illustrate that something happened, say that.  It's better to do that, than it is to state that something occurred, only to find out later that it didn't.

Consider this...an application running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system can be looked at as a variation of Locard's Exchange Principle; in this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two "objects" are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eco-system in which it is executing.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of an application that reportedly performs anti- or counter-forensics functions, one would expect "forensic artifacts" to be removed somehow; this would constitute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "material" exchanged between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two objects.  "Contact" would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application, and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of a GUI application, specifically clicking on "Ok" once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate settings have been selected.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file server CTF question, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumption in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis is that "forensic artifacts" were deleted.

Why does it matter that we determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable was actually launched, or if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI tool was actually launched by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user?  Isn't it enough to simply say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file exists on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and that it had been run, and leave it at that?  We have to remember that as an expert, our findings are going to be used by someone to make a decision, or are going to impact someone.  If you're an IR consultant, it's likely that your findings will be used to make critical business decisions; i.e., what resources to employ, or possibly even external notification mandated by compliance regulations or even legislation.  I'm not even going to mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal/law enforcement perspective on this, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are plenty of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r folks out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who can speak authoritatively on that topic.  However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point remains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same; what you state in your findings are going to impact someone.

Something else to consider is that throughout my time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, I've seen more than a few times when a customer has contacted my team, not to perform DFIR work, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR work done by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.  In one instance, a teammate was asked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client, "what questions would you ask?"  He was given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report produced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r team, and went through it with a fine-tooth comb. I'm also aware of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r instances where a customer has provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same data to two different consultants, and compared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reports.  I can't say that this has happened often, but it has happened.  I've also been in situations where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer has hired two different consulting companies, and shared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer) received with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r company.

Micro-Timelines and Overlays
One thing that was clear to me in both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posts regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DefCon CTF images was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value and utility of micro-timelines.  Full timelines of system activity are very valuable, as well, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y serve to provide a significant amount of context around system activity at some point in time.  However, full system timelines are also very noisy, because Windows systems are very noisy.  As we saw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last blog post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a Windows update being installed around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time that "forensic artifacts" were being deleted.  This sort of circumstance can create confusion, and lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misinterpretation of data. 

However, by using micro-timelines, we can focus on specific sets of artifacts and start building out a skeleton analysis.  We can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use that skeleton as an overlay, and pivot into ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r micro-timelines, as well as into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full timeline.  Timeline analysis is an iterative process, adding and removing layers as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture comes more into focus. 

This process can be especially valuable when dealing with activity that does not occur in an immediately sequential manner.  In my last blog post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user launched an application, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n enabled and launched some modicum of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application's functionality.  This occurred in a straightforward fashion, albeit with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system activity (i.e., Windows update) occurring around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time.  But what if that hadn't been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case?  What if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity had been dispersed over days or weeks?  What if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user had used RegEdit to delete some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic artifacts, and had done a few at a time?  What if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user had also performed online searches for tips on how to remove indications of activity, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n those artifacts were impacted, but over a period of days?  Having mini- and micro-timelines to develop overlays and use as pivot points would make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis so much easier and efficient that scrolling through a full system timeline.

Deep Knowledge
Something that working and reflecting on my previous post brought to mind is that deep knowledge has considerable value.  By that, I mean deep knowledge not only of data structures, but also of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available data.

Back when I was performing PCI investigations (long ago, in a galaxy far, far away...), one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysts on our team followed our standard process for running searches for credit card numbers (CCNs) across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 images in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir case.  We had a standardized process for many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functions associated with PCI investigations due not only to what was mandated for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigations, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information had to be provided, as well.  By having standardized, repeatable processes, no one had to figure out what steps to take, or what to do next.  In one instance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search resulted in CCNs being found "in" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive.  Closer examination revealed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CCNs were not value names, nor were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y stored in a value data; racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were located in unallocated space within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive file, part of sectors added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logical file as it "grew".  Apparently, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy had run tools to collect CCNs into a text file, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n at one point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir process, deleted that text file.  Those sectors that contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data were added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive as it grew in size.

Having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to investigate, discover, and understand this was critical, as it had to be reported to Visa (Visa ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Council at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were strong indications that someone at Visa actually read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reports that were sent in...often, in great detail.  In fact, I have no doubt in my mind that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r DFIR analysts who reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reports, as well.  As such, being able to tie our findings to data in a reproducible manner was absolutely critical.  Actually, it should always be paramount, and foremost on your mind.

MITRE ATT&CK
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MITRE ATT&CK framework that I've been considering for some time now is something of a reverse mapping for DFIR. What I mean by this is that right now, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DefCon 2018 CTF file server image, we can map cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question of interest (counter-forensics) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Evasion tactic, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Indicator Removal From Host technique.  From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, we might take things a step furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings from my last blog post as "observables"; that is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PrivaZer application led to specific "forensic artifacts" being deleted, which included artifacts such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist value name found to have been deleted, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "empty" keys we saw, etc.

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, we can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n say that in order to identify those observables for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique, we would want to look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts, or look in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locations, identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post.  This would be a reverse mapping, going from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tactic. 

Let's say that you were examining an instance of data exfiltration, one that you found had occurred through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of a bitsadmin 'upload' job.  Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Exfiltration tactic, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of bitsadmin.exe (or PowerShell) to create an 'upload' job might be tagged with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Automated Exfiltration or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Scheduled Transfer technique (or both), depending upon how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job is created.  The observable would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line (if EDR monitoring was in place) used to set up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job, or in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of DFIR analysis, a series of records in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BitsAdmin Client Event Log. 

Reversing this mapping, we know that one way to identify eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two techniques would be to look in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BitsAdmin Client Event Log.  You might also include web server logs as a DFIR artifact that might help you definitively identify anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspect of data exfiltration.

In this way, we can extend our usual mapping from tactic to technique, adding "observables" and data sources, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n allows us to do a reverse mapping back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tactic.  Sharing this across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR team means that now analysts don't have to have had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience of investigating a case of data exfiltration in order to know what to look for.

Saturday, May 18, 2019

DefCon 2018 File Server

After engaging with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first image from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DefCon 2018 CTF, I thought it would be fun, and instructive, to take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second image in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTF, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Server.

As before, not having signed up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTF itself, I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following sites:
HackStreetBoys
InfoSecurityGeek
Caffeinated4n6

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTF questions that caught my attention was, What tool was used to delete forensic artifacts?  I've long been interested in two aspects of DFIR work that are directly associated with that question; anti- (or counter-) forensics, and what something looks like in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data (i.e., how is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 behavior represented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data?).

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question were interesting.  The HackStreetBoys response referenced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 itempos.pl plugin, which listed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mpowers user desktop.  A reference to a program was found, one that was determined to be used for counter-forensic purposes, and that program was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTF question.  The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r two responses referenced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist data, and similarly, it seems that something was found that could be an anti-forensic tool, was found on Google and seen to be an anti-forensics tool, and that was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer.

However, beyond that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was little in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of verification that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program had actually been used to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specified task.  This is not to say that any analysis was incorrect; in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publicly available write-ups I reviewed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to this question were reasonable guesses based on some modicum of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available data.

We know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was running Windows 2008 R2, and that tells us a good bit in and of itself.  For example, being a server version of Windows, application prefetching is not enabled by default, something we can easily verify both via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, as well as via visual inspection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image.  Something else that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version information tells us is that we won't have access to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts associated with program execution, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BAM subkeys.  Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifact differences with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first image in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTF; for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Server image contains a SysCache.hve file, but not an AmCache.hve file.

As such, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InfoSecurityGeek and Caffeinated4n6 blogs focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist data, and rightly so.  If you look closely at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry Explorer screen capture in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InfoSecurityGeek blog, you'll see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identified value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist data does not have a time stamp associated with it.  I've seen this happen, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r does not contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp associated with when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user launched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data itself is all zeros.

As a bit of a side note...and this is more of a personal/professional preference..I tend to prefer to not hang a finding on a single data point.  What I try to do is find multiple data points, understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of each, that help build out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story of what happened.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that a program file existed on a system does not directly correlate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that it was executed or launched.  Similarly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that a GUI program was launched does not definitively state that it had be run.  I can open RegEdit and browser cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry (or not) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n close it, but that does not definitively demonstrate that I changed anything in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of RegEdit.

From reviewing all three blog posts, we know that a file exists on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mpowers user desktop that, based on Google searches, is capable of taking anti- or counter-forensics actions (i.e., deleting forensic artifacts).  We also know that it is a GUI program, and that indications are that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user launched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI.  But what we don't know is, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program actually run, in order to "delete forensic artifacts"?

Or do we?

Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumption is that forensics artifacts had been deleted, and as such, would not be found via our 'normal' processes.  This is illustrated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that a good bit (albeit not all) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data we'd normally look to with regard to user activity appears to have been removed; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentDocs key for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user isn't populated, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no visible LNK files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's Recent folder, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are only two JumpLists in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's AutomaticDestinations folder.  Not definitive, but it's something.

So, my approach was to look to deleted keys and values within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's NTUSER.DAT hive. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values found was:

P:\Hfref\zcbjref\Qrfxgbc\CevinMre.rkr

Knowing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value names are Rot-13 encoded, that entry decodes to:

C:\Users\mpowers\Desktop\PrivaZer.exe

Tracking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value data based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value node structure, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data at that location, here is what I found:

00 00 00 00 01 00 00 00 02 00 00 00 E4 6B 01 00   .............k..
00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF   ................
00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF   ................
00 00 80 BF 00 00 80 BF FF FF FF FF 30 DA 50 46   ............0.PF
8C 2E D4 01 00 00 00 00                           ........

As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are 8 bytes toward cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that are a FILETIME object. With a little scripting-action, I was able to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and translate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp into something human-readable:

Tue Aug  7 20:21:51 2018

The process of getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above time stamp involved getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value structure, locating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT file (via a hex editor) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n writing (well, not writing so much as copy-paste, right from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper userassist.pl plugin...) a small bit of code to go in and extract and process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. Remember, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "active" value within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive file contained data for which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp was all zeros; in this case, we now  have a time stamp value that we can work with.  Within a micro-timeline of user activity, we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Tue Aug  7 20:24:14 2018 Z
  REG    mpowers - M... HKCU/mpowers/Software/Microsoft/Windows/CurrentVersion/Explorer/StreamMRU 
  REG    mpowers - M... HKCU/mpowers/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/CIDSizeMRU 

Tue Aug  7 20:24:13 2018 Z
  REG    mpowers - M... HKCU/mpowers/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/OpenSavePidlMRU 
  REG    mpowers - M... HKCU/mpowers/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/LastVisitedPidlMRU 
  REG    mpowers - M... HKCU/mpowers/Software/Microsoft/Windows/CurrentVersion/Explorer/RecentDocs 

So, we see a number of Registry keys modified, and from our use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate RegRipper plugins (as well as a viewer, to verify) we can see that all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se keys are empty; that is, none is populated with any values.  This may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "delete forensic artifacts" that we were looking for...

Pivoting into a more comprehensive timeline of system activity based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp, we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following activity:

Tue Aug  7 20:23:53 2018 Z
  FILE      - MA.B [43680] C:\Users\mpowers\AppData\Local\Temp\000\717000000000000000000_p.0x0

Tue Aug  7 20:22:18 2018 Z
  FILE      - M... [221] C:\Users\mpowers\AppData\Local\Temp\000\new_version.txt

Tue Aug  7 20:22:17 2018 Z
  FILE      - .A.B [221] C:\Users\mpowers\AppData\Local\Temp\000\new_version.txt

Tue Aug  7 20:22:15 2018 Z
  FILE       - MA.. [4096] C:\Users\mpowers\Downloads\$I30
  FILE       - MA.. [56] C:\Users\mpowers\Downloads\


Tue Aug  7 20:21:56 2018 Z
  FILE       - .A.B [314] C:\Users\mpowers\AppData\Local\Temp\000\data.ini

Tue Aug  7 20:21:55 2018 Z
  FILE       - MA.B [3096] C:\$Extend\$RmMetadata\$Txf\00000000000060CC\
  FILE       - MA.B [870278] C:\Users\mpowers\AppData\Local\Temp\000\sqlite3.dll
  FILE       - MA.B [56] C:\$Extend\$RmMetadata\$Txf\00000000000060CC\$TXF_DATA
  FILE      - ...B [4096] C:\Users\mpowers\AppData\Local\Temp\000\$I30
  FILE      - ...B [48] C:\Users\mpowers\AppData\Local\Temp\000\

Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity illustrated above, we see a significant series of events within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline that may be indicative of artifacts being "cleaned up"; specifically, folders and Registry keys are being modified presumably emptied), and files deleted.

Something else that is very instructive from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system timeline is that while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apparent deletion activity is going on, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is also an update being applied.  This is a great example demonstrating how verbose Windows systems can be, particularly when it comes to creating events on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems.  When reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, I noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were more than a few files being created, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than modified, that appeared to associated with a Windows update.  There were also some Registry keys that were being "modified".  I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following log file:

C:\Windows\Logs\CBS\DeepClean.log

The entries in this log file indicated not only that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were updates being applied, but also which updates were applied, and which were skipped.  This is great illustration of why micro-timelines, pivot points, and overlays are so valuable in timeline analysis; throwing everything into a single file or view would lead to a massive amount of data, and an analyst might miss important artifacts, or "signal", buried amongst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "noise".

Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a whole swath of events similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

 - MA.B [0] \[orphan]\00000000000000000000000000000000552.0x0

After all of that activity, we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Tue Aug  7 20:31:36 2018 Z
  FILE      - M... [314] C:\Users\mpowers\AppData\Local\Temp\000\data.ini

Tue Aug  7 20:30:59 2018 Z
  FILE      - M... [0] C:\Users\mpowers\Desktop\PrivaZer registry backups\WIN-M5327EF98B9\00000000000000.0x0
  FILE      - MA.. [48] C:\Users\mpowers\Desktop\PrivaZer registry backups\WIN-M5327EF98B9\
  REG       - M... HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce 
  FILE      - M... [0] C:\Users\mpowers\Desktop\PrivaZer registry backups\WIN-M5327EF98B9\000000000000000000.0x0

We see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.ini file associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PrivaZer tool was last modified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline extract above.  The final 2 lines in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file are:

[last_erase_date2]
717=131781474597770000

That long string of numbers could be a FILETIME object; assuming it is and converting it to something human readable, we get:

2018-08-07T20:31:00+00:00

Okay, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 granularity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp is only to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minute, and it is stored in a 100-nanosecond-epoch format, but what it seems to give us is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last date that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program was run.  What's interesting is that within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline of system activity, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re doesn't seem to be any more activity following that time stamp that is associated with mass deletion or counter-forensics activity, likely as a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PrivaZer program.  There is a significant amount of failed login activity that picks up shortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall timeline; this activity could be seen as counter-forensics in nature.

Why is this important?  Well, about 3 minutes prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above activity kicking off, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were two attempts to install CCleaner on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I say "attempts", because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline contains several application error or crash events related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following file:

C:\Users\mpowers\Downloads\ccsetup544pro.exe

Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se crashes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re does not appear to be any timeline data indicative of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program being installed (i.e., files and Registry keys being created or updated, etc.), nor does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re seem to be any indication of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of CCleaner.

By correlating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PrivaZer program was launched to additional events that occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, we now have much more solid information that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program was used to "delete forensic artifacts".  This is important because some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted artifacts could have been removed with native tools such as RegEdit or reg.exe; having an apparent privacy tool on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user desktop does not necessarily mean that it was used to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions in question.  Yes, it is a logical guess, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.  However, by looking a bit closer at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, we can see furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity associated with program execution.

Conclusion
Again, my reason for sharing this isn't to point out anything with anyone else's analysis...not at all.  But something I've seen repeatedly during my time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry has been statements made regarding findings that are not tied to data.  One example of this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question of data exfiltration; often exfiltration is assumed when data has been staged and archived.  After all, why would an actor go through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of collecting, staging, and archiving data if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y weren't going to exfiltrate it?  But why assume data exfiltration in that case when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data available to illustrate data exfiltration (i.e., packet captures, netflow data, logs, etc.) isn't available; why not simply state that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data was not available?

That's what I attempted to illustrate here.  Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's desktop called "PrivaZer.exe", and yes, per Google searches, this program can be used to "delete forensic artifacts".  But how do we know that it was, in fact, used to "delete forensic artifacts", if we don't look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were indications that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program was actually run?  Think about it...RegEdit could have been used to "delete forensic artifacts", specifically those within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry. The user could have used RegEdit to delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.

However, this activity would have left artifacts itself.  RegEdit is an "applet", in MS terms, and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts retrieved by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper applets.pl plugin is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last Registry key that had focus when RegEdit was closed.  Not only was this appropriate key (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegEdit subkey beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Applets key) not present within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'active' Registry, I did not find an indication of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key having been deleted.

Tuesday, May 14, 2019

DefCon 2018 CTF Plus

I don't often engage in CTFs. Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're fun, but even when an effort is made to have various aspects or stages be representative of real-world use cases, overall, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't tend to hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mark.  I've done some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various challenges, and once or twice been part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test team for CTF challenges.

Not too long ago, I ran across David Cowen's blog post for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DefCon 2018 CTF.  I wanted to run through at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first image, but I didn't want to sign up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge...I was just hoping to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario or questions.  Phill pointed me to Google, and I found a couple of sites that included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual questions, along with responses (HackStreetBoys, InfoSecurityGeek, Caffeinated4n6).

If you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions answered at each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 linked sites, you'll see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some commonalities in answering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual questions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTF, and in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a few differences.  One example of differences is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question, What was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file saved by mpowers? The HackStreetBoys opted to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT, while Caffeinated4n6 went with Registry Explorer.  I chose to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper comdlg32.pl plugin, and we all arrived at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same answer.  This is not to say that one method was better than anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, as we all got to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same correct response.

However, IRL, this isn't likely where things will stop.  In my experience, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re haven't been many (re: none) customers who have asked me to simply determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file that a user saved, and leave it at that; with real-world DFIR, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was always something more to it.  As such, I decided to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file being written) as a starting point, and build out an analysis approach that was a bit closer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of thing that you would see as a DFIR consultant, or even as an analyst in an FTE position within a company.

We can see in a timeline of overall system activity when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file was created:

Mon Jul 23 16:15:06 2018 Z
  FILE    - .A.B [169] C:\Production\update_app.bat

We can also see when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was last modified:

Mon Jul 23 17:35:35 2018 Z
  FILE    - MA.. [48] C:\Users\mpowers\AppData\Roaming\Notepad++\backup\
  FILE    - M... [169] C:\Production\update_app.bat

Taking a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT record for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, we can confirm this:

166116     FILE Seq: 4    Links: 2   
[FILE],[BASE RECORD]
.\Production\update_app.bat
    M: Mon Jul 23 17:35:35 2018 Z
    A: Mon Jul 23 16:15:06 2018 Z
    C: Mon Jul 23 17:35:35 2018 Z
    B: Mon Jul 23 16:15:06 2018 Z
  FN: UPDATE~1.BAT  Parent Ref: 165091/2
  Namespace: 2
    M: Mon Jul 23 16:15:57 2018 Z
    A: Mon Jul 23 16:15:06 2018 Z
    C: Mon Jul 23 16:15:57 2018 Z
    B: Mon Jul 23 16:15:06 2018 Z
  FN: update_app.bat  Parent Ref: 165091/2
  Namespace: 1
    M: Mon Jul 23 16:15:57 2018 Z
    A: Mon Jul 23 16:15:06 2018 Z
    C: Mon Jul 23 16:15:57 2018 Z
    B: Mon Jul 23 16:15:06 2018 Z
[$DATA Attribute]
[RESIDENT]
File Size = 169 bytes

A couple of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r bits of information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT record...it doesn't appear as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was time stomped, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file is resident within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 record.  This isn't surprising, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size, but it would have an effect on our ability to recover indications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, should it be deleted.

Creating a micro-timeline using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mpowers UserAssist, RecentApps, and RecentDocs Registry entries, and IE browser history, we can get a good bit of additional detail regarding just that user's activity.  Pivoting into that micro-timeline with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file, we can see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comdlg32.pl plugin cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date/time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file was accessed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user:

Mon Jul 23 16:48:15 2018 Z  
  REG     mpowers - ComDlg32: OpenSavePidlMRU\bat - My Computer\C:\Production\update_app.bat

Continuing to search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 micro-timeline for indications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file, we see:

Mon Jul 23 17:35:53 2018 Z
  REG     mpowers - [Program Execution] UserAssist - C:\Production\update_app.bat (3)
  REG     mpowers - C:\Production\update_app.bat (3)

In short, not only do we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file being created and saved, but we can see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was executed.  This is huge!  A batch file, or even malware, sitting on a system is harmless.  It doesn't do anything until its launched or executed. Viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file within FTK Imager, we can see that it includes two copy commands, each of which copies a file from a Z:\ volume to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Production folder.  Incorporating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user-specific timeline information into an overall timeline of system activity as an 'overlay', or using it as a pivot point into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system timeline, we can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file being executed has upon its overall eco-system (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server file system, Registry, Windows Event Log, etc.)

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file as a pivot point, we can see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 micro-timeline of user activity that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mpowers user accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Z:\ volume pretty extensively. But where does that volume come from?  Is it a USB device?  Checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software and System hives for indications of connected USB devices reveals that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't a great deal of information available to indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of a USB device.  How about a mapped share?  Our micro-timeline reveals cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Mon Jul 23 16:01:14 2018 Z
  REG    mpowers - ShellBags - Desktop\My Computer\Z:\project_0x02\tcontinuous\dist

Mon Jul 23 16:00:53 2018 Z
  REG    mpowers - Map Network Drive MRU - \\74.118.139.11\M4Projects

While not directly conclusive, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above events is close enough that we may be able to reasonably tie cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mapped folder to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Z:\ volume.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, we still have a good bit of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file itself.  Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 micro-timeline, and pivoting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file name without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extension, we see references to update_app.ps and update_app.ps1, both apparently located (per cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mpowers micro-timeline) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Production folder. However, viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image via FTK Imager, neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of those files appear in that folder.  Searching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall timeline of system activity similarly provides no indication of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files.  These look like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may be PowerShell scripts, but again, we don't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'active' file system within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image.

Checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mpowers ConsoleHost_history.txt file, we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

cd C:\Production\
dir Z:\project_0x02\tcontinuous\dist\
dir Z:\project_0x02\tcontinuous\production\
copy Z:\project_0x02\tcontinuous\production\tcontinuous.exe C:\Production\
$PSVersionTable.PSVersion.toString()

Much like a .bash_history file on Linux systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ConsoleHost_history.txt file does not contain time stamps. However, it does provide some useful information, in this case indicating that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was some use of PowerShell by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user.  Knowing that, and knowing that PowerShell scripts were likely associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, we can create a micro-timeline of PowerShell events, which requires only two commands (note that I've already extracted Windows Event Log files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image):

wevtx.bat f:\defcon\files\*powershell*.evtx f:\defcon\files\ps_events.txt

...and...

parse -f f:\defcon\files\ps_events.txt > f:\defcon\files\ps_tln.txt

As a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands, we have a good bit of information available to us from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Event Logs, and it is much easier to go through than if we had a full timeline of all system activity.  For example, we can easily see clusters of PowerShell/600 events beginning at Mon Jul 23 16:27:51 2018 Z, which include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

HostApplication=Powershell.exe -ExecutionPolicy Bypass C:\Production\update_app.ps1

Ah, okay...so it appears that PowerShell was used to attempt to launch this file; our assumption that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .ps and .ps1 files were PowerShell scripts is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of being confirmed.  However, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, we also see a PowerShell/300 (warning) event that states:

Could not find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive 'Z:\'. The drive might not be ready or might not be mapped.

Hhhhmmm...for whatever reason, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script seems to have had issues, and possibly not worked.  This may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user resorted to a batch file.

But wait...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's more...

Mon Jul 23 17:55:30 2018 Z
  REG    - M... HKLM/Software/ROOT/Microsoft/Windows NT/CurrentVersion/Schedule/TaskCache/Tree/Update App  
  FILE   - .A.B [3874] C:\Windows\System32\Tasks\Update App

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above we can see that a Scheduled Task was created, and viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XML file, we can see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command "C:\Production\update_app.bat".  Shortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter, we see:

Mon Jul 23 17:57:17 2018 Z
  FILE   - .A.B [742400] C:\Production\tthrow.exe
  FILE   - .A.B [5425251] C:\Production\tcontinuous.exe

Okay, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files that were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 targets of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'copy' commands.  Shortly after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se events in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, we see:

Mon Jul 23 18:07:14 2018 Z
  FILE   - M... [474] C:\Users\mpowers\AppData\Roaming\Microsoft\Credentials\F03B2BF5CC26D5309225478FE717BB7E
  FILE   - M... [1806] C:\Windows\debug\PASSWD.LOG
  REG    - M... HKLM/Software/ROOT/Microsoft/Windows NT/CurrentVersion/Schedule/CredWom/S-1-5-21-2967420476-1305424719-3994513216-1000 
  FILE   - M... [3872] C:\Windows\System32\Tasks\Throw Taco

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above, we can see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Throw Taco" Scheduled Task XML file was modified.  The XML contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Throw Taco" Scheduled Task includes:

C:\Production\tcontinuous.exe
tthrow.exe 74.118.139.11:7420

This gives us some information with respect to our two mystery files, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were used (i.e., one was an argument for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were run with SYSTEM-level privileges).  But what about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r entries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time?  The Registry key that points to "CredWom" includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SID for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mpowers user, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passwd.log file reads:

07/23 11:07:14 Attempting password change server/domain 
WIN-29U41M70JCO for user mpowers

So, at this point, we haven't done actual malware RE on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two mystery files, but we do have a good deal of valuable information for an analyst.

Pivoting back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Scheduled Tasks, we can develop a good view of task execution activity (or history) by using wevtx.bat to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Task Scheduler Event Log file into an events file, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n create individual events files for each task using 'find'.  From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, using parse.exe to convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual events files into micro-timelines gives us cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available execution history for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tasks.

Summary
What started out as a straightforward CTF question developed into a much fuller investigation, using timelines (full, micro), overlays, and pivot points, all in order to build out a pretty interesting picture of activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, around not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user saving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Something else of value you can use from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache.hve file is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Mon Jul 23 17:39:12 2018 Z
  AmCache  - Key LastWrite - c:\production\tthrow.exe (5267b1da851ce675b1f07e0db03fe12eb51ec43e)

Mon Jul 23 17:25:36 2018 Z
  AmCache  - Key LastWrite - c:\production\tcontinuous.exe (ad2134b5ad9ed046963c458e2152567b6269235f)

Now we have hashes, and in this case, links to VT detections (which won't always be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case).

We've also seen is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of Windows you're working with; in this case, Windows Server 2016 DataCenter.  This informs us as to things such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of PowerShell installed (version 5.1.14393.1884), and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PowerShell Event Log records would be much more inclusive than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were on Windows 7.

The CTF image provides ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting opportunities, as well, such as working with Volume Shadow Copies, recovering deleted data (from unallocated space, Registry hives, etc.), working with Registry transaction logs, using hindsight to parse a user's Chrome history, etc.

Take-Away
A big take-away from this analysis walk-thru, for me, is that micro-timelines, overlays, and pivot points are extremely useful during analysis.  Windows systems are very noisy and verbose, and taking a minimal view of different data sources so that you can begin orienting yourself helps cut through a lot of that noise.  A timeline creation process that isn't completely automated provides room for processes that allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst to target specific data sources and develop mini-timelines, and in turn, pivot points.

As an example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BITS Client Event Log file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system image has a number of event records, but none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m necessarily have anything to do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation itself, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with Windows and Chrome updates.  This also means that data sources such as file system metadata, Windows Event Logs, USN change journal, and possibly even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry are going to contain a lot of events related to those updates.  As such, creating an overall system timeline, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n using micro-timelines to develop pivot points into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall timeline will allow for iterative, targeted analysis.  Developing micro-timelines and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n using what's gleaned from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to pivot into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall system timeline for context is a great way to build out an investigation, and provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basis for your analysis.

Final Words
I wanted to give a huge thanks and shout-out to David and Matt for putting this CTF togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r!  It's a lot of work to put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a CTF with just minimal artifacts, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did so with three full images!  Thanks so much for making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se available!

Wednesday, May 08, 2019

Deep Knowledge, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pursuit Thereof

When IR was largely DF-related work, relatively few in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry held deep knowledge of artifacts.  Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, IR has moved from "image all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things" to "find and image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impacted systems" to "let's deploy an enterprise agent or sensor and collect data from all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things".  As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for enterprise-wide response became more evident, we developed concepts such as "triage", or collecting specific, targeted data from systems to make a decision as to whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were "in scope" or not.  We adapted concepts such as "sniper forensics", seeking out that targeted data, from disk forensics to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise.  As we've moved to this enterprise-scale response, including deploying sensors, agents, and automated means of data collection and parsing, we need to ensure that we continue to progress beyond where we were before, in that practitioners can be even furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r removed from developing a deep knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.  This isn't to say that this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case for all analysts; being absolute would be both incorrect and pointless. 

As tools and frameworks have been specifically designed for addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise issue, deep knowledge of systems and artifacts can potentially remain with a few, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door and extending that knowledge for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many. As practitioners, we have to be wary of tools and frameworks blinding us to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deep knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature and context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data itself.

Many, many moons ago, back when I was QSA-certified and conducting PCI examinations (ssshhh...don't tell anyone...), our team was using a commercial forensic suite to perform searches across acquired images for credit card numbers (CCNs).  Our assumption was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commercial product performed as advertised, in that it found "valid" CCNs, per cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Council (which, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, was Visa).  We had three checks at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time...BIN, length, and Luhn...and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CCN that was found passed all three, it was passed along to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate card brand for verification.  At one point, we had a case for which we knew CCNs from two specific brands had been used, but running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commercial product produced no results for those brands.  Our initial query with respect to what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product considered a "valid" CCN resulted in a link to a wiki page on credit card numbers, but did nothing to explain why we weren't received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expected result.  Finally, a deeper investigation, which included furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r questions and no small amount of testing, revealed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time did not consider some valid CCNs to be "valid".  Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than waiting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core, underlying code to be updated, we opted to go with 7 distinct regexs; while this slowed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search process down, it did give us cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 needed capability.

My point is that all of this came from a few analysts who were close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and had 'deep knowledge' of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts.  Or, at least deep enough to know where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y needed to go deeper than what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool was presenting.  At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, this was not something that was plastered all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet; no, it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se few analysts who were looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue, and subsequently, wondering what else had been missed.

When I first released RegRipper over a decade ago, my intention was for it to be a community-based tool.  There was one thing that I was absolutely sure of...I would never see everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was to see, even in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, nor would I know everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was to know.  As such, I wanted to provide a means by which analysts could eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own plugins (some did, starting with copy-paste...) and share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, or reach out and share data so that a plugin could be written or updated.  Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, more than a few have done so, but for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, those who use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool do so by downloading and running it.

In 2013, Corey Harrell released auto_rip, a tool that brought a modicum of automation to RegRipper. In releasing it, Corey stepped on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path of sharing his thought process when it came to analysis; in auto_rip, Corey shared how he structures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected data for analysis, moving RegRipper from a point-and-fire tool to one used to take a targeted approach to data parsing and presentation. Much more recently, Silv3rHorn released autoripy, in part because auto_rip hadn't been updated in some time.

Nuix has a free extension for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Workstation product for automating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of RegRipper (and one for Yara, as well), and automatically incorporating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results directly into your Nuix 'case'.  This extension automates almost all of what an analyst would need to do to run RegRipper; it automatically locates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hives (independent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of Windows), and runs plugins based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profiles for each hive.  But remember, I said, "almost".  The analyst has to download RegRipper cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, as well as ensure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profiles for each hive are updated, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 currently available plugins.  This is easy enough to do, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line tool for RegRipper (i.e., 'rip') includes a switch for automating this process.  But this isn't something that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extension does; to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extension, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst needs to do just a little bit more work. 

The question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n becomes, are you doing it?  Or are you downloading RegRipper and running it via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extension, with no modifications?  Are you pulling everything you need for your case from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry hives, or are you relying on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool to do it for you?

While I have a great appreciation and fondness for automation, and respect for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort that goes into creating automation, my concern with regard to tools such as RegRipper, log2timeline, plaso, KAPE, etc., is that racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than pulling back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "veil of mystery" and making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data more accessible (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore, more within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir realm of knowledge) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby increasing deep knowledge in a much wider range of analysts, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite. Instead, are we allowing automation, particularly at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise level, to add additional layers of abstraction between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst?

Don't get me wrong...I'm not bashing tools such as plaso, KAPE, or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  Not at all.  If it makes someone's job easier and more efficient, that's awesome.  It doesn't matter if it's a full-blown compiled application or a batch file...if it works, so be it.  All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things are wonderful.  But as practitioners, we have to be careful about how we view and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools. 

A side effect (or ancillary effect, depending upon how you look at it) of this is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community has weaponized terms like 'expert' and 'authority'.  These terms are used to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir designees apart, unreachable and untouchable.  "They're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expert, so all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality I would need must be included in that tool that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y released for free, and it's not something I need to concern myself with."

Circling back to RegRipper, I don't know everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is to know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Registry, and I certainly don't have any insight into your analysis goals, nor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you're currently examining.  If you've updated RegRipper with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest set of plugins, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no guarantee that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are plugins that will extract and parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data pertinent to your case.  There may be a plugin that parses data from an older version of that application cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user launched, but it hasn't been updated in 8 years.  Or maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user used an application for which no plugin exists.

Tool and framework development is great; what better to make your work go quicker, more efficient, and less error prone than automation?  And I don't expect that all of a sudden, everyone will know everything; again, that just doesn't make sense.  However, as practitioners, we shouldn't rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools and frameworks to automagically provide all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data needed for our case, parsed and displayed for our analysis.  Instead, we need to be vigilant, and ensure that we're looking at such things with a critical eye.

My hope is that more folks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR industry will use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools and frameworks as a means to develop deeper knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and artifacts, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than an excuse to not do so.

Sunday, May 05, 2019

Being a DFIR Speaker

Brett recently posted a very good article on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three fears folks encounter when comes to public speaking in DFIR.

Reading his article, and re-reading it, got me to thinking about my own experiences.  My first experience speaking in DFIR was at LISA NT 2000; however, it wasn't my first public speaking experience.  I'd taken a required public speaking course in college, and like most folks in college, did what I could through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course, did a brain dump on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exam, and walked away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material.  That was a mistake.  I was headed into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marine Corps, and guess what...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y put each and every one of us on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hot seat, over and over again.  It began with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "impromptu speech" exercise in Officer Candidate School, where we were each given a few minutes to put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a short speech on a topic that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platoon commander gave us, and we had to give that presentation in front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platoon.  No props, no PowerPoint, no finger puppets...just put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and present a concise, coherent presentation.  This training continued cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following summer after commissioning as each of us went through The Basic School; for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was an evolution of instruction called "techniques of military instruction", where we each had to give a short presentation after choosing from several topics, such as "field sanitation".  Throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 six months of training, we were constantly giving presentations...patrol orders, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 5-paragraph orders.

When I returned to The Basic School as an instructor, I had to go through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "murder board"...I had to give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classes I would be presenting in front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of my team, which included ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r LTs, Capts, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Major in charge of our group.  After that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was continual process improvement, as I gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various classes and presentations to student companies (2ndLts and Warrant Officers), and processed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir instructor review forms from each class.

So, yeah...I had a good bit of practice.  Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feedback was constructive.  In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r instances, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feedback was purposely negative, so that we'd get used to receiving negative feedback.  However, when I was standing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 podium for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time, giving my first presentation in front of a technical audience in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector, I was already pretty beat by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anxiety from my imposter syndrome had kept me amped for so long, I was pretty tired by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I said, "hello" into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 microphone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r opportunity I had to present at a major conference was in New Orleans; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference organizers thought it would be a good idea to hold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference during Mardi Gras.  This was both a good and bad idea at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, because it gave folks something to do besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference.  One I was accepted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference, I was really looking forward to meeting and engaging with a couple of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks who would be teaching training courses before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference...but that ended up being a non-starter, as several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m disappeared into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party crowd cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir course was complete.

When it came my time to speak, I dutifully got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room a few minutes early to ensure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV was suitable, I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right connectors (VGA, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time) and everything was set up.  When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time came for me to speak, I looked up and all I could see, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire room, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks recording cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir lights.  I quite literally could not see anyone else in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room, and was just about to cancel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk when I realized that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were actually four people in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room besides me, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video crew.  However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd all decided to sit behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stadium lights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video crew was using, and I couldn't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  I ended up giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation to what I assumed was all four people...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room may have opened and closed once or twice during my talk, I don't remember.

Some things that I've found over time are good to prepare yourself for...

There's always going to be someone asking what seems to be out-of-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-ballpark questions.  When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question gets asked, your mind is going to be racing to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question and apply it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation and conference.  You'll have just spent weeks, or even months, preparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 materials, and even practicing your presentation.  And you'll have just spent 45 minutes or more, with your mind racing while you were speaking...are you hitting all of your points, are you saying what you wanted to say, oh, god I'm not really reading directly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides, am I?  Sound exhausting?  It is.  And you'll get that way-out-beyond-left-field question. 

My recommendation...racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than trying to do a pretty massive context switch on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fly, just say that you'll take it off-line.  Don't get into a back-and-forth right cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, because it'll just chew up time and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs won't be able to ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir questions.  Or, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of presentations just before a break, or lunch, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, get to whatever's next.  Besides, it's better to be able to focus your attention on those types of questions when you're not on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 podium.

Similar to this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "...what happens if you..." or "...did you do this..." question.  I remember years ago I was presenting at a conference on NTFS alternate data streams, and I ran through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 litany of examples, only to get, "...did you try this?"  If you're confident in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Demo Gods are kind to you that day, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing wrong with opening a command prompt and giving it a shot.  After all, I strive to learn something new from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, when I have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity, and this is a good way to go about it.  However, in this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question was a "...what happens if you...?" question, and I turned it around...I knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question had a Windows laptop open in front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, so I asked, "...why don't you try it and let us all know what you find."  Now, this wasn't intended to put that person on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spot, nor to single cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m out.  The purpose of my responding what way was to demonstrate that when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference was over and we weren't all in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it's possible to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to our questions by simply trying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things ourselves.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspect of this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 smartest person in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room.  You know who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are, because you've seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m at conferences, just like I have.  These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks who have a question, stand up, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first word out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mouth is "I", and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't actually ask a question.  Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y intend it or not, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir delivery is going to come across as, "look how much I know" or "look at how smart I am".  Now, I'm not suggesting that this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intention, I'm simply saying that this is how it comes across, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se situations is to thank cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and maybe follow up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference. 

Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long-winded talker who takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity, once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mic and everyone's attention, to abscond with it.  Yes, its exactly how it sounds...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be someone who "runs away" with your presentation once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 microphone.  This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one of those, "...let's take this offline..." moments. 

There are going to be people who ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question you just answered.  Literally.  I've been to conferences (attended, as well as been a speaker...) where speakers have to submit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir presentations prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference date.  The presentations are provided on a CD/DVD, or at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference web site.  In more recent years, this has all been part of smartphone apps for some conferences; everything, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 schedule and presentation materials are available via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app.  When it comes time for you to speak, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference who introduces you will usually make a statement about where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation materials can be found, and some speakers may also have a URL in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir presentation (maybe at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning, usually at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end) as to where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slide deck or materials can be found.

And yet, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will still be someone who asks if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 materials will be available, and if so, where/when.  It happens.

What I've seen more recently is that even though presentation materials are available, attendees will use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir smartphones to take pictures of slides.  I'm not at all sure why people do this if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 materials are available, but from my perspective as a speaker, it simply tells me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't interested in what I have to say.

Final Words
I don't for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 life of me believe that anything I've shared here today is isolated to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community.  Not at all.  I am sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se same sorts of things happen in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r communities and at conferences of all types.  However, I'm sharing what I've seen over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years in hopes that it will help ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y prepare to venture forth and engage in speaking at conferences.  If it's a good experience for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're more likely to continue.  Good luck.

Lessons From Time In The Industry

I recently had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to give a presentation to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class taught by a good friend of mine.  She'd asked me well in advance, and over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weeks leading up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation, I went back and forth on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject matter...what would I talk about to a group of folks just coming into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry?  I ultimately gave a presentation on Registry analysis, but I had compiled some notes on various ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r topics, including one of which I'd titled, "Lessons Learned In The Industry".  By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time we got to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation, I had more than a few pages of notes, with edit marks, sticky notes, and I'd even written up a couple of Word documents that were now sitting on my desktop.

