Packet recovery from an IP address

File analysis

Looking for executable content, John starts by using the file analysis capabilities

included within QRadar Incident Forensics. Now he can see a list of all of the files,

how often they were sent, whether they contained embedded files or scripts, and

their entropy scores. John quickly sees an image file which QRadar Incident

Forensics flagged as both suspect content and as having an embedded script.

The file entropy score, which measure the randomness of data and is used to find

encrypted malware, and the entropy distribution also clearly show that a portion

Figure 1. Recovery from an IP address

Figure 2. File analysis attributes

Chapter 4. Investigation tools

29

of the file is not what it should be. Further analysis proves that this file contains a

new form of malware that slipped by existing security measures undetected and

was responsible for the infected systems.

In the following diagram, entropy is used as an indicator of the variability of bits

per byte. Because each character in a data unit consists of 1 byte, the entropy value

indicates the variation of the characters and the compressibility of the data unit.

Variations in the entropy values in the file might indicate that suspect content is

hidden in files. For example, the high entropy values might be an indication that

the data is stored encrypted and compressed and the lower values might indicate

that at runtime the payload is decrypted and stored in different sections.

John now needs to understand where this file came from and who else might have

it. John uses QRadar Incident Forensics to quickly find the web server that

supplied the infected image file. The web page in question is popular for

broadcasting the most current news for everyone’s favorite NFL team and is

compromised. Even though the website contained many images, it was only the

one image that John found earlier by using file analysis that contained the

embedded malware.

Download 1,36 Mb.

Do'stlaringiz bilan baham: