Tuesday, January 28, 2020

"Hidden" Prefetch File Analysis and Alternate Data Sources

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I like to do is engage in DFIR analysis of CTF and challenge images, just to see what pops out and what new things I can learn.  I did just that recently with Dr. Ali Hadi's challenge #4, described as "launching attacks from alternate data streams".  Dr. Hadi also has a corresponding blog post where he digs a bit deeper into how this approach can "bypass normal forensic analysis".  Actually, that last part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title, about bypassing "normal forensic analysis", is what really got me interested in exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic a bit furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  Let's take a look...

I've been aware of and fascinated by NTFS alternate data streams (or "ADSs") for quite sometime; not just that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y exist, but also how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be and have been used.  ADSs have always been pretty cool, and something of a novelty to me; while I know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are and look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m during analysis, I don't often find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m used for malicious purposes during DFIR engagements.

Dr. Hadi's blog post focuses primarily on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of a single artifact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application Prefetch files, which won't be available by default on Windows server systems. Also, you're not likely to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files on workstation versions of Windows running on SSD drives.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post, he uses several tools for parsing and deriving data from Prefetch files, but again cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus is on those files as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data source, when it comes to finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of ADSs.

While I don't want to think that is constitutes "normal forensic analysis", that may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case.  I like to use multiple data sources, in particular cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT, Registry, and Windows Event Log when looking at data, and I prefer to correlate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sources in a timeline format. 

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first things I noticed when parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ADS jumps right out, as shown below:

Sun May 26 08:36:19 2019 Z
  MFT_SI          - ...B [16] C:\Users\IEUser\Desktop\creepy\LPT1.txt  
  MFT_FN         - MACB [16] C:\Users\IEUser\Desktop\creepy\LPT1.txt  
  MFT_ADS       - ...B [809984] C:\Users\IEUser\Desktop\creepy\LPT1.txt:putty.exe

Now, an ADS shares cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamps of its "parent" file, and does not have time stamps of its own.  It does, however, have its own size value, which is good.  So, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parser I used clearly identifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ADS, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time listed may not correlate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual creation date of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ADS itself.  In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation time ("...B") of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ADS may more closely correspond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata modification ("..C.") time from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $STANDARD_INFORMATION attribute, depending upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual circumstances.

In this case, we have anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data source available, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "bam" key from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive, as shown below:

Sun May 26 08:41:41 2019 Z
  MFT_SI        - MA.B [0] C:\Windows\Prefetch\WELCOME.TXT  
  BAM            - \Device\HarddiskVolume1\Users\IEUser\Desktop\creepy\
              welcome.txt:putty.exe (S-1-5-21-321011808-3761883066-353627080-1000)
  MFT_ADS    - MA.B [6462] C:\Windows\Prefetch\WELCOME.TXT:PUTTY.EXE-A6BB0639.pf
  MFT_FN      - MACB [0] C:\Windows\Prefetch\WELCOME.TXT  

In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were remnants found in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data sources, as well.  For example, parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SRUDB.DAT database file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following entries were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Application Resource Usage tab of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting XLSX file:

\Device\HarddiskVolume1\Users\IEUser\Desktop\creepy\LPT1.txt:putty.exe
\Device\HarddiskVolume1\Users\IEUser\Desktop\creepy\COM1.txt:revshell.exe

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following entry was found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network Usage tab of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same XLSX file:

\device\harddiskvolume1\users\ieuser\desktop\creepy\com1.txt:revshell.exe

Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following entries were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatCache data within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Registry hive:

\\?\C:\Users\IEUser\Desktop\creepy\welcome2.txt:revshell.exe  Sun May 26 08:33:33 2019 Z
\\?\C:\Users\IEUser\Desktop\creepy\COM1.txt:revshell.exe  Sun May 26 08:37:34 2019 Z
\\?\C:\Users\IEUser\Desktop\creepy\LPT1.txt:putty.exe  Sun May 26 08:37:19 2019 Z
\\?\C:\Users\IEUser\Desktop\creepy\welcome.txt:putty.exe  Sun May 26 08:33:19 2019 Z

As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no shortage of artifacts related to ADSs on a Windows system.  The key take-away here for analysis is to not restrict your analysis to just a single artifact; instead, make a holistic approach your new "normal forensic analysis" process.

I want to thank Dr. Hadi for not only providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image file, but for also putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post describing his findings with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of ADSs, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application Prefetch file artifacts.

2 comments:

Lakshmi N said...

Nice post Harlan, as usual. I liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 holistic view of looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole picture to detect additional artifacts related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ADS in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of a timeline. That is something i do in all my investigations, but I could not look away from noticing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT parser that you have that incorporated into your timeline. Is this your modified MFT.pl that creates TLN output. Reason i ask is, currently I use mftdump and a python script to convert it into TLN format. It works but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is not updated in a while. Is that tool available?

Again, thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 valuable tools you created. Regards, Lakshmi N

H. Carvey said...

Lakshmi,

Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment.

I don't release everything, and more recently, I've taken to releasing less.

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of mft.pl that I used for this post is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same one I previously released.

Thanks.