Instead of crumbling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notes up and deleting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Word docs, I thought it might be a good idea to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notes written out into some semblance of a presentation, and blog post was as good a place to start as any.  Also, this gives me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to put something down in writing and edit it, hopefully making it into something that makes a bit of sense before publishing it.

A little bit about myself to provide some context; I started in "information security" about 30 years ago.  If I had to tie my time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field back to a single point in time, my first real introduction to 'security' came in my initial military training.  This training didn't involve computers, but had to do with information security overall.  A lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training involved terrorism awareness (i.e., unusually heavy or dense packages, misspelled names or addresses, stains on packages, etc.), cryptographic equipment, communications security, aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication, etc.  All of this maps directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'cyber' realm today, except for perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue of misspellings.  As a community, we've gotten to a point where misspellings and issues with grammar are accepted as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norm.

Getting Started
We all start someplace.  I started down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road of computer-based information security while I was in graduate school.  As I've mentioned before, I was in grad school at a very interesting time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer industry.  Not only was I attending school on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outskirts of Silicon Valley, but new versions of operating systems were coming out (Windows 95, Windows NT, OS/2 Warp, etc.), and some network security tools (SATAN) were just being developed and released.  After finishing my degree program, I took a class in Java programming out of SJSU, in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 professor spent a lot of time talking about "shippable places".  This is all to say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a lot going on in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, and a lot of different paths one could follow.

All in all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se were very interesting times, and I was in an very interesting place.  Things were no more or less interesting than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are now, just different.  I was transitioning from military to civilian life, and needed to find "my place", and like many who are just coming into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a LOT out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re!  So much so, it could be very overwhelming.  All of this is to simply say, I get it. Been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. My recommendation to you, if you're new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, is to not overwhelm yourself.  Being overwhelmed is self-inflicted; don't do that to yourself.  Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a lot to learn, but you don't have to know all of it now.  And you're never going to know all of it.  No one does.

Pick an area of interest, and learn about it.  At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, you may decide, "meh, this isn't for me." And you know what?  That's great.  That's okay. That's freakin' awesome!  Don't do something you don't enjoy.  That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great thing about this industry - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are so many things out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, like hard, technical skills, soft skills, etc., that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's something for everyone. You can be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best technical writer, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best policy analyst, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best malware reverse engineer you can be.  You can be a great pen tester, or you can opt for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'blue' side, in DFIR.  Within each of those broad areas, you can furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r specialize.  But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is, don't try to boil cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocean.

Be a good generalist, but also specialize in something.  Become good at something.  Then become good at something else.  But also understand, you don't have to be great at everything.  Understand that, deep in your bones.  Know it.  Because you're going to run into "gatekeepers" in this field (just as you will in any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r field) who are going to tell you that in order to be a success, you have to model yourself after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  Not true.  In fact, some of those folks who demand that you be great at everything have some pretty major holes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own armor.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I've done is look to an area that doesn’t already have a great deal of attention.  For example, when I was a kid, I played soccer. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, everyone wanted to be a forward...forwards scored goals and got all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 glory.  No one wanted to be a defender, a fullback, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last line of defense before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal keeper.  But instead of competing for a forward slot, I ended up getting pretty good at being a defender. Jump forward 20-odd years, and I was working in a shop with half a dozen folks who all swore that Linux was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only true operating system in existence, and no one was taking a good hard look at Windows from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of performing vulnerability assessments.  And yet, all of our customers had infrastructures that consisted of mostly Windows systems.  So, I started digging into Windows systems, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of understanding how to not only determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point-in-time state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, but also how to look across all systems and determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of processes and procedures for that environment.  Along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, I ran across this fascinating thing called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Registry", and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I dug into it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I learned that I didn't know.  Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I dug into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I learned that few, if any, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysts were really interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry.  In those early days, when I would take a break from learning about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry and talk to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, I'd learn that most acknowledged that it existed, and some even knew something about it.

Just because I've written two books on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Registry doesn't make me an "expert". Nor has it led to me being sought out, nor recruited, as an expert.  But you know what?  I enjoy digging into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, seeing what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n looking to see how user and adversary behaviors are reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry.

A great way to see how far you've come in a learning something is to put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a presentation, and teach what you know to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.  This can be as simply as a "lunch-and-learn" brown bag training session for your team, even done remotely.  This can really help you put your thoughts in order, and as you're developing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation, maybe even see gaps in your knowledge and understanding.  Start with what academics call a "literature search"...see what else is already out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.  If you don't have something ground-breaking or earth-shattering, don't worry about it...we all don't know everything, and it's more than likely that most of what you're going to present is going to be beneficial to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, anyway.

Speaking of presenting, Brett Shavers recently published a really good article covering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three most common fears folks encounter when speaking in DFIR.  Not only does my own experience show that Brett's right, but by putting a name to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fears, we call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shadows and into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 light where we can address and overcome cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

The Most Important Thing
The most important thing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry is you.  Self-care is critically important in this industry.  There will be a good deal of stress placed on you; some, or most of it may be self-inflicted.  You need to ensure that your physical, emotional/mental, and spiritual needs are met.

As an incident responder and consultant, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were times when I was flying out to some remote location. I didn't always have control of when that would occur; many times, a customer would call for immediate response on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West Coast after I'd already put in a full day's work.  This meant that I would get rest as I needed it, stay hydrated, eat healthy (something you can't always do on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road), and be sure to take vitamin supplements, as needed.  To this day, I like to keep Airborne on hand, and will be more focused on taking it when I know I'm traveling.

From an emotional perspective, put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time in to learn about and understand yourself.  Understand what works for you and what doesn't.

I've taken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Myers-Briggs Type Indicator test a lot over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years.  It started when I was on active duty, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole time I've been a very strong ISTJ, and I haven't really deviated from that over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years.  What does that mean?  Well, as an "introvert", I recognize how engaging with crowds or large groups of people affect me.  I can go to a conference, engage and participate, but at some point, I'm going to need some "me time".  This can be as simple as getting away for a few minutes, taking a nap, or getting some exercise.  I know that when I do this, I can return refreshed and ready to engage again, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than be exhausted, sullen, and moody.  People recognize when everything about your body languages says, "I just want to get out of here".  When I've been to multi-day user conferences, try to plan for down time, so I can recharge.

A great book to read, for anyone, is Chapman's The Five Love Languages.  Reading this book and thoughtfully applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content to ourselves is a great way to begin, or continue, developing self-awareness.  This book applies to relationships, and not just relationships with a spouse or better half, but any relationship.  You can apply what you learn from this book to your kids, family members, friends, and it will even apply when you're doing incident response.  For example, different customers will respond in different ways; some will get a sense of your credibility because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see you doing things, but ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs may react better to direct, concise verbal reports, or to you just spending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r develop self-awareness by studying emotional intelligence.  Understand your "triggers", learn to recognize those internal forces that cause you to react or feel a certain way, and do this before responding.  Develop an understanding of why you react cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way you do, before you respond.  If someone says something to you, verbally, via email or Twitter, etc., what is it that causes you to react cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way you do?  Is your reaction negative or positive?  Remember, not everyone has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same perspective you do, and someone who's responding to you, especially online, is going to be in a place that you can't see and may not understand.  So, look at your reactions before responding.

