Die Analyse von forensischen Protokollen erfordert eine besondere Vorgehensweise. Hier sind die Grundlagen, die Sie wissen müssen, und die wichtigsten Tools. [...]
Das jüngste Cybersicherheitssymposium, das beweisen sollte, dass die US-Wahl 2020 ein Betrug war, machte Schlagzeilen nicht wegen der gefundenen Beweise, sondern wegen des Fehlens von Beweisen. Während ich die dreitägige Veranstaltung verfolgte, wurde mir bewusst, wie unbekannt die meisten der hinter Computern stehenden Technologien sind. Eine kleine Offenbarung: Ich habe zwar Computersysteme analysiert und sogar vor Gericht darüber ausgesagt, aber ich würde mich nicht als Expertin in allen forensischen Belangen betrachten. Ich kann mit Bestimmtheit sagen, wie ein Windows-Ereignisprotokoll aussieht, aber wenn ich mir eine Software ansehe, mit der ich nicht vertraut bin, weiß ich nicht, wie sie „normal“ aussieht.
Bei der Computerforensik geht es darum, genau zu verstehen, was ein Computer tut, welche Beweise er hinterlässt, welche Artefakte man untersucht und ob man zu einer Schlussfolgerung darüber kommen kann, was man sieht. Der Experte für die Erfassung von Datenpaketen, Robert Graham, brachte es kürzlich in einem Tweet auf den Punkt:
Denken Sie daran, dass wir versuchen, eine Welt von Dingen zu durchforsten, die wir nicht verstehen und die verdächtig aussehen, und eine Welt von Dingen, die wir verstehen, und mit denen wir genau feststellen können, was passiert ist.
Fragen, die man sich vor einer forensischen Untersuchung stellen sollte
Wenn ein Ereignis eintritt, sollten Sie sich als Erstes diese Fragen stellen:
- Was hatten Sie vor dem Eintreten des Ereignisses aufgezeichnet?
- Haben Sie die Ereignisprotokollierung aktiviert und mit Sysmon erweitert?
- Wissen Sie, ob die Computer und Systeme, die Sie untersuchen wollen, zeitlich synchronisiert sind, so dass die Protokolldatei eines Geräts mit den Zeitstempeln eines anderen Geräts korreliert?
- Kennen Sie den normalen Datenverkehr oder das Verhalten der Software, die Sie untersuchen wollen?
- Wissen Sie, welche Websites oder IP-Adressen für diesen Computer normal sind und welche nicht?
Warum forensische Images anders sind
Die Überprüfung eines Computersystems mit einem Tool wie FTK Imager kann entmutigend sein, wenn Sie noch nie das forensische Image eines Computersystems erstellt haben und es in seiner unveränderten Form sehen. Sie sehen sich das System nicht in einer bootfähigen Form an. Vielmehr liegt es in hexadezimaler Form vor, oder wie ich es nennen würde, in einem abgeflachten Format, wie Sie im Video unten sehen können. Normalerweise beginnen Sie mit der Überprüfung, während das Image noch nicht gebootet ist. Sie können zwar forensische Tools verwenden, um das forensische Abbild zu mounten und zu booten, aber dazu ist ein Kennwort erforderlich, und Sie möchten vielleicht keine Kennwörter zurücksetzen oder entfernen.
Der forensische Analyst möchte wahrscheinlich die Daten analysieren und die gebootete virtuelle Maschine als potenzielles Beweismittel im Prozess speichern. Wenn es um Beweise geht, sagt ein Bild im Gerichtssaal mehr als tausend Worte.
Starten der forensischen Analyse eines Festplatten-Images
Um zu verstehen, was FTK Imager ist und kann, laden Sie das Programm herunter und erstellen Sie damit die Kopie eines beliebigen Beispielcomputers. Sie benötigen außerdem einen Vorrat an externen USB-Festplatten oder einen Netzwerkspeicherplatz. Machen Sie sich während des Lernens keine Gedanken darüber, was ein normaler forensischer Prüfer tun muss. Denken Sie an das Endziel einer forensischen Untersuchung, wenn Sie sie beginnen: Sie werden zu einer Schlussfolgerung kommen wollen, und Notizen über Ihre Beobachtungen helfen dem Ermittler beim Verfassen des Berichts. Tools wie FTK Imager haben sich zu einem Standardverfahren entwickelt, um ein Image des Laufwerks zu erstellen und den SHA-Hash-Wert des Laufwerks und seines Inhalts zu dokumentieren.
Sie können FTK Imager verwenden, um den Inhalt des Laufwerks zu überprüfen. Denken Sie daran, dass Sie sich das nicht gebootete Betriebssystem ansehen und daher einige Informationen erst analysieren müssen, bevor Sie feststellen können, was vor sich geht. Sie müssen wissen, wo sich die Ereignisprotokolle befinden und wo die Protokolldateien der einzelnen Anwendungen zu finden sind.
Oft sagt das nicht alles darüber aus, was in einem System vor sich ging. Wenn wir uns mehr den Cloud-Diensten zuwenden, müssen Sie die im Browser hinterlassenen Artefakte überprüfen, um festzustellen, was mit den Cloud-Diensten passiert ist.
Dann müssen Sie zusätzliche Protokolldateien hinzufügen, um Ihre Analyse zu untermauern. Im Idealfall finden Sie eine Firewall-Protokolldatei, die das, was Sie auf dem Computer sehen, stützt. Wenn Sie den Verdacht haben, dass ein Phishing-Angriff zu einer Übernahme einer Workstation geführt hat, die dann zu einer seitlichen Verschiebung und anschließend zu einem vollständigen Ransomware-Angriff führte, finden Sie in der Firewall Beweise für die IP-Adressen, auf die zugegriffen wurde, und für den Datenverkehr, der an einen Command-and-Control-Server ging. All diese Analysen erfordern ein umfassendes Verständnis der Funktionsweise von Computern sowie möglicherweise die Nachbildung einiger Sequenzen, um zu bestätigen, was Sie glauben, dass in Ihrem System vor sich geht.
Das Sammeln von Paketaufzeichnungen ist eine weitere Aufgabe, die geplant werden muss. Das typische Tool für die Analyse von Paketen ist Wireshark. Ähnlich wie beim Abbilden eines Systems ist es für das Verständnis dessen, was Wireshark Ihnen mitteilt, erforderlich zu wissen, was bei Ihrem System normal ist und was nicht.
Eine Windows 10 E5-Lizenz in Kombination mit Windows Advanced Threat Protection ist eine weitere Möglichkeit, eine forensische Echtzeit-Ansicht Ihres Computersystems zu erhalten. Das Microsoft Defender for Endpoints-Portal zeigt eine Konsolenansicht der Aktivitäten, die auf Ihrem Computer stattfinden. Auch hier kann es verwirrend sein, zu verstehen, was auf Ihrem Computer vor sich geht. Bei meinen eigenen Analysen von Computersystemen vergesse ich oft Aufgaben oder Tools, die ich installiert habe, und muss dann in meiner Dokumentation nachsehen, ob ich das fragliche Element, das ich auf dem Computer gesehen habe, tatsächlich eingerichtet habe.
Fazit: Die Computerforensik erfordert sowohl Zeit als auch beweiskräftige Protokolle. Vergewissern Sie sich, dass Sie Ihr Netzwerk für die Erfassung dieser Informationen im Voraus aktiviert haben. Die Protokollierung sollte auf den Geräten aktiviert sein und die Protokolle sollten gespeichert und archiviert werden. Führen Sie dieses Projekt nicht vor einem Live-Publikum durch. Es erfordert Zeit, Können und Nachforschungen. Oftmals muss man Testumgebungen einrichten und Aktionen nachstellen, um das zu bestätigen, von dem man glaubt, dass es vor sich geht.
Be the first to comment