Sie sind hier
E-Book

Computer-Forensik

Computerstraftaten erkennen, ermitteln, aufklären

AutorAlexander Geschonneck
Verlagdpunkt
Erscheinungsjahr2014
ReiheiX Edition 
Seitenanzahl388 Seiten
ISBN9783864914898
FormatPDF
KopierschutzWasserzeichen/DRM
GerätePC/MAC/eReader/Tablet
Preis42,90 EUR
Unternehmen und Behörden schützen ihre IT-Systeme mit umfangreichen Sicherheitsmaßnahmen. Trotzdem werden diese Systeme immer wieder für kriminelle Zwecke missbraucht bzw. von böswilligen Hackern angegriffen. Nach solchen Vorfällen will man erfahren, wie es dazu kam, wie folgenreich der Einbruch ist, wer der Übeltäter war und wie man ihn zur Verantwortung ziehen kann. Dafür bedient man sich der Computer-Forensik. Ähnlich der klassischen Strafverfolgung stehen auch für den Computer-Forensiker folgende Informationen im Vordergrund: Wer, Was, Wo, Wann, Womit, Wie und Weshalb. Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im 'Fall der Fälle' als auch bei den Vorbereitungen auf mögliche Angriffe bzw. Computerstraftaten. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah, • wo man nach Beweisspuren suchen sollte, • wie man sie erkennen kann, • wie sie zu bewerten sind, • wie sie gerichtsverwendbar gesichert werden. Ein eigenes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland. In der 6. Auflage wurden Statistiken und Toolbeschreibungen aktualisiert sowie neueste rechtliche Entwicklungen aufgenommen. Hinzugekommen sind neue Ansätze der strukturierten Untersuchung von Hauptspeicherinhalten und die Analyse von Malware.

Alexander Geschonneck leitet als Partner bei der KPMG AG Wirtschaftsprüfungsgesellschaft den Bereich Forensic Technology. Sein Tätigkeitsschwerpunkt ist die Sicherstellung und Analyse von digitalen Beweismitteln im Rahmen der Korruptions- und Betrugsbekämpfung sowie der Aufklärung von ITSicherheitsvorfällen. Davor war er leitender Sicherheitsberater und Partner bei der HiSolutions AG in Berlin sowie Senior Manager bei der Ernst & Young AG, wo er den Bereich Forensic Technology & Discovery Services leitete. Seit 1993 ist er branchenübergreifend im strategischen und operativen IT-Sicherheitsumfeld tätig. Alexander Geschonneck ist Mitautor der IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seit 2002 ist er vom BSI lizenzierter IT-Grundschutzauditor sowie ISO27001-Auditor auf Basis von IT-Grundschutz. Er studierte in Berlin Wirtschaftsinformatik mit Themenschwerpunkt Informationssicherheit. Auf seiner privaten Homepage finden sich weitere Veröffentlichungen zu Themen der Computer-Forensik und allgemeinen IT-Sicherheit. Alexander Geschonneck ist Certified Fraud Examiner und Certified Information Systems Auditor.

Kaufen Sie hier:

Horizontale Tabs

Blick ins Buch
Inhaltsverzeichnis
Inhaltsverzeichnis5
Einleitung9
Wer sollte dieses Buch lesen?10
Was lernt man in diesem Buch?12
Was lernt man in diesem Buch nicht?12
Wie liest man dieses Buch?13
Kapitel 114
Kapitel 214
Kapitel 314
Kapitel 414
Kapitel 515
Kapitel 615
Kapitel 715
Kapitel 815
Kapitel 915
Kapitel 1016
Was ist neu in der 6. Auflage?16
Was ist neu in der 5. Auflage?16
Was ist neu in der 4. Auflage?17
Was ist neu in der 3. Auflage?17
Was ist neu in der 2. Auflage?17
1 Bedrohungssituation19
1.1 Bedrohung und Wahrscheinlichkeit19
1.2 Risikoverteilung20
Abb. 1–1 Angreiferfähigkeiten vs. benötigtes Wissen121
Abb. 1–2 Verbreitungsmethoden von Malware aus dem Symantec Internet Security Threat Report – Attack Trends 201222
1.3 Motivation der Täter24
Abb. 1–3 Defacement der Webseite von HP Belgien mit Hinweis auf den Defacement-Mirror zone-h.org und einer entsprechenden Rechtfertigung27
Abb. 1–4 Versuch einer Analyse der Motivlage der Angreifer727
Abb. 1–5 Auswertung der Motivlage in einem größeren Fall von Missbrauch von Internetzugangskennungen28
1.4 Innentäter vs. Außentäter29
1.5 Bestätigung durch die Statistik?33
1.6 Computerkriminalität34
Abb. 1–6 Fallentwicklung und Aufklärung für das gesamte Bundesgebiet. Der Anstieg bei Datenveränderung und Computersabotage resultiert aus Angriffen mittels Schadsoftware.34
Tab. 1–1 Delikte der IuK-Kriminalität im engeren Sinne35
Abb. 1–7 Gesonderte Auswertung von »Tatmittel Internet« aus der PKS 201040
2 Ablauf von Angriffen41
2.1 Typischer Angriffsverlauf41
2.1.1 Footprinting41
2.1.2 Port- und Protokollscan42
2.1.3 Enumeration42
2.1.4 Exploiting/Penetration43
2.1.5 Hintertüren einrichten43
2.1.6 Spuren verwischen44
2.2 Beispiel eines Angriffs44
Abb. 2–1 Meldungen des Intrusion-Detection-Systems Snort: Portscan, Kontakt des Telnet-Port, um das Banner zu analysieren, Kontaktaufnahme des Portmappers, um festzustellen, ob dieser aktiv ist, und abschließender Angriff (in der Abbildung hervorg...45
Abb. 2–2 DS-Mitschnitt des Angriffs aus der vorherigen Abbildung auf den Portmapper, mit Installation einer Hintertür auf Port 454546
Abb. 2–3 Firewall-1 Logdatei: akzeptierte Verbindungen des Angriffs. Kontakt der RPC- und Telnet-Dienste46
Abb. 2–4 Der Angreifer schaut, ob das System rebootet wurde und ob noch andere User angemeldet sind. Dann löscht er die Konfigurationsdateien des TCP-Wrapper und die Logdateien, die den Anmeldestatus zeigen.47
Abb. 2–5 Der Angreifer stoppt den Syslog-Server und löscht die zugehörigen Startskripte. Dann fügt er einen zusätzlichen Account »own« mit Root-Rechten und einen normalen User »adm1« ein. Direkte Root-Anmeldungen via Telnet sind standardmä...47
Abb. 2–6 Der Angreifer meldet sich mit dem Account »adm1« an (man bemerke das Passwort »eliteness«), wird mittels SU-Befel zum Root-User und überprüft, ob irgendwelche verdächtigen Prozesse laufen. Der Angreifer wird wahrscheinlich mitbekomm...48
Abb. 2–7 Der Angreifer startet ftp ohne Parameter, damit in der Prozessliste nicht der besuchte FTP-Server auftaucht, und verbindet sich erst dann mittels »open«. So ist in der Prozessliste jetzt nur »ftp« zu sehen und nicht »ftp skipper.robot...48
Abb. 2–8 Der Angreifer sieht sich den Inhalt des heruntergeladenen und entpackten Verzeichnisses (in /usr/man/ gespeichert !) an. Der Umfang der auszutauschenden und zu installierenden Dateien ist dabei sehr gut zu erkennen.49
Abb. 2–9 Das Installationsskript, das der Angreifer verwendet hat: History-Dateien werden gelöscht und in das Null-Device gelinkt, damit die eingegebenen Kommandos nicht protokolliert werden können. Dann werden die trojanisierten Systemdateien un...50
Abb. 2–10 Die eingegebenen Adressbereiche werden nicht angezeigt, wenn der trojanisierte netstat-Befehl aufgerufen wird.50
Abb. 2–11 Verbindungen, die von der Domain home.com kommen, werden aus allen System-Logdateien gelöscht anschließend werden auch die Installationsdateien gelöscht.51
3 Incident Response als Grundlage der Computer-Forensik53
3.1 Der Incident-Response-Prozess53
3.2 Organisatorische Vorbereitungen54
3.3 Zusammensetzung des Response-Teams55
3.4 Incident Detection: Systemanomalien entdecken57
3.4.1 Vom Verdacht zum Beweis57
3.4.2 Netzseitige Hinweise58
3.4.3 Serverseitige Hinweise59
3.4.4 Intrusion-Detection-Systeme60
3.4.5 Externe Hinweise60
Abb. 3–1 Intrusion-Mapping- System dshield.org61
3.5 Incident Detection: Ein Vorfall wird gemeldet62
Meldung des Vorfalls62
Allgemeine Informationen62
Informationen über den Anrufer62
Informationen vom betroffenen System63
Informationen über den Angreifer64
Was wurde bereits unternommen?64
3.6 Sicherheitsvorfall oder Betriebsstörung?65
Abb. 3–2 Incidents identifizieren aus RFC 219667
3.7 Wahl der Response-Strategie68
3.8 Reporting und Manöverkritik69
4 Einführung in die Computer-Forensik73
4.1 Ziele einer Ermittlung73
4.2 Anforderungen an den Ermittlungsprozess74
4.3 Phasen der Ermittlung75
4.4 Das S-A-P-Modell76
4.5 Welche Erkenntnisse kann man gewinnen?78
Wer hatte Zugang?78
Was hat der Angreifer auf dem System gemacht?78
Wann fand der Vorfall statt?79
Welche weiteren Systeme sind noch betroffen?79
Warum ist gerade dieses Netz oder System angegriffen worden?79
Wie konnte der Angreifer Zugriff erlangen?79
Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt?80
Was konnte der Angreifer auf diesem System einsehen?80
Was wurde vom Angreifer zurückgelassen?80
Welche Tools wurden verwendet?81
Wie wurden diese Tools aufgerufen?81
In welcher Programmiersprache wurden die Tools geschrieben?81
Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden?82
Welche Events wurden protokolliert?82
Was wird durch die Protokolldaten enthüllt?82
Protokolldaten der Remote-Access-Systeme83
Protokolldaten der Zutrittskontrollsysteme83
Was findet sich auf den Datenträgern?83
Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden?83
Welche Dateien wurden gelöscht?84
Existieren versteckte Dateien?84
Existieren verschlüsselte Dateien?84
Existieren versteckte Partitionen?85
Existieren bekannte Hintertür- oder andere Fernzugriffstools?85
4.6 Wie geht man korrekt mit Beweismitteln um?85
4.6.1 Juristische Bewertung der Beweissituation86
4.6.2 Datenschutz87
4.6.3 Welche Daten können erfasst werden?90
4.6.4 Bewertung der Beweisspuren90
4.6.5 Durchgeführte Aktionen dokumentieren91
Tab. 4–1 Beispiel einer Dokumentation der durchgeführten Aktionen92
4.6.6 Beweise dokumentieren92
Abb. 4–1 Beispiel eines Beweiszettels93
4.6.7 Mögliche Fehler bei der Beweissammlung94
4.7 Flüchtige Daten sichern: Sofort speichern96
Aktuelle Uhrzeit97