Develop A Network
No one of us knows everything.  I know, I know...that's not easy to hear.  It's easy for us to sit back and assume that someone else knows everything, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use that as an excuse to not engage with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  This means that we miss an opportunity to develop our network.  The reason for this is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no one person that knows everything or has seen everything in this industry, and sometimes, just seeing a different perspective, even seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing but from a different point of view, can be very enlightening.

Developing a network goes far beyond clicking "Like", or "RT". Or even beyond clicking both "Like" and "RT".  It goes well beyond just sending someone a connection request, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n doing absolutely nothing beyond that.  Developing a meaningful network requires effort, not only in reaching out to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, but also responding when ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs reach out.

Stories abound of people not getting jobs through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional application submission process, but finding a great job via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network.  This happens because those people put in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network.  They reached out to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, and responded when ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs reached out.

When you are engaged in developing a meaningful network, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r online or in-person/IRL, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some of things you can do to make things work for you.

First, Be Present.  Nothing says you're simply not interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r person more than being distracted and somewhere else mentally. If you're going to attend a social function, a conference presentation or a meeting, and if you absolutely cannot be away from your phone and your email, don't go.  Reschedule.  Send someone else.

What does not being present look like?  Someone goes to a conference, one for which all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers had to send in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir slide decks for inclusion on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference DVD or at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference web site.  I've been to conferences where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 schedule and all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentations were available on a smartphone app, so any attendee could access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m at any time, and didn't have to be sure to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference.  Then at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker states, "...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se slides are available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference ...".  However, by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation, someone still asks if and where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides will be available.

USMC Gen. John Allen has been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news recently, and I associated with him back when he was a Major, and we were both stationed at The Basic School (he commanded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Infantry Officers Course).  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things he'd have his instructors do is ask leading questions before a class, and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 student officers were not "present", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would reschedule cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class for a less convenient time.

Being Present leads to Ask Good Questions.  If you're read a blog post, an article, or just attended a conference presentation or webinar, be sure to ask questions relevant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic.  If someone puts forth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort to develop a conference presentation or article about something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did, maybe it's best to leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "...did you also do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things..." questions for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r time, or medium.  Don't subvert or abscond with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context, using it as an opportunity for your own agenda.  If you have a question about something ancillary to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic, be sure to ask, but do so in a manner and at a time when doing so doesn't derail cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversation.

Learn to Communicate, in both written and verbal form.  None of us are born with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 innate ability to clearly and concisely communicate, it's something we learn over time, through experience and with feedback.  I have had experience writing, in various forms (reports, performance reviews, etc.), throughout my career, and I still had to work through understanding my boss's preferred writing style...what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y preferred to see with respect to format and content in reports...at various jobs.  Very few of us are just inherently good communicators, and most of us need to work at it.  A little bit of effort in this area will go a long way.

Think about it.  Say you're a DFIR analyst or technical threat hunter.  Now, you have to clearly and concisely communicate your findings and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir impact to a customer, someone who's not as technical as you are, and someone who has a different perspective and an entirely different set of concerns than you.  This is also someone who's looking to you, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'expert', to communicate with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in a means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can understand.  This means that you can't communicate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as you would your peers.

Seek Feedback.  I found this to be highly effective when working high-stress IR engagements (I know what you're thinking, "...aren't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all??").  By finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate time to ask my point of contact, "how're we doing?" or "how're things going at this point?", I'd get valuable information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir expectations and perspective.  From that feedback, I could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n compartmentalize those things that I needed to address immediately, and those things I needed push up to my manager immediately.

This isn't limited to customers.  As an analyst, seek feedback from your peers and your manager, and if you're a manager, seek feedback from your subordinates.  Create a culture where it's easy to do this, without fear that it will be "used against" someone, but will instead be used to make everyone better analysts, better teammates, and stronger peers.

When it comes to your network, and making it stronger, Stop Assuming. What is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumptions I hear from people?  "I assumed you were too busy to answer my email."  Nothing is furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth.  I know that some people where "busy" like a badge of honor, so I get it.  But that's not me.  Yes, I have reached out to people, via what I thought was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir preferred medium (i.e., email, Twitter, etc.) and not received so much as an acknowledgement.  But so what?  I have no idea what's going on in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir life.  The simple fact is that I've always tried to respond in a timely manner, even if it's just a "hey, I got your email and I'll take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time here soon to give it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention it deserves".  Don't let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumption that "...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're too busy..." be your self-inflicted excuse for not asking someone a question.

There are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r assumptions I hear, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is, you can assume something and limit yourself through a self-imposed obstacle, or you can just ask.

Finally
The last thing is to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "3 Foot World" principle in mind.  You can only directly affect those things within three feet of you, within arm's reach.  I got this principle from reading a first-person account by a member of SEAL Team 6, as he was recounting going through specialized training in rock climbing.  The thing is, it applies to life equally well.  We have to understand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only thing that we can control is ourselves...how we respond to things...and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only things that we can directly impact are those things within our 3 Foot World.

What does this mean?  Well, when I was doing incident response on a regular basis, I realized early on that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se events are stressful for everyone involved.  However, I cannot control when an adversary is going to suddenly become visible to a customer, and I cannot control how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer is going to respond.  However, what I could control was my own "3 Foot World", and I did that by developing a process to be prepared for those calls for immediate response that invariably came in at 10:45pm on a Friday.

Before GPS was readily available, I'd get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address of where I was going in relation to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 closest airport, and print out 3 different levels or "views", to have with me.  That way, I knew how to get where I was going once I was on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground.  Once GPS devices got to a point where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were affordable, one of those went into my carry-on bag.  Copies of all imaging documentation, along with any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r important templates, went into both my carry-on bag and my checked Pelican case.  I had a hard copy of all important phone numbers (my boss, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer, etc.), in case all I was left with was a credit card, or just a quarter, to make a phone call (i.e., "my cell phone died" was no excuse).

Everything that went into my carry-on bag went into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same place.  The same was true for my Pelican case...everything went into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same place, and got repacked in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same place when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engagement was complete.  Tableau imagers, laptops, cables, documentation...everything went into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same place.  Also, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was time, priority was placed on ensuring that software was updated between engagements.  Did I have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest copies of commercial tools, were my processes up-to-date?

The purpose of all of this was to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best service I could to a customer, given that I'm going to be engaging with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m during a really stressful time, very likely when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were exhausted, as well as when emotions were running high.  Showing up on-time and prepared may seem like a little thing, but when you're meeting with someone for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been pulling 20+ hr days for 10 consecutive days, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing out of your mouth is, "Sorry I'm late..." or "...I forgot this very important item that I need to do my job..."...needless to say, that does not make for a good first impression.

Recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "3 Foot World" principle, and apply it.