Showing posts with label MS. Show all posts
Showing posts with label MS. Show all posts

Thursday, March 03, 2011

Good IR Work

Mark Russinovich recently posted The Case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malicious Autostart to his blog.  I have to say, I think we are all very fortunate that Mark decided to post this; besides providing a very good demonstration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools that Mark has written and made available, but it also demonstrates what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community are seeing.  Chris Pogue recently did something similar with his Webcheck.dll post to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spiderlabs Anterior blog, and it's good to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se kinds of things posted publicly.

Mark's post provides some really good information about what was found during a support call, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools and techniques used to find it, as well as to dig deeper.  One thing that's interesting to point out is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system may have included subversion of Windows File Protection (not that that's not trivial...), as it's mentioned that  cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user32.dll files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system32 and dllcache directories were modified.

Posts like this give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of us an opportunity to see what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are facing and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're addressing those challenges.  Being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech support in my household, I'm somewhat familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir use, but I can't say that I've seen something like this.  What I like to do is see how this methodology fits into my own processes.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, a user ("Mihailik") asks about determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection vector, to which Mark responds:

Unfortunately, that's a question just about anyone fighting a new malware infection will have a near impossible time of determining. Unless you actually see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection as it takes place, you can't know - it could have been someone executing a malicious email attachment, opening an infected document, or via a network-spreading worm. 

I would suggest that by using timeline analysis, many of us have been able to determine infection vectors.  I know that folks using timelines have nailed down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original infection vector in some cases to phishing emails, attachments, browser drive-bys, etc. The timeline may give an indication of where you should look, and examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual files (PDF or Word document, Java .jar file, etc.) will illuminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  Determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection vector may not have been something that could be easily done on this system, during this support engagement, but for more IR-specific engagements, this is often a question that analysts are asked to address.

Tuesday, November 28, 2006

MS AntiMalware Team paper

I know I'm a little behind on this one, but I saw this morning that back in June, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS AntiMalware team released an MSRT white paper entitled "Windows Malicious Software Removal Tool: Progress Made, Trends Observed".

I've seen some writeups and overviews of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, particularly at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS ISC. Some very interesting statistics have been pulled from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data collected, and as always, I view this sort of thing with a skeptical eye. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overview:

This report provides an in-depth perspective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware landscape based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data collected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSRT...

It's always good for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader's expectations. What this tells me is that we're only looking at data provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS tool.

Here are a couple of statements from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overview that I found intersting:

Backdoor Trojans, which can enable an attacker to control an infected computer and steal confidential information, are a significant and tangible threat to Windows users.

Yes. Very much so. If a botmaster can send a single command to a channel and receive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Protected Storage data from thousands (or tens of thousands) of systems, this would represent a clear and present danger (gotta get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tom Clancy reference in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re!).

Rootkits...are a potential emerging threat but have not yet reached widespread prevalence.

I don't know if I'd call rootkits a "potential" or "emerging" threat. Yes, rootkits have been around for quite a while, since Greg Hoglund started releasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTRootkit v.0.40. In fact, commercial companies like Sony have even seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usefulness of such things. It's also widely known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are rootkits-for-hire, as well. Well, I guess what it comes down to is how you define "widespread". We'll see how this goes...I have a sneaking suspicion that since it's easy enough to hide something in plain sight, why not do so? That way, an admin can run all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit detection tools cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want and never find a thing.

Social engineering attacks represent a significant source of malware infections. Worms that spread through email, peer-to-peer networks, and instant messaging clients account for 35% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers cleaned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool.

I can't say I'm surprised, really.

These reports are interesting and provide a different view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware landscape that many of us might not see on a regular basis...it's kind of hard to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forest for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trees when you're face down in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mud, so to speak.

Even so, what I don't think we see enough of in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR and computer forensics community is something along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same lines but geared toward information that is important to us, such as forensic artifacts. For example, how do different tools stack up against various rootkits and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware, and what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by those tools?

Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A/V vendors note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various changes made when malware is installed on a system, but sometimes it isn't complete, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times isn't correct (remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MUICache issue??).

What would be useful is a repository, or even various sites, that could provide similar information but more geared toward forensic analysts.