Cache-Inhalt97
Speicherinhalte98
Status der Netzverbindung98
Status der laufenden Prozesse98
Inhalt der Speichermedien98
Inhalt des Hauptspeichers98
4.8 Speichermedien sichern: Forensische Duplikation99
Abb. 4–2 Der Writeblocker wird zwischen Analysesystem und zu sichernder Festplatte positioniert (in diesem Bild ist der Writeblocker via USB an das Analysesystem angeschlossen).100
4.8.1 Wann ist eine forensische Duplikation sinnvoll?100
4.8.2 Geeignete Verfahren101
4.9 Was sollte alles sichergestellt werden?102
4.10 Erste Schritte an einem System für die Sicherstellung104
4.10.1 System läuft nicht (ist ausgeschaltet)104
4.10.2 System läuft (ist eingeschaltet)105
4.10.3 Entscheidungsprozesse105
4.11 Untersuchungsergebnisse zusammenführen106
Abb. 4–3 Beispielhafter Ablauf einer Erstreaktion durch Nicht- Spezialisten106
Abb. 4–4 Herstellen der zeitlichen Abhängigkeiten zwischen den einzelnen Tatspuren107
4.12 Häufige Fehler108
Kein Incident-Response-Plan in Vorbereitung108
Unterschätzen der Tragweite des Vorfalls108
Keine rechtzeitige Meldung über den Vorfall109
Entscheidungsträger sind nicht oder nur unzureichend informiert109
Keine durchgängige Dokumentation der durchgeführten Aktionen109
Digitale Beweise sind unzureichend vor Veränderung geschützt109
4.13 Anti-Forensik110
5 Einführung in die Post-mortem-Analyse115
5.1 Was kann alles analysiert werden?115
5.2 Analyse des File Slack117
Abb. 5–1 Die Dateieigenschaften zeigen, dass diese 9 Byte große Datei 4 KB auf der Platte belegt: Der File Slack ist in diesem Fall also 4087 Byte groß.118
Abb. 5–2 File Slack = RAM Slack + Drive Slack119
5.3 Timeline-Analysen121
Abb. 5–3 Nach dem Kopieren einer Datei unter NTFS ist Last Modification Time älter als Creation Time und Last Access Time (das gezeigte Tool filestat wird in Abschnitt 7.2.8 näher vorgestellt).125
Abb. 5–4 Seit Windows Vista ist das Schreiben des Last-Access- Zeitstempels in einer Standardinstallation deaktiviert.126
5.4 NTFS-Streams127
Abb. 5–5 Verstecken der Datei getadmin.exe im Alternate Data Stream der Datei logo.gif (MAC-Time ändert sich aber)127
5.5 NTFS TxF128
5.6 NTFS-Volumen-Schattenkopien130
Abb. 5–6 Der Anwender hat mehrere Möglichkeiten zur Auswahl der Wiederherstellung.131
Abb. 5–7 In der Registry sind bereits vom VSS ausgeschlossene Dateien zu sehen.131
Abb. 5–8 Mit dem ShadowExplorer lassen sich alte Systemversionen komfortabel wiederherstellen.132
5.7 Windows-Registry134
Virtualisierung137
Abb. 5–9 Beispiel eines Spezialwerkzeuges, das Registry-Keys auswertet. Hier USBDeview12, das die in der Vergangenheit angeschlossenen USB- Devices übersichtlich darstellt.137
Tab. 5–1 Die Virtualisierung setzt sich auch bei den Verzeichnissen fort.138
5.8 Windows UserAssist Keys138
Abb. 5–10 Das Programm UserAssist zeigt alle Informationen über häufig benutzte Anwendungen an.139
5.9 Windows Prefetch-Dateien139
Abb. 5–11 Die Prefetch-Dateien geben ausführlich Auskunft über nachgeladene Komponenten während eines Startvorgangs – hier mittels WinPrefetchView angezeigt.141
Tab. 5–2 Der Prefetching- Mechanismus lässt sich über die Registry konfigurieren.141
5.10 Auslagerungsdateien142
5.11 Versteckte Dateien143
Abb. 5–12 Aufteilung einer Festplatte in Sektoren143
Rootkits144
Abb. 5–13 Konfigurationsdatei eines Rootkits. In diesem Beispiel werden alle Prozesse verborgen, die mit dem String »hxdef« beginnen. Ebenso taucht der Service »HackerDefender« nicht auf. Die Registry Keys » HackerDefender073« und »LEGACY_HA...145
Abb. 5–14 Auszug aus der Readme-Datei des Linux Rootkit »LRK5«146
Abb. 5–15 Beschreibung der Konfiguration des trojanisierten Netstat aus dem Linux Rootkit »LRK5«146
5.12 Dateien oder Fragmente wiederherstellen147
5.13 Unbekannte Binärdateien analysieren148
Abb. 5–16 Grundlegender Analyseablauf von unbekannten Binärdateien149
Abb. 5–17 Für die Analyse unbekannter Malware können auch öffentliche Angebote verwendet werden.151
Abb. 5–18 PEiD analysiert Binärdateien auf bekannte Packer und Compiler.152
Abb. 5–19 String-Analyse einer verdächtigen Windows-Datei153
Abb. 5–20 String-Analyse bei einem Windows RAS-Passwort-Spion154
Abb. 5–21 Analyse der Registry- Zugriffe einer verdächtigen Datei mit dem Process Monitor 18 (nähere Informationen zu diesem Tool in Abschnitt 7.2.8)155
Abb. 5–22 Die String-Analyse zeigt, dass es sich um eine Variante eines WU-FTP-Servers handelt.156
Abb. 5–23 Quellcode des trojanisierten WU-FTP-Servers157
Abb. 5–24 Analyse der benötigten Systembibliotheken157
Abb. 5–25 String-Analyse einer unbekannten Binärdatei158
Ein Beispiel für eine umfangreiche Analyse158
Abb. 5–26 Nach Setzen der »speziellen« Display-Variable ist Root-Zugang möglich.160
5.14 Systemprotokolle161
Abb. 5–27 Verdächtiger Eintrag in der Logdatei eines WWW-Servers162
Abb. 5–28 Fehlgeschlagene Netzwerkanmeldung an einem Windows-System162
Abb. 5–29 Anzeichen dafür, dass jemand den SSH-Port kontaktiert hat, um entweder die Serverversion oder die unterstützten Protokolle zu identifizieren (Bannergrabbing)162
5.15 Analyse von Netzwerkmitschnitten163
Abb. 5–30 Analyseablauf bei Netzwerkmitschnitten163
6 Forensik- und Incident-Response- Toolkits im Überblick165
6.1 Grundsätzliches zum Tooleinsatz165
6.2 Sichere Untersuchungsumgebung167
6.3 F.I.R.E.169
Abb. 6–1 Cygwin-Umgebung unter Windows XP169
Abb. 6–2 Startbildschirm von F.I.R.E. unter Windows170
Abb. 6–3 Statisch kompilierte Linux- Systemdateien von F.I.R.E.171
Abb. 6–4 Statisch kompilierte Solaris-Systemdateien von F.I.R.E.171
Abb. 6–5 Statisch kompilierte Windows-Systemdateien von F.I.R.E.171
Abb. 6–6 F.I.R.E. verfügt über eine komplette X-Window- Umgebung.172
6.4 Knoppix Security Tools Distribution173
Abb. 6–7 F.I.R.E. verfügt auch über ein reines Textmenü.173
Abb. 6–8 Knoppix Security Tools Distribution im Einsatz173
6.5 Helix174
Abb. 6–9 Startoberfläche von Helix unter Windows174
Abb. 6–10 Ein komfortables Menü erleichtert die Image- Erstellung.175
Abb. 6–11 Boot-Screen, wenn ein System mit Helix gebootet wird176
Abb. 6–12 X-Window-Oberfläche von Helix mit Autopsy, Linen und Adepto176
6.6 ForensiX-CD179
Abb. 6–13 Die ForensiX-CD180
6.7 C.A.I.N.E. und WinTaylor181
Abb. 6–14 C.A.I.N.E bietet beim Start nicht nur die Analyse, sondern auch die Installation.181
Abb. 6–15 Die forensischen Werkzeuge wurden unter einer grafischen Oberfläche zusammengefasst. (Das Autorenteam scheint ein Faible für amerikanische Krimiserien zu haben, wenn man sich die Grafiken so betrachtet.)182
Abb. 6–16 Guymager zeichnet sich durch schnelle Sicherung aus.183
