Tuesday, April 14, 2020

Registry Analysis, pt II

In my last blog post, I provided a brief description of how I perform "Registry analysis", and I thought it would be a good idea to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual mechanics of getting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of performing Registry analysis.

First off, let me state clearly that I rarely perform Registry analysis in isolation from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data sources and artifacts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.  Most often, I'll incorporate file system metadata, as well as Windows Event Log metadata, into my analysis in order to develop a clearer picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity.  Doing this helps me to 'see' activity that might be associated with a threat actor, and it goes a long way towards removing guesses and speculation from my analysis.

For instance, I'll incorporate Windows Event Log record metadata using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:

C:\tools>wevtx.bat d:\case\*.evtx > d:\case\evtx_events.txt

The above command places cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 record metadata, decorated using intrusion intel from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eventmap.txt file, into an intermediate file, with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5-field TLN format.  I can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n make use of just this file, or I can incorporate it into my overall timeline events file using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'type' command:

C:\tools>type evtx_events.txt >> events.txt

That being said, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are times when I have been asked to "take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry", and during those times, my hope is to have something around which to pivot...a service name, a specific date and time, some particular event, etc. I'll start this process by listing all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry keys in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software and System hives based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key LastWrite times, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following commands:

C:\tools>regtime -m HKLM/Software/ -r d:\case\software > d:\case\reg_events.txt
C:\tools>regtime -m HKLM/System/ -r d:\case\system >> d:\case\reg_events.txt

Note: RegRipper will tell you if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive you're accessing is 'dirty', and if so, you'll want to strongly consider merging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction logs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive prior to parsing.  I like to do this as a separate process because I like to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original hive file available so that I can look for deleted keys and values.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a suspicion or evidence to suggest that a local user account was created, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n adding metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAM hive is pretty simple and straightforward:

C:\rr3>rip -r d:\case\sam -p samparse_tln >> d:\case\reg_events.txt

When I say "evidence to suggest" that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat actor added a local account to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, one way to check for that is to hope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right auditing was enabled, and that you'd find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate records in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Event Log. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to check is to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAM Registry hive:

C:\rr3>rip -r d:\case\sam -p samparse

Then, correlate what you see to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProfileList key from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive:

C:\rr3>rip -r d:\case\software -p profilelist

Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two data sources allows us to correlate user accounts and RIDs to user profiles on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.  In many cases, we'll have to consider domain accounts (different SIDs), as well.

I'll also include ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r specific information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry hives in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline:

C:\rr3>rip -r d:\case\system -p shimcache_tln >> d:\case\reg_events.txt
...

I'll also incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache metadata, as well:

C:\rr3>rip -r d:\case\amcache.hve -p amcache_tln >> d:\case\reg_events.txt

For a user, I generally want to create a separate mini-timeline, using similar commands as above:

C:\tools>regtime -m HKCU/ -r d:\case\user\ntuser.dat -u user > d:\case\user\reg_events.txt
C:\tools>regtime -m HKCU/ -r d:\case\user\usrclass.dat -u user >> d:\case\user\reg_events.txt
C:\rr3>rip -r d:\case\user\usrclass.dat -u user -p shellbags_tln >> d:\case\user\reg_events.txt
C:\rr3>rip -r d:\case\user\ntuser.dat -u user -p userassist_tln >> d:\case\user\reg_events.txt
...

Note: If you're generally looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same artifacts within a hive (NTUSER.DAT, etc.) over and over, it's a good idea to open Notepad and create a RegRipper profile.  That way, you have a documented, repeatable process, all in a single command line.

Note: If you're looking at multiple systems, it's not only a good idea to differentiate users on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "-u" switch, but also differentiate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "-s" switch in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper command lines.  You can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system name via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compname.pl RegRipper plugin.

Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events file has been created, I have a source for parsing out specific items, specific time frames, or just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire timeline, using parse.exe.  I can create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire timeline, and based on items I find to pivot on, go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events file and pull out specific items using combinations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type and find commands.  The complete timeline is going to contain all sorts of noise, much of it based on legitimate activity, such as operating system and application updates, normal user activity (logins, logoffs, day-to-day operations, etc.), and sometimes it's really helpful to be able to look at just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 items of interest, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in correlation with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r items of interest.

Note: If you have a standard extraction process, or if you mount images using a means that makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files accessible, all of this can be automated with something as simple as a batch or shell script.

Once I get to this point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual analysis begins...because parsing and display are not "analysis".  Getting one value or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time to one key is not "analysis".  For me, analysis is an iterative process, and what I described above is just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step.  From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I'll keep a viewer handy (usually MiTeC's WRR) and a browser open, allowing me to dig in deeper and research items of interest.  This way, I can see values for keys for which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are not yet RegRipper plugins, such as when a new malware variant creates keys and values, or when a threat actor creates or modifies keys. When I do find something new like that (because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process facilitates finding something new), that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n becomes a RegRipper plugin  (or a modification to an existing plugin), decoration via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eventmap.txt file, etc.  The point is that whatever 'new thing' is developed gets immediately baked back into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall process.

For example, did a threat actor disable Windows Defender, and if so how? Via a batch file?  No problem, we can use RegRipper to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry keys and values.  Via GPO?  Same thing...use RegRipper.  Via an sc.exe command?  No problem...we can use RegRipper for that, as well.

What about open source intrusion intel, such as this FireEye blog post?  The FireEye blog post is rich with intrusion intel that can be quickly and easily turned into plugins and event decoration, so that whenever those TTPs are visible in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst is immediately notified, providing pivot points and making analysis vastly more consistent and efficient.

No comments: