Sunday, April 12, 2020

Registry Analysis

When you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words, "Registry analysis", what comes to mind? 

Okay, now...what actually happens when we 'do' this thing we call "Registry analysis"?  More often than not, what this refers to manifests itself as opening a Registry hive file in a viewer, "looking around", or maybe doing some searches or sorting based on dates.  But is that really Registry analysis, or is it simply parsing and viewing?

Often, when you get right down to it and peel back all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 layers (like an onion), "analysis" (in general) from an operational perspective manifests as:
  • Get a data source, often based on a list provided by an external resource
  • Open that data source in a viewer, or parse it and open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output in anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r application (Excel)
  • Locate specific items, again often based on an externally-provided list; this can include conducting a search based on some items (time) or keywords
  • Do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data source
  • Lacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, rinse, repeat
For example, an analyst might extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT, parse it via a tool such as AnalyzeMFT or MFTECmd, search for specific files, or for files created or modified during a specific time frame, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n manually transpose that information into a spreadsheet.  If ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data sources are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n examined, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process is repeated, and as such, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall approach to getting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of actually conducting analysis (i.e., looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output from more than one data source) is very manual, very time intensive, and as a result, very expensive.

To that point, 'cost' isn't just associated with time and expense.  It's also directly tied in with what's included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst's final spreadsheet; more specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach lends itself to important artifacts and TTPs being missed.  OSINT regarding a threat actor group, based on analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group, most often focuses on IOCs does not account for TTPs and behaviors (i.e., how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and tools are used...).  This includes not just of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat actor's behaviors on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, but also as a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat actor's interactions with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ecosystem in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're operating.  OSINT is not intrusion intelligence, and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst uses that OSINT as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 totality of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y look for, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n critical data is going to be missed.

One way of overcoming this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of automation to consume and correlate multiple data sources simultaneously, viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in relation to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  Some have looked at automation tools such as log2timeline or plaso, but have experienced challenges with respect to how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools are used. Perhaps a better approach is a targeted, 'sniper forensics' approach, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usual "spray and pray" approach.

For many analysts, what "Registry analysis" means is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may have a list of "forensically relevant" items (i.e., keys and values), perhaps in a spreadsheet, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use to manually peruse hive files.  As such, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll open a hive in a viewer and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 viewer to navigate to specific keys and values (Eric's Registry Explorer makes great use of bookmarks).  This list of "forensically relevant" items within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry may be based on lists provided to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than developed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst, and as such, may not be complete.  In many cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lists are stagnant, in that once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are received, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r extended, nor are new items (if determined) shared back with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source.

Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than maintaining a list of keys and values that are "forensically relevant", analysts should instead consider what is "forensically relevant" based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis goals of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, and employ a process that allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to not only find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 items cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're looking for, but to also 'see' new things.  For example, I like to employ a process that creates a timeline of activity, using Registry key LastWrite times, as well as parsing specific values based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir associated time stamps.  This process correlates hive files, as well...doing this using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive, user's NTUSER.DAT and USRCLASS.DAT, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache.hve file, all in combination, can be extremely revealing.  I've used this several times to 'see' new things, such as what happens on a system when a user clicks on an ISO email attachment.  Viewing all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'events' from multiple sources, side-by-side, in a consolidated timeline provides a much more complete picture and a much more granular view than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional "manually add it to a spreadsheet" approach.

Adding additional sources...MFT, Windows Event Logs, etc...can be even more revealing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall TTPs, than simply viewing each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se data sources in isolation.

No comments: