Wie Windows-Admins mit Computerforensik starten können

Die Analyse von forensischen Protokollen erfordert eine besondere Vorgehensweise. Hier sind die Grundlagen, die Sie wissen müssen, und die wichtigsten Tools. [...]

(c) pixabay.com

Das jüngste Cybersicherheitssymposium, das beweisen sollte, dass die US-Wahl 2020 ein Betrug war, machte Schlagzeilen nicht wegen der gefundenen Beweise, sondern wegen des Fehlens von Beweisen. Während ich die dreitägige Veranstaltung verfolgte, wurde mir bewusst, wie unbekannt die meisten der hinter Computern stehenden Technologien sind. Eine kleine Offenbarung: Ich habe zwar Computersysteme analysiert und sogar vor Gericht darüber ausgesagt, aber ich würde mich nicht als Expertin in allen forensischen Belangen betrachten. Ich kann mit Bestimmtheit sagen, wie ein Windows-Ereignisprotokoll aussieht, aber wenn ich mir eine Software ansehe, mit der ich nicht vertraut bin, weiß ich nicht, wie sie „normal“ aussieht.

Bei der Computerforensik geht es darum, genau zu verstehen, was ein Computer tut, welche Beweise er hinterlässt, welche Artefakte man untersucht und ob man zu einer Schlussfolgerung darüber kommen kann, was man sieht. Der Experte für die Erfassung von Datenpaketen, Robert Graham, brachte es kürzlich in einem Tweet auf den Punkt:

Denken Sie daran, dass wir versuchen, eine Welt von Dingen zu durchforsten, die wir nicht verstehen und die verdächtig aussehen, und eine Welt von Dingen, die wir verstehen, und mit denen wir genau feststellen können, was passiert ist.

Fragen, die man sich vor einer forensischen Untersuchung stellen sollte

Wenn ein Ereignis eintritt, sollten Sie sich als Erstes diese Fragen stellen:

  • Was hatten Sie vor dem Eintreten des Ereignisses aufgezeichnet?
  • Haben Sie die Ereignisprotokollierung aktiviert und mit Sysmon erweitert?
  • Wissen Sie, ob die Computer und Systeme, die Sie untersuchen wollen, zeitlich synchronisiert sind, so dass die Protokolldatei eines Geräts mit den Zeitstempeln eines anderen Geräts korreliert?
  • Kennen Sie den normalen Datenverkehr oder das Verhalten der Software, die Sie untersuchen wollen?
  • Wissen Sie, welche Websites oder IP-Adressen für diesen Computer normal sind und welche nicht?

Warum forensische Images anders sind

Die Überprüfung eines Computersystems mit einem Tool wie FTK Imager kann entmutigend sein, wenn Sie noch nie das forensische Image eines Computersystems erstellt haben und es in seiner unveränderten Form sehen. Sie sehen sich das System nicht in einer bootfähigen Form an. Vielmehr liegt es in hexadezimaler Form vor, oder wie ich es nennen würde, in einem abgeflachten Format, wie Sie im Video unten sehen können. Normalerweise beginnen Sie mit der Überprüfung, während das Image noch nicht gebootet ist. Sie können zwar forensische Tools verwenden, um das forensische Abbild zu mounten und zu booten, aber dazu ist ein Kennwort erforderlich, und Sie möchten vielleicht keine Kennwörter zurücksetzen oder entfernen.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Der forensische Analyst möchte wahrscheinlich die Daten analysieren und die gebootete virtuelle Maschine als potenzielles Beweismittel im Prozess speichern. Wenn es um Beweise geht, sagt ein Bild im Gerichtssaal mehr als tausend Worte.

Starten der forensischen Analyse eines Festplatten-Images

Um zu verstehen, was FTK Imager ist und kann, laden Sie das Programm herunter und erstellen Sie damit die Kopie eines beliebigen Beispielcomputers. Sie benötigen außerdem einen Vorrat an externen USB-Festplatten oder einen Netzwerkspeicherplatz. Machen Sie sich während des Lernens keine Gedanken darüber, was ein normaler forensischer Prüfer tun muss. Denken Sie an das Endziel einer forensischen Untersuchung, wenn Sie sie beginnen: Sie werden zu einer Schlussfolgerung kommen wollen, und Notizen über Ihre Beobachtungen helfen dem Ermittler beim Verfassen des Berichts. Tools wie FTK Imager haben sich zu einem Standardverfahren entwickelt, um ein Image des Laufwerks zu erstellen und den SHA-Hash-Wert des Laufwerks und seines Inhalts zu dokumentieren.

Sie können FTK Imager verwenden, um den Inhalt des Laufwerks zu überprüfen. Denken Sie daran, dass Sie sich das nicht gebootete Betriebssystem ansehen und daher einige Informationen erst analysieren müssen, bevor Sie feststellen können, was vor sich geht. Sie müssen wissen, wo sich die Ereignisprotokolle befinden und wo die Protokolldateien der einzelnen Anwendungen zu finden sind.

Oft sagt das nicht alles darüber aus, was in einem System vor sich ging. Wenn wir uns mehr den Cloud-Diensten zuwenden, müssen Sie die im Browser hinterlassenen Artefakte überprüfen, um festzustellen, was mit den Cloud-Diensten passiert ist.

Dann müssen Sie zusätzliche Protokolldateien hinzufügen, um Ihre Analyse zu untermauern. Im Idealfall finden Sie eine Firewall-Protokolldatei, die das, was Sie auf dem Computer sehen, stützt. Wenn Sie den Verdacht haben, dass ein Phishing-Angriff zu einer Übernahme einer Workstation geführt hat, die dann zu einer seitlichen Verschiebung und anschließend zu einem vollständigen Ransomware-Angriff führte, finden Sie in der Firewall Beweise für die IP-Adressen, auf die zugegriffen wurde, und für den Datenverkehr, der an einen Command-and-Control-Server ging. All diese Analysen erfordern ein umfassendes Verständnis der Funktionsweise von Computern sowie möglicherweise die Nachbildung einiger Sequenzen, um zu bestätigen, was Sie glauben, dass in Ihrem System vor sich geht.

Das Sammeln von Paketaufzeichnungen ist eine weitere Aufgabe, die geplant werden muss. Das typische Tool für die Analyse von Paketen ist Wireshark. Ähnlich wie beim Abbilden eines Systems ist es für das Verständnis dessen, was Wireshark Ihnen mitteilt, erforderlich zu wissen, was bei Ihrem System normal ist und was nicht.

Eine Windows 10 E5-Lizenz in Kombination mit Windows Advanced Threat Protection ist eine weitere Möglichkeit, eine forensische Echtzeit-Ansicht Ihres Computersystems zu erhalten. Das Microsoft Defender for Endpoints-Portal zeigt eine Konsolenansicht der Aktivitäten, die auf Ihrem Computer stattfinden. Auch hier kann es verwirrend sein, zu verstehen, was auf Ihrem Computer vor sich geht. Bei meinen eigenen Analysen von Computersystemen vergesse ich oft Aufgaben oder Tools, die ich installiert habe, und muss dann in meiner Dokumentation nachsehen, ob ich das fragliche Element, das ich auf dem Computer gesehen habe, tatsächlich eingerichtet habe.

Fazit: Die Computerforensik erfordert sowohl Zeit als auch beweiskräftige Protokolle. Vergewissern Sie sich, dass Sie Ihr Netzwerk für die Erfassung dieser Informationen im Voraus aktiviert haben. Die Protokollierung sollte auf den Geräten aktiviert sein und die Protokolle sollten gespeichert und archiviert werden. Führen Sie dieses Projekt nicht vor einem Live-Publikum durch. Es erfordert Zeit, Können und Nachforschungen. Oftmals muss man Testumgebungen einrichten und Aktionen nachstellen, um das zu bestätigen, von dem man glaubt, dass es vor sich geht.


Mehr Artikel

News

So werden Unternehmen autonom und resilient

Ein Unternehmen, in dem viele Prozesse automatisiert ablaufen, ohne menschliche Aufsicht, und das sich dabei kontinuierlich selbst optimiert? Fortgeschrittene KI und Automatisierungswerkzeuge liefern die dafür notwendige technische Grundlage, doch die Umsetzung ist in der Regel mit einigen Herausforderungen verbunden. […]

News

Grundlegende Metriken der Datenwiederherstellung: RPO und RTO verständlich gemacht

Wenn es um die Geschäftskontinuität geht, stechen zwei Schlüsselmetriken hervor: Recovery Point Objective (RPO) und Recovery Time Objective (RTO). Oft werden diese verwechselt oder die Diskussion dreht sich um RPO versus RTO. Beide Metriken sind jedoch für die Entwicklung effektiver Datenschutzstrategien und die Minimierung von Unterbrechungen und Datenverlusten unerlässlich. […]

Drohnen, die autonom und ohne GPS navigieren können, wären in der Lage kritische Infrastruktur wie Brücken oder Strommasten selbstständig zu inspizieren. (c) Fikri Rasyid / unsplash
News

Wie Drohnen autonom fliegen lernen 

Von wirklich selbstständigen Robotern, die durch eine komplexe und sich verändernde Umwelt navigieren können, sind wir noch weit entfernt. Neue Ansätze mit KI bieten eine Chance, diese Vorstellung ein Stück weit Realität werden zu lassen. Jan Steinbrener experimentiert an der Universität Klagenfurt mit Drohnen, die genau das versuchen. […]

Christina Decker, Director Strategic Channels Europe bei Trend Micro (c) Trend Micro
Kommentar

Wie der Channel die tickende Zeitbombe „Compliance-Risiko“ entschärfen kann

Cybersicherheitsregulatoren hatten ein geschäftiges Jahr 2024. Zuerst kam die NIS2-Richtlinie, deren Umsetzungsfrist Mitte Oktober ablief. Nur wenige Monate später trat in der gesamten EU der lang erwartete Digital Operational Resilience Act (DORA) in Kraft. Beide Regelwerke wurden dringend benötigt, haben aber auch enormen Druck auf Unternehmen in der Region ausgeübt. Besonders KMU spüren diesen Druck. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*