Abb. 6–17 Die Oberfläche von WinTaylor fasst die wichtigsten Werkzeuge zusammen. Den Rest findet man in einigen Unterverzeichnissen.183
6.8 DEFT und DEFT-Extra184
Abb. 6–18 Die DEFT-Linux-Live-CD basiert ebenfalls auf Ubuntu und wird in Italien entwickelt.184
Abb. 6–19 Der WINE-Ansatz bietet viele Möglichkeiten der Integration von Windows- Spezialwerkzeugen, die direkt unter Linux gestartet werden können.184
Abb. 6–20 Das Digital Advanced Response Toolkit fasst sehr viele nützliche Werkzeuge unter einer Oberfläche zusammen.185
Abb. 6–21 Mächtige Windows- Forensik-Werkzeuge lassen DEFT-Extra schnell zu einem unentbehrlichen Begleiter werden.185
6.9 EnCase186
Abb. 6–22 Hauptansicht von EnCase 6186
Abb. 6–23 Konfiguration der Suchbegriffe unter EnCase 6187
Abb. 6–24 Darstellung der Suchergebnisse unter EnCase 6188
Abb. 6–25 Erfassung von Images mit EnCase 6189
Abb. 6–26 LinEn unter Linux mit Encase Images erstellen190
6.10 dd190
6.11 Forensic Acquisition Utilities195
6.12 AccessData Forensic Toolkit196
Abb. 6–27 Analyse der Grafiken, die sich im Browser-Cache eines NTFS-Image befinden, mit dem AccessData FTK197
Abb. 6–28 Extraktion eines bereits gelöschten, aber komplett wiederherstellbaren Rootkits unter Linux mit dem AccessData FTK198
6.13 The Coroner’s Toolkit und TCTUtils199
Abb. 6–29 FTK Imager ermöglicht neben der Image- Erstellung auch eine Vorschau des Datenträgers.199
Abb. 6–30 Sichergestellte Images können als Laufswerksbuchstabe gemountet werden.199
6.14 The Sleuth Kit200
Zugriff auf Dateisystem-Ebene202
Zugriff auf Dateinamen-Ebene203
Zugriff auf Metadaten-Ebene204
Zugriff auf Dateiebene205
6.15 Autopsy Forensic Browser206
Abb. 6–31 Startbildschirm von Autopsy Version 2 im Webbrowser207
Abb. 6–32 Analyseoberfläche von Autopsy 3 (Screenshot von der Entwicklerseite)207
Abb. 6–33 Anzeige des Verzeichnisinhaltes mit Autopsy Version 2 im Webbrowser208
Abb. 6–34 Prüfsummenvergleich209
Abb. 6–35 Timeline-Analysen lassen sich mit Autopsy 3 übersichtlich darstellen. (Screenshot von der Entwicklerseite)209
Abb. 6–36 Eigene Notizen können während der Analyse jedem verdächtigen Inode zugeordnet werden.210
Abb. 6–37 Autopsy-Protokoll der Tätigkeiten des Ermittlers211
6.16 Eigene Toolkits für Unix und Windows erstellen211
6.16.1 F.R.E.D.212
Abb. 6–38 F.R.E.D. in Aktion212
6.16.2 Incident Response Collection Report (IRCR)212
Abb. 6–39 IRCR kann auch für Windows-NT-4.0-Systeme verwendet werden.213
Abb. 6–40 IRCR erstellt aus den Ergebnissen eine HTML- Übersicht.213
Tab. 6–1 Befehle, die durch IRCR ausgeführt werden213
6.16.3 Windows Forensic Toolchest (WFT)214
Abb. 6–41 Der HTML-Report von WFT zeigt alle wesentlichen Informationen auf einen Blick.215
6.16.4 Live View215
Abb. 6–42 Mit Live View lässt sich aus einem forensischen Image eine VMWare- Konfiguration erstellen.216
7 Forensische Analyse im Detail217
7.1 Forensische Analyse unter Unix217
7.1.1 Die flüchtigen Daten speichern217
Tab. 7–1 Befehle, die zum Erfassen von flüchtigen Daten unter Linux verwendet werden können218
Abb. 7–1 Suche nach geöffneten Ressourcen durch den SSH-Daemon mit lsof220
Abb. 7–2 Grave-robber in Aktion220
Abb. 7–3 Übersicht der vom TCT (grave-robber) sichergestellten Dateien221
Ein Beispiel für das Sichern flüchtiger Daten221
7.1.2 Forensische Duplikation223
Die verdächtige Platte an ein eigenes Analysesystem anschließen223
Abb. 7–4 Boot-Protokoll des Analysesystems (Die SCSI-Platte /dev/sda dient als Speicher der Images, /dev/hdc ist die verdächtige Platte.)223
Übertragung der Daten vom verdächtigen System aus224
Abb. 7–5 Beispiel 1: Allgemeine Anwendung von Netcat225
Abb. 7–6 Beispiel 2: dd mit Netcat226
Abb. 7–7 Beispiel 3: dd mit Cryptcat226
Abb. 7–8 Adepto starten227
Abb. 7–9 Speichermedien analysieren228
Abb. 7–10 Adepto konfigurieren229
Abb. 7–11 Übertragung über Netcat230
7.1.3 Manuelle P.m.-Analyse der Images231
Abb. 7–12 Adepto erstellt ein ausführliches Protokoll, das sich in Auszügen direkt in den Ermittlungsbericht übernehmen lässt.231
Timeline-Analyse mit dem Sleuth Kit231
Abb. 7–13 Parameter von fls232
Analyse von gelöschten Dateien mit dem Sleuth Kit236
Suche mit Bordmitteln237
7.1.4 P.m.-Analyse der Images mit Autopsy238
Abb. 7–14 Start von Autopsy238
Abb. 7–15 Case-Gallery von Autopsy Version 2239
Abb. 7–16 Zuordnung eines neuen Image im Hostmanager von Autopsy Version 2239
Abb. 7–17 Ansicht aller einem PC zugeordneten Images im Hostmanager von Autopsy Version 2240
Abb. 7–18 Anzeige des gesamten Dateisystems und Inhalts der Dateien mit Autopsy Version 2240
Abb. 7–19 Ergebnis der Dateityp- Analyse mit Autopsy Version 2241
Abb. 7–20 Suchergebnis nach dem Wort »linsniff« mit Autopsy Version 2242
Abb. 7–21 Anzeige der Metadaten eines Inode (Informationen über eine gelöschte Datei, MAC- Time, Dateityp, Zugriffsrechte, Größe, belegte Blöcke etc.) mit Autopsy Version 2243
7.1.5 Dateiwiederherstellung mit unrm und lazarus244
Abb. 7–22 Timeline-Analyse mit Autopsy Version 2244
Abb. 7–23 HTML-Darstellung des gesamten unallozierten Bereichs mit unrm und lazarus244
7.1.6 Weitere hilfreiche Tools245
Abb. 7–24 Wiederherstellung von Daten mit foremost unter Linux . Hier: Rekonstruktion von Bildern, die mit einer Digitalkamera auf einer CF-Karte erstellt und wieder gelöscht wurden.245
Abb. 7–25 Auszug der Ausgabe von chkrootkit247
7.2 Forensische Analyse unter Windows248
7.2.1 Die flüchtigen Daten speichern249
7.2.2 Analyse des Hauptspeichers252
Abb. 7–26 Poolfinder bei der Analyse eines Windows-Hauptspeicherabbildes254
Abb. 7–27 Das OS-Detection-Skript identifiziert das Betriebssystem des Hauptspeicherabbildes.255
Abb. 7–28 Durch die Verwendung des grafischen Frontends PTfinderFE16 lassen sich die Analyseschritte einfacher durchführen.255
Abb. 7–29 Aus einem Hauptspeicherabbild mit pmodump extrahierte ausführbare Datei Netcat (nc.exe)256
Abb. 7–30 Mit pd lassen sich auch unter Windows Prozessspeicherinhalte sichern.256
Abb. 7–31 Ein mit pd erzeugtes Hauptspeicherabbild lässt sich mit dem Memory Parser auswerten.257
7.2.3 Analyse des Hauptspeichers mit Volatility258
Tab. 7–2 Übersicht über die mitgelieferten Module von Volatility 2.3.1258
Abb. 7–32 Virustotal zeigt die unterschiedlichen »eigenen« Namen der AV-Hersteller, des unter dem Namen ZeuS bekannt gewordenen Banking-Trojaners an. Die mit »malfind« extrahierte Datei wurde dort hochgeladen.265
7.2.4 Forensische Duplikation267
Images mit den Forensic Acquisition Utilities erstellen267
Abb. 7–33 Informationen über das logische Volume Laufwerk D:\268
Images mit dem AccessData FTK Imager erstellen270
Abb. 7–34 Erstellen eines Image mit dem FTK Imager271
Abb. 7–35 Der freie FTK-Imager ist neben Linