Inhaltsverzeichnis
- Organisatorisches
- Intro
- Digitale Rettungskette / Cyber Security Netzwerk (CSN)
- häufige Angriffsvektoren
- Relevante Gesetze
- Datenschutzvorfälle
- Was ist Forensik?
- Was ist digitale Forensik?
- Indikatoren für gefährdete Mitarbeiter
- Was sind Spuren?
- Primäres und sekundäres Ziel des Vorgehensmodells der digitalen Forensik
- Ziele der IT-Forensik
- Zwei Varianten der IT-Forensik (auf jeden Fall merken!)
- Einordnung digitale Forensik
- S-A-P-Modell
- Grundlage des Ablaufs einer forensischen Untersuchung (BSI-Leitfaden)
- Anforderungen an eine neue Methode im forensischen Prozess
- Forensic Readiness
- Zielsetzung eines Betroffenen
- Forensic Readiness: Dimensionen
- Der forensische Arbeitsplatz
- Forensic Readiness: Transportable Workstations
- Forensic Readiness: Schreibschutzadapter
- Forensic Readiness: Technische Maßnahmen
- Forensic Readiness: Organisatorische Maßnahmen
- Forensic Readiness: Optionale Maßnahmen
- ???
- Datensammlung: Beweisführung im Zivil- oder Strafverfahren
- Sicherung besonderer digitaler Beweismittel und Spuren
- Datensammlung: Die wichtigsten Regeln
- Hashwerte: Einsatzzwecke
- mögliche forensische Untersuchungstechniken
- Datensammlung Software
- Datensammlung
- ISO 27037
- beteiligte Akteure
- DEFR und DES sollten in jedem Fall?
- Grundsätze in der digitale Forensik
- Grundlegende Aspekte bei der Bearbeitung von digitalen Beweismitteln
- Prozess zur Handhabung von digitalen Beweismitteln
- Obhutskette
- Grundregeln für das Verhalten am Tatort
- Allgemeine Vorkehrungen am Untersuchungsort
- Personelle Vorkehrungen am Untersuchungsort
- potentielle Digitale Beweismittel am Untersuchungsort
- Erhebung von nicht digitalen Beweisen
- Tatortfotographie
- Dokumentation
- Bekämpfung der Computerkriminalität
- E-Mail-Header-Analyse
- Betriebssysteme
- Techniken und Untersuchungsplanung für die digitale Spurensuche
- RAM Sicherung
- Dateisysteme
Haupt-Editoren für dieses Dokument: RvNovae
- Prüfung: 40 min (?)
- Schwerpunkte werden zu Beginn der Veranstaltungen wiederholt
- Theorie, Forensik: Datenträger, Demo und Übung auf VMs
- Digitalisierung ermöglicht neue Schnittstellen, neue Angriffspunkte und Straftaten
- Nutzung MS Teams steigt exponentiell seit 2019 (auch dank Corona)
- Telekom: Angriffe auf HoneyPots stiegen in letzten Jahren erheblich
- bessere Infrastruktur (viele Menschen haben Mittel um anzugreifen)
- Tools zum Erstellen von Schadprogrammen (Script-Kiddies)
- Rentable Form der Kriminalität
- täglich neue Angriffsmuster
- Meldungen gehen an "Digitalen Ersthelfer"
- ehrenamtliche Arbeit beim BSI
- telefonischer first Level Support
- qualifizierte Einschätzung des Vorfalls
- dokumentiert Vorgang
- Weiterleitung an Vorfall-Experte / IT-Forensiker
- meist selbstständig oder Dienstleister
- Telefonsupport, Vor-Ort-Unterstützung
- zusätzliche forensische Untersuchungen
- Weiterleitung an IT-Sicherheitsdienstleister
- technische Sicherheitslücken
- Social Engineering (Analog/Digital)
- Phishing-Mails
- Impersonation
- Diebstahl/Verlust von IT-Geräten
- IT-Sicherheitsgesetz
- Datenschutzgrundverordnung
- Bundesdatenschutzgesetz
- Telemediengesetz
- Telekommunikationsgesetz
- Gesetz gegen den unlauteren Wettbewerb
- Urheberrechtsgesetz
- IT-Strafrecht im Strafgesetzbuch
- liegt ein Datenschutzvorfall vor, besteht eine Meldepflicht (beim BSI)
$\rightarrow$ ASAP, es darf keine Verzögerung geben - kritische Infrastrukturen sind stärker meldepflichtig, als einfache private Unternehmen
- der Vorfall-Experte ist nicht für die Meldung verantwortlich!
- die Meldepflicht liegt immer bei der Geschäftsführung des Unternehmens
- als Vorfall-Experte niemals ohne Zustimmung melden, die Verantwortung liegt bei der Geschäftsleitung!
- Meldepflichten können sich aus gesetzlichen oder vertraglichen Vorgaben sowie freiwillig ergeben
- als KRITIS-Betreiber muss jede Störung unverzüglich gemeldet werden
- betroffene Personen sind zu informieren
- Cyberangriff führte zum Diebstahl von Kreditkartennummern
- Versand von E-Mail-Werbung trotz bestätigter Löschanfrage
- Verlust eines unverschlüsselten USB-Sticks
- fehlende Transportverschlüsselung bei Online-Registrierungen
beschäftigt sich mit der systematischen Untersuchung von kriminellen Handlungen
ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems [BSI-Leitfaden IT-Forensik, 2011]
- Nachweis und Ermittlung von Straftaten aus dem Bereich der Computerkriminalität
- Identifikation des Angreifers
- Erkennen der Methode
- Ermittlung der Schadens
- Sicherung der Beweise
- Datenträger-, Multimedia-, Car-, Mobilfunk-, Cloud-, IoT-, Netzwerk-, Memory-Forensik
- Forensische Linguistik
- Überschneidungen zu anderen Gebieten der Informationssicherheit
- Forensic Intelligence (Predictive Policing, Untersuchung von Radikalisierung im Internet)
- Informationssicherheitsmanagement
- Schadsoftware-Analyse / Reverse Engineering
- Untersuchungen im Darknet
- Kryptowährungen / Blockchain-Untersuchung
- Massendaten in der Datenträger-Forensik: Datenmengen immer größer, Speicherplatz immer günstiger
- Faktor Zeit: bis zur Entdeckung eines Vorfalls vergehen oft Monate
nach:
- Fähigkeiten
- Sicherheitsexperten
- Exploit-Programmierer
- Script-Kiddies
- Organisationsformen
- Alleine
- Gruppe oder vernetzte Gruppe (Peer Groups)
- Motivationslage
- Sozial, technisch, politisch, finanziell, staatlich
- die Daten werden mehr, damit die benötigte Zeit (oft Monate)
- hohe Dunkelziffer an Angriffen
- Unzufriedenheit am Arbeitsplatz
- fehlende Identifikation mit dem Unternehmen
- Auffällige Neugier
- Nutzung von Spionagehilfsmitteln (z.Bsp. Bild- und Tonaufzeichnungsgeräte, mobile Datenträger)
- Auffälligkeiten im persönlichen Umfeld (aufwändiger Lebensstil, Anzeichen für Alkoholismus etc.)
- Diskrepanzen im beruflichen Werdegang (Über/Unter-Qualifizierung)
- zweifelhafte Dateien/PDF bei der Bewerbung (enthält Malware)
- sind materielle Veränderungen an Personen oder Objekten
- stehen im Zusammenhang mit relevanten Ereignissen
- können zur Tataufklärung beitragen, da sie Rückschlüsse auf den Tatablauf und den Täter geben
- basieren auf Daten, welche in Computersystemen gespeichert sind oder übertragen wurden
- werden erst durch ihre Interpretation von physischen Spuren über unterschiedliche Interpretationsebenen zu verwertbaren Spuren
Es gibt keinen Tatort ohne Spuren!
- Primär: Aufklärung
- Sicherstellung be- und entlastenden Beweisen
- sichergestellte Daten müssen systematisch analysierbar und gerichtsverwertbar sein
- Rekonstruktion der Ereignisse
- Sekundär: Vorsorge
- KVP!!!
- Abschreckung vor zukünftigen Straftaten
- Sicherstellung von belastendem und entlastendem Beweismaterial
- sichergestellte Daten sollen systematisch analysierbar sein
- Rekonstruktion zuvor stattgefundener Ereignisse
- Daten müssen gerichtsverwertbar aufbereitet und analysiert werden
- W-Fragen klären
- Post-mortem Forensik
- Live-Forensik
- Modell
- Ablauf für Untersuchungen in vereinfachter, schematischer Weise
- Prozess
- Ablauf .. in detaillierter Form, Zuständigkeiten
- Methode
- Vorgabe für einzelne Schritte, Handlungsanweisungen
- Secure
- strategische und operative Vorbereitungen zur Erfassung aller relevanten Daten durchführen
- Analyse
- hier werden die gesicherten Spuren und Beweise überprüfbar aufgearbeitet, sorgfältig geprüft und objektiv bewertet
- Present
- hier wird der Ermittlungsprozess nachvollziehbar dargelegt (präsentiert)
- basiert auf dem S-A-P-Modell und ergänzt es
- Strategische Vorbereitung
$\rightarrow$ Operative Vorbereitung$\rightarrow$ Datensammlung$\rightarrow$ Datenreduktion$\rightarrow$ Datenanalyse$\rightarrow$ Dokumentation
- Akzeptanz: Methoden sind in der Fachwelt anerkannt
- Glaubwürdigkeit: Funktionalität der Methoden ist nachweisbar
- Wiederholbarkeit: Ergebnisse ist durch Dritte reproduzierbar
- Integrität: Spuren werden durch Untersuchung nicht verändert
- Ursache und Auswirkungen: Verbindung zwischen digitalen Spuren, Ereignissen und Personen sind herstellbar
- Dokumentation: Ermittlungsprozess ist nachvollziehbar dokumentiert
- keine gesetzlichen Vorgaben für forensische Untersuchung
- beschäftigt sich mit Maßnahmen zur Vorbereitung auf digitale forensische Untersuchungen innerhalb Organisationen
- Ziele:
- Systeme sollen in der Lage sein, bessere und belastbare digitale Spuren zu sammeln
- Die Kosten für eine forensische Untersuchung sollen verringert werden
- Aus welchem Grund?
- Art. 33 DSGVO (Meldung von Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörden)
- Schnelle Behebung:
- Im Vordergrund steht die zeitnahe Wiederverwendung der betroffenen Systeme
- Die Ursache des Problems tritt in den Hintergrund
- Es wird keine Sicherung von Beweisen gefordert
- Nachteil: Es besteht die Gefahr, dass nicht in jedem Fall eine vollständige Bereinigung erzielt werden kann
- Vollständige Aufklärung:
- Ganzheitlicher Ansatz zur gefahrlosen Wiederverwendung der entsprechenden Systeme
- Es ist eine genaue Analyse durchzuführen, um Schadensausmaß und Angriffswege zu ermitteln
- Beweissicherung durch Systemabbilder, Log-Dateien und Erfassen des Netzwerkverkehrs
-
Nachteil: Heterogene Systemlandschaften erfordern ein hohes Maß an Analyse und Know-How
$\rightarrow$ zeitaufwendig
- personelle, technische und organisatorische Maßnahmen und Methoden
- Maßnahmen und Methoden werden durch rechtliche Aspekte beeinflusst
Die Basis für die Untersuchung der Beweismittel stellt der Analysecomputer dar, welcher als eigenständiges Gerät physikalisch getrennt vom Büro- und Internetcomputer eingerichtet sein sollte.
- Forensische Workstation
- Sehr gute Hardwareausstattung auf aktuellem Stand der Technik
- Duales Betriebssystem
- Virenscanner und Firewall
- Office Computer für Schriftsachen
- Verschlüsselung nutzen!
- Interne Netzwerkanbindung, kein Internetzugang!
- Internet Computer
- Keine sensiblen Daten eingeben oder speichern!
- Aktuelle Anti-Viren-Software verwenden!
- Auch als VM einsetzbar!
Bei Außeneinsätzen, bei denen Beweismittel vor Ort erhoben werden müssen, werden geeignete transportable Datensicherungsworkstations notwendig.
- Für die Datensicherung im Labor, wie auch im Außeneinsatz, sind Schreibschutzadapter unerlässlich
- Grundlegend sollten folgende Schnittstellen abgedeckt werden: IDE, SATA, USB 3.0, FireWire
- Nice to have: SAS, SCSI, PCIE
- auf Server-PCs: Logging und Gruppenrichtlinien konfigurieren
- für jeden Benutzer-PC: Betriebssysteme konfigurieren
- Beispiele:
- Wiederherstellungs-Passworte für Festplatten-Verschlüsselung
- lokales Logging aktivieren
- Responsive Teams
- Hardware und Software beschaffen
- Forensik-Workstation
- Forensik-Hardware
- Forensik-Software
- Weitere organisatorische Maßnahmen
- Prozess für forensische Untersuchung aufbauen
- Verantwortlichen benennen
- Budget bereitstellen: Personal, Hardware, Software, Fortbildung
- Kompetenzen aufbauen: für eigene Untersuchungen? für externe Beauftragungen?
- Räumlichkeiten schaffen: Zutrittssicherheit, Tresor
- Planen! Untersuchungsziel präzise festlegen (lassen)!
- Vorauswahl an relevanten Datenquellen treffen
- Entscheiden:
- Post-mortem-Forensik? Live-Forensik?
- Welche Geräte / Datenträger / Daten?
- Sicherung digitaler Beweismittel und Spuren
- Die Sicherung von digitalen Beweisspuren kann auf zwei Arten geschehen:
- Logische Sicherung
- auf Betriebssystemebene
- mit Mitteln des Betriebssystems
- Mit Drittanwendersoftware
- erfolgt abhängig von Betriebssystem
- Physikalische Sicherung
- Auf Hardwareebene
- mit hardwaretechnischen Hilfsmitteln
- mit softwaretechnischen Hilfsmitteln
- erfolgt betriebssystemunabhängig
- Logfiles und Daten im Netzwerk
- meist erfolgt eine logische Sicherung mit geeigneten Tools
- Flüchtige Daten / Hauptspeicherinhalte
- kann direkt mittels DMA (Direct Memory Access) erfolgen
- Cold-Boot
- Auswertung erfolgt Post-Mortem
- möglichst keine Veränderungen vornehmen an betroffenen digitalen Beweismitteln
- das bedeutet: Änderungen an Datenträgern mit geeigneten technischen Möglichkeiten sofern möglich unterbinden
- eine Dokumentation aller Arbeitsschritte, Veränderungen an Daten, mit konkreten Zeitangaben während der Sicherung von Daten ist unerlässlich
- Schreibblocker verwenden oder Datenträger mit Live-System als Read-Only mounten
- Hashwerte verwenden
- Datenintegritätsprüfungen
- Überprüfung von Datensicherungen
- Überprüfung von Passwörtern
- Dateninhaltsvergleiche
- KiPo-Vergleich von Bildern in Kinderpornographie Verfahren mit Hash Datenbanken
- Wirtschaftsspionage-Vergleich von Daten eines Unternehmens beim Auffinden in unternehmensfremden Umgebungen
- NSRL (National Software Reference Library Hash Daten)-Herausfiltern von Betriebssystem-spezifischen Dateien ohne Relevanz
- UrhG: Erkennen urheberrechtlich geschützter Werke durch Hash-Abgleich (MD4-Emule)
- Wiederherstellen gelöschter Objekte
- Hashwert-Überprüfungen
- File Carving
- Textsuchen
- Slack-Untersuchungen
- EnCase von Guidance Software
- FTK von Access Data
- X-Ways Forensics von X-Ways AG (!)
- The Sleuthkit und Autopsy
- DFF - Digital Forensic Framework
kostenfreie Werkzeuge:
- dd, ddrescue, dcfldd (Harbour), dc3dd (Kornblum)
- grep, strings, find
- hexdump
- ...
- wichtig: Verlaufsdokumentation!
- Welche Daten gesammelt?
- Wozu?
- Wann?
- Durch wen?
- Wie?
- Welches Zwischenergebnis?
- Wann löschen?
- nützlich für:
- kritische Nachfragen souverän beantworten
- Zeitaufwand / Kosten berechnen
- Ersteinschreiter für digitale Beweismittel (Digital Evidence First Responder - DEFR)
- Spezialist für digitale Beweismittel (Digital Evidence Specialist - DES)
- alle Maßnahmen dokumentieren
- Methoden anwenden, mit welchen die Fehlerfreiheit und Verlässlichkeit der Kopie von potentiellen digitalen Beweismitteln festgestellt werden kann
- Erkennen, dass der Vorgang der Erhaltung von potentiellen digitalen Beweismitteln nicht immer eingriffsfrei erfolgen kann
- Relevanz
- Vollständigkeit
- Verlässlichkeit
- Rechtmäßigkeit
- Auditierbarkeit
- Wiederholbarkeit
- Begründbarkeit
- Reproduzierbarkeit
- Überblick
- Arbeit am Original auf ein Mindestmaß beschränken
- Nachweis aller Änderungen
- Keine Maßnahmen über den eigenen Kompetenzbereich
- Identifikation
- Physisch oder logische Form
- Suche, Erkennung und Dokumentation digitaler Beweismittel
- Mitnahme
- Mitnahme oder Sicherung?
- Zustände können sein:
- System ist ausgeschaltet
- System angeschaltet
- Kosten- und Zeitfaktor beachten
- Sicherung
- Erstellen digitaler Kopien
- Methode muss reproduzierbar und verifizierbar sein
- Falls Prozesse nicht verifiziert werden können
$\rightarrow$ Dokumentieren
- Erhaltung
- Potentielle Beweismittel sollen erhalten bleiben
- Umfasst Schutz vor Verfälschung oder Zerstörung
- Solle in allen Bearbeitungsprozessen sichergestellt werden
- DEFR sollte immer in der Lage sein, die Verantwortung für alle erhobenen Daten und entgegengenommenen Geräte über den Zeitraum, in dem sie sich in seinem Gewahrsam befinden, zu tragen
- Protokoll der Obhutskette führen
- chronologisch wird die Weitergabe und Bearbeitung festgehalten
- Sollte folgendes enthalten:
- eine eindeutige Beweismittelkennzeichnung
- wer Zugriff auf das Beweismittel hatte, sowie Ort und Zeit der Zugriffs
- wer das Beweismittel in der Beweiserhaltungseinrichtung eingereicht hat und sich das Beweismittel dort herausgeben lassen hat, sowie die jeweiligen Zeitpunkte (inkl. Grund für Herausgabe)
- alle unvermeidbaren Änderungen an den potentiellen digitalen Beweismitteln sowie der Name der dafür verantwortlichen Person und die Begründung für die Durchführung der Änderung
- ruhig und überlegt vorgehen
- je unklarer die Lage, desto weiträumiger die Sicherung
- Einsatzfahrzeuge nicht an den unmittelbaren Tatort bringen
- nur Ausrüstung und persönliche Dinge an den Tatort bringen, die benötigt werden
- keine Einrichtungen am Tatort nutzen
- nicht essen, trinken, rauchen!
- grundsätzlich nichts anfassen, verändern, verlegen etc.
- Kontamination vermeiden
- keine eigenen Spuren hinterlassen
- erforderliche Veränderungen markieren und dokumentieren
- Sichern und Kontrollieren des Bereichs, in dem sich die Geräte befinden
- Bestimmung der Person, die für den Ort die fachliche Verantwortung trägt
- Sicherstellen, dass Personen von den Geräten und von der Stromversorgung ferngehalten werden
- Alle Personen dokumentieren, die Zugang zum Ort haben oder für die ein Motiv für eine Beteiligung am Untersuchungsort vorliegen könnte
- Ist das Gerät eingeschaltet, darf das Gerät nicht ausgeschaltet werden und umgekehrt
- Untersuchungsort mit allen Komponenten und Kabeln in seiner ursprünglichen Position dokumentieren
- Falls zulässig: Bereiche nach Gegenstände, wie Haftnotizen, Terminkalender, Akten, Laptops oder Handbücher für Hard- und Software durchsuchen
- Sind Personen, gegen die ermittelt wird, anwesend? Falls ja, sind sie gewaltbereit?
- Zu welcher Tageszeit erfolgt der Einsatz?
- Kann der Untersuchungsort vor unbeteiligten Dritten abgeschirmt werden?
- Befinden sich Waffen in diesem Bereich?
- Bestehen objektive Risiken für anwesende Personen
- Könnte irgendetwas in der Nähe, einschließlich des Gerätes, so konfiguriert worden sein, dass es zu Körperverletzungen führen kann, falls es auf unangemessene Weise bearbeitet wird, z. B. versteckte Falle?
- Ist es wahrscheinlich, dass das zu sammelnde Beweismaterial psychische Schäden oder eine anstößige Wirkung hervorruft
- Kann der Untersuchungsort als unsicher betrachtet werden?
Risikobeurteilung durchführen und folgende Fragen Stellen:
- Welche Art von Mitnahme-/Sicherungsmethode wird angewendet?
- Welche Ausrüstung wird möglicherweise vor Ort benötigt?
- Inwieweit sind die Daten und Informationen im Hinblick auf die potentiellen digitalen Beweismittel flüchtig?
- Ist ein Fernzugriff auf irgendein digitales Gerät möglich und stellt er eine Bedrohung für die Beweismittel-Integrität dar?
- Was passiert, wenn der Datenbestand beschädigt ist?
- Könnte der Datenbestand beeinträchtigt worden sein?
- Könnte das digitale Gerät so konfiguriert worden sein, dass Daten zerstört (bspw. eine sog. Logikbombe), vereitelt oder verschleiert werden, wenn das Gerät ausgeschaltet wird oder ein unkontrolliert Zugriff darauf erfolgt?
- vom DEFR sollten auch nicht digitale beweise berücksichtigt werden, diese können zusätzliche Informationen liefern, wie bspw. Passwörter, Handbücher usw.
- Es ist die Person zu identifizieren, welche für die Einrichtung am Vorfall-Ort verantwortlich ist
- DEFR muss Name und Position dieser Person dokumentieren
- Es kann notwendig sein, dass der DEFR mit weiteren Personen vor Ort spricht
nicht prüfungsrelevant!
- Dokumentation aller Schritte ist unerlässlich
- Alle durchgeführten Schritte sind zu dokumentieren
- Best Practice: Heft / Block und einfach handschriftlich beschreiben, was durchgeführt wurde
- Wieso handschriftlich?
- geht i.d.R. schneller
- handschriftliche Aufzeichnungen sind hinterher schwerer zu verändern oder zu fälschen
- Änderungen bleiben erkennbar
- Muss etwas geändert werden, dann sollte die betroffene Stelle Stelle durchgestrichen werden, so dass der ursprüngliche Text noch lesbar bleibt
- Wieso handschriftlich?
- organisierter Ansatz zur Lösung und Bewältigung der Folgen einer Sicherheitsverletzung respektive eines Angriffs auf die IT-Infrastruktur
- Ziel ist: die Situation in geeigneter Weise handhaben; Schaden begrenzen, verringern; Recovery Zeit und anfallende Kosten minimieren
- Ursache des Zwischenfalls erkennen; geeignete Maßnahmen treffen; weitere Zwischenfälle verhindern oder gar Angreifer identifizieren
- Computer Emergency Response Team
- unterstützt Unternehmen bei IT-Zwischenfällen
received-Einträge: Server, die die Email bearbeitet haben- jeder Mail-Router fügt einen solchen Eintrag zur Email hinzu
From,To,Date,Subject,Message-IDlassen sich leicht manipulierenreceived-Einträge lassen sich nur mit hohem Aufwand manipulieren
- Unterstützte Dateisysteme: Fat 12/16/32, NTFS, ExFAT, CDFS/UDF
- Unterstützte Architekturen: X86 (32 Bit), X64/iA64 (64 Bit)
- Kategorien von Nutzerdaten: Benutzerdaten, Systemdaten, Softwaredaten
- Systemdaten unter
WINDOWS,WIN, oderWINNT - Softwaredaten unter
ProgrammeoderProgram Files - Benutzerdaten im Benutzerverzeichnis
- Einstellungen und Anwendungsspezifische Daten
AppData\Local,AppData\LocalLowundAppData\Roaming-
AppData\Local$\rightarrow$ temporäre Dateien -
AppData\Roaming$\rightarrow$ Anwendungseinstellungen, können im Firmennetz ausgetauscht werden -
AppData\LocalLow$\rightarrow$ für Programme, die nirgendwo anders hin schreiben dürfen (bspw. Browser-Addons)
-
- Security Identifier
- jedes System, jeden Nutzer und jede Gruppe kann durch SID dauerhaft identifiziert werden
- Daten werden in sog. Registrierungs-Hives aufgeteilt und in Schlüsseln mit Key Value pairs gespeichert
- Die Datenbanken liegen in Dateiform in
C:\Windows\System32\Config\ - Die Benutzerspezifischen liegen in
C:\Users\User\
- Snapshots des Dateisystems
- nutzt Copy-on-Write Technik
- Deutsch: Volumeschattenkopie
- Verwaltung mit Windows-Tool
vssoder mit NirSoft ShadowExplorer
- häufig genutzte Programme werden beim Start in den RAM gecached
- nach Entfernen eines Programms bleiben Prefetch-Daten davon dennoch erhalten
- bietet damit Rückschlüsse auf häufig genutzte Programme und den Startvorgang
- geben Auskunft über gestartete Anwendungen und genutzte Schaltflächen im Windows Explorer
- in
NTUSER.DATbzw. Registry gespeichert
swapfile.syspagefile.syshiberfil.sys- ggf. leer, wenn die Hibernation deaktiviert wurde- können mit dem Tool Volatility analysiert werden
- v.a. bei Ransomware-Angriffen sind Outlook-Anhänge interessant
- werden gespeichert:
- im Nutzerprofil
- als temporäre Anhänge
- können mit NirSoft OutlookAttachView gefunden und analysiert werden
- "Alternative Data Stream"
- unsichtbare Dateien, fest mit Hauptdatei verknüpft
- benötigt um: Macintosh-Dateien unter NTFS zu verwalten, Antiviren-Programme verwenden z.T. ADS um Prüfsummen zu speichern
- Herkunft der Dateien wird vom System gespeichert (lokal oder Internet)
- Transaktionsdaten des Dateisystems werden gespeichert
- auch sehr gern von Malware / Viren genutzt
- Weitere Infos
- Unterstützte Dateisysteme: FAT12/16/32 und NTFS (nur lesend), exFAT, HFS/HFS+, CDFS, APFS
- Unterteilung in Systemdaten, Benutzerdaten und Softwaredaten
- FAT 12/16/32
- ext 1/2/3/4
- CDFS
- ReiserFS
- UFS
- erfordert Einsatz eines Live-Systems oder einer forensischen Workstation mit Linux
- geschieht auf der Kommandozeile mit der
mount-Optionro- also z.B.:
mount -o ro /dev/sdb1 /mnt
- also z.B.:
- Dateien und Ordner auf Linux-Dateisystemen haben genau einen Besitzer und genau eine Gruppe
- anhand von IDs aus der
/etc/group-Datei des Systems
- anhand von IDs aus der
- Für den Besitzer, die Gruppe und Other existieren jeweils die Rechte "Read", "Write" und "Execute" als 3-Bit-Binärzahl codiert (
rwx)r: entspricht 4w: entspricht 2x: entspricht 1- Addition der 3 Stellen zu einer Dezimalzahl
- Eine Datei, die für den Besitzer volle Rechte, für die Gruppe lesbar und ausführbar und für alle anderen keine Rechte haben soll, hat also:
- u:
0b111g:0b101o:0b000 - aka 750 in Oktal-Schreibweise
- u:
- für Ordner ist das
x-Bit die Erlaubnis, einen Ordner zu betreten - Rechte können mit dem Tool
chmodverändert werden und mitls -lausgelesen werden - chmod-Syntax:
chmod <neue Rechte> datei-oder-ordnerneue Rechtekönnen dabei in der Oktal-schreibweise, z.B.750oder in Langschreibweisen wieu=rwx,g=rx,o=oderg+r,o-rangegeben werden- kann rekursiv auf Ordner angewendet werden:
chmod -R ...
- Besitzer- und Gruppen-Zugehörigkeit kann mit dem Tool
chownverändert werden - Weiterführende Info: es gibt auch ein SetUID-Bit für ausführbare Dateien
- Wenn das gesetzt ist, wird ein Programm zusätzlich zu den Rechten des eigenen Nutzers mit denen des Datei-Besitzers ausgeführt
- das kann ein großes Sicherheitsrisiko werden und ist deshalb unbedingt kritisch zu betrachten!
- Root-Kit
- TCP-View
- PDF Malware Analysis
- Wireshark
- potentielle Beweismittel sicherstellen, identifizieren, mitnehmen
- forensische Kopien
- Schreibblocker
- Hashwerte
- Prüfung von Standardverzeichnissen
- Filterfunktionen von Tools verwenden
- Wiederherstellen gelöschter Dateien
- Papierkorb prüfen
- Dateiendungen auf Inhalte prüfen
- Erkennung unbekannter Dateiobjekte
- Untersuchung des RAM-Inhaltes
- Untersuchung von Hibernation- / Swap-Dateien
- Überprüfung Schadsoftware
- VMs
- gelöschte Dateien wiederherstellen, z.B. aus dem freien Speicherplatz
- sucht nach typischen Byte-Sequenzen als Signaturen für Dateitypen
- kann fragmentierten Dateien nicht vollständig wiederherstellen (false positive)
- richtige Wahl der Suchworte
- ausgeblendete und scheinbar irrelevante Dateien mit einbeziehen
- Untersuchungswerkzeuge nutzen
- Slack-Untersuchungen: Untersuchung von bereits teilweise überschriebenen Daten im RAM oder von Dateien
- kann nur im Hexadezimal / ANSI Betrieb durchgeführt werden
- Auswertung beschränkt sich oft auf die Wiederherstellung von Textpassagen
- Logfiles und Daten im Netzwerk: logische Sicherung mit geeigneten Tools
- RAM-Inhalte: mit DMA oder Cold-Boot; post-mortem
- Random Access Memory...
- ...ist flüchtig: nach Ausschalten gehen die Daten verloren
- ...volatil: Daten unterliegen ständiger Änderung
- ...enthält u.a. Programme in Ausführung und Caches
- folgende Informationen sind darin interessant:
- laufende Prozesse
- geöffnete Netzwerk-Verbindungen
- entschlüsselte Inhalte
- Passwörter (Klartext oder Hash)
- Informationen zu angemeldeten Benutzern
- Schadsoftware und deren Aktivitäten (Registry Aufrufe)
- Flüchtige nicht gespeicherte Dokumente oder Online Inhalte
Für eine Vergleichbarkeit einzelner Sicherungstechniken findet man folgende Einteilung:
- Korrektheit des Abbildes in Prozent
- Atomarität: Abbild wird in atomar fortlaufenden Leseoperationen ohne Unterbrechung erzeugt
- Integrität: bezeichnet den prozentualen Anteil an geänderten Speicherseiten im Bezug auf alle Speicherseiten, die zu einem Zeitpunkt geherrscht haben (Übernahme des Asservates durch den Forensiker etwa).
- Verfügbarkeit: ist die Methode verfügbar für bestimmte Sicherungsfälle?
-
User-Level: selektiver Bereich wird im Userland gesichert, z.B. Prozess
-
Kernel-Level: auf Ebene des Systemkerns wird der gesamte RAM gesichert
-
Crash-Dump: RAM-Abbild, was nach Absturz geschrieben wird
-
Bus-basiert (extern): Nutzung eines externen Bussystems, welcher DMA nutzt
-
Hardware-basiert: Nutzung eines internen Bussystems, welcher DMA nutzt
-
Cold Boot ohne RAM-Transfer: RAM-Sicherung durch Live-System im selben Host
-
Cold Boot mit RAM-Transfer: nach einem Transfer der RAM Speichermodule in ein zweites Sicherungssystems RAM Datensicherung mittels eines eigenen Betriebssystems
-
Beide Techniken geeignet für RAM Sicherung.
-
praktische Umsetzung: sehr kompliziert und eher für Forensik Labore
-
Hibernation-basiert: nach Suspend to disk wird die Hibernation-Datei gelesen
-
Virtualisation-basiert: Snapshots
- RAM Sicherungen: Bereiche sichern auf die der Benutzer selbst Zugriff hat.
- Malware Analysen: Prozesse der Malware können versteckt und nicht auffindbar sein (Rootkit Hiding Technologien / APT).
- Tools:
- Sysinternals ProcDump (CMD basiert)
- Process Explorer (Abbildung)
- Windows Taskmanager ('Abbilddatei erstellen')
- Dump durch Systemkern
- z.B. durch Tool "DumpIt" für Windows, "LiME" für Linux oder "Rekall Memory Toolkit" für macOS
- in drei verschiedenen Arten:
- Complete Memory Dump
- Kernel Memory Dump
- Small memory Dump
- Sektoren: ein Block an Bytes auf einer Spur
- Cluster: Zusammenfassung von Sektoren im Betriebssystem
- auf SATA SSDs leert erst ein
TRIM-Befehl die Zellen - Am Anfang eines Datenträgers ist der Bootsektor (MBR oder GPT) mit Partitionstabelle
- existiert am Anfang eines Datenträgers
- möglicherweise existiert eine Kopie davon am Ende
- 64 Bytes groß
- 16 Byte Einträge
- daraus folgt: max. 4 Partitionen
- Drei Zeitstempel bilden die MAC-Time:
- Modification Time
- Access Time
- Creation Time / Change Time (Linux, wann wurden Metadaten verändert)
- C-Stempel existieren nur unter Windows und Linux
- Last-Access-Timestamp kann deaktiviert werden
- auch: Schlupfspeicher
- freier Speicher, der durch interne Fragmentierung einer Datei zugeordnet ist (freie Sektoren innerhalb eines Clusters)
- in den Varianten FAT12, FAT16, FAT32, exFAT, VFAT, TFAT
- geringe Anzahl an Datenstrukturen
- basiert auf Directory Entries und File Allocation Tables
TODO: was passiert hier?
- Tabelle von Verzeichniseinträgen, die jede Datei und Unterverzeichnis repräsentiert
- bei FAT12 und FAT16 direkt an die
FATanschließend mit fixer Größe - bei FAT32 variable Größe, kann an beliebiiger Position im Datenbereich beginnen
- jeder Ordnereintrag 32 Byte Datenstruktur, enthält Ordner und Dateien
- speichert alle Attribute, Dateigröße, Startcluster
- beim Löschen wird das erste Byte des Verzeichniseintrages mit
0xE5überschrieben - Clusterkette der Datei, Daten erscheinen als "frei"
- damit in forensischer Anwendung wiederherstellbar
- vom Startcluster aus alle Cluster wiederherstellen, bis Dateigröße aus Verzeichniseintrag erreicht
- funktioniert nicht bei fragmentierten Dateien
- zusätzlich zu Variante 1 wird Zuteilungsstatus von freien Custern berücksichtigt: nur nicht zugeteilte Cluster werden wiederhergestellt
- Wahrscheinlichkeit gegeben, fragmentierte Dateien vollst. wiederherzustellen
- funktioniert nicht, wenn CLuster bereits neu zugewiesen
- alles ist eine Datei
- Master File Table (MFT) enthält Strukturverzeichnis und Datenträgerinformationen
- kann über Bootsektor addressiert werden
- erster Eintrag ist Pointer auf sich selbst
- kann fragmentiert vorliegen
- Einträge üblicherweise 1024 Bytes groß
- häufig als iNode bezeichnet
$DataAttribut enthält Nutzlast- Flags codieren Art des Eintrags (Datei / Ordner) und ob es gelöscht wurde
- Dateien haben einen File Record Header
- startet mit Signatur "FILE"
- endet mit 0xFFFFFFFF
- es existieren feste MFT-Einträge
- jede Datei hat:
$STANDARD_INFORMATION$FILE_NAME$DATA
- jedes Verzeichnis hat:
$STANDARD_INFORMATION$FILE_NAME$INDEX_ROOT$INDEX_ALLOCATION
- im
$Data-Attribut können entweder die Nutzlast selbst gespeichert sein oder über Datarun-Einträgen Verweise auf mehrere Cluster sein
- im Bootsector wird der
$MFTEintrag gesucht und gelesen - darin wird in der $Bitmap ein freier Eintrag gesucht
-
$Logfilewird angelegt - MFT-Eintrag wird mit o.g. Pflichtinhalt initialisiert
- in
$Bitmapwird passender Platz für Nutzlast gesucht -
$INDEX_ROOTund$INDEX_ALLOCATIONwerden angepasst und die Datei in das Verzeichnis aufgenommen - Zeitstempel wird erneuert
- Operationsende in
$Logfilevermerkt
- im Bootsector wird der
$MFTEintrag gesucht und gelesen - MFT-Eintrag und Verzeichniseintrag der zu löschenden Datei wird gesucht
- im Verzeichniseintrag werden die Zeitstempel aktualisiert
-
$Logfilewird angelegt - Datei wird aus Index des Verzeichnisses gelöscht
- MFT-Eintrag der Datei wird gelöscht und Sequenzeintrag der MFT wird inkrementiert
- In
$Bitmapwerden die Datencluster als unallocated eingetragen
- man kann sich nicht auf Dateisystemtreiber verlassen, da alle MFT-Einträge gelöscht
- Treiber verwendet Top-Down Methode: von Dateisystem-Wurzel aus alle Verzeichniseinträge durchsuchen
$\rightarrow$ keine gelöschten Einträge
- Treiber verwendet Top-Down Methode: von Dateisystem-Wurzel aus alle Verzeichniseinträge durchsuchen
- man muss auf Byte-Ebene arbeiten
- anhand der Parent File Referenz können verwaiste Referenzen gelöschter Elemente gefunden werden
$\rightarrow$ Bottom-Up Methode
- anhand der Parent File Referenz können verwaiste Referenzen gelöschter Elemente gefunden werden
- Changelog (USN Journal
$UsnJrnl) und Transaktionslog$LogFiledes Dateisystems
- quasi-Standard-Dateisystem für Linux-Distributionen
- entworfen für Geschwindigkeit und Zuverlässigkeit
- Datenblöcke einer Datei werden nahe beieinander gehalten, um Seeking in HDDs zu minimieren
- Kopien zentraler Datenstrukturen mehrfach auf dem Volume
- 4 Versionen (ext bis ext4)
- Forensik ist mit ext3/ext4 schwierig
- durch Quelloffenheit können Antiforensik-Maßnahmen durchgeführt werden
- besteht aus Boot-Block und mehreren Block-Gruppen
- Superblock am Anfang jeder Block-Gruppe, nummeriert, ansonsten identisch
- am Offset
0x38steht das Magic Byte0x53EF
- am Offset
- Gruppendeskriptor enthält Informationen über die entsprechende Block-Gruppe:
- Superblock
- Gruppendeskriptortabelle
- Block-Bitmap
- Inode-Bitmap
- Inode-Tabelle
- Bitmaps kennzeichnen belegte Blöcke
- Metadaten für Dateien und Verzeichnisse werden in Inode-Datenstruktur gespeichert
- Inodes verweisen auf Dateninhalte über direkte oder indirekte Blockpointer
- Inodes enthalten Dateistempel
- Verzeichniseinträge sind Datenstrukturen, die den Datei-/Verzeichniseintrag sowie Pointer auf Inode-Eintrag sowie den nächsten genutzten Verzeichniseintrag enthalten (Länge)
- kinda TODO
- Ext ist quelloffen
- kann beliebig modifiziert werden:
- Änderungen am Superblock
- Änderungen am Gruppendeskriptor
- Änderungen an der Inode
- neu zu beschreibende Datenbereiche werden vorher immer mit Nullen überschrieben
$\rightarrow$ keine File-Slacks
- ab Ext3 existiert ein Journal für Rollback bei Crash (im Superblock definiert)
- jede Änderung am Dateisystem erfolgt in 3 Schritten:
- Kopie aller zu verändernden Blöcke in Journal kopieren
- I/O Operation durchführen
- Journaleintrag löschen
- im Journaling existieren drei Optionen:
- Journal: Alle Transaktionen protokollieren
- Ordered: nur Transaktionen an Inodes protokollieren: erst Datenblöcke, dann Inodes speichern (Standard)
- Writeback
- für Ext4 ist vieles wegen umfassenden Änderungen nicht mehr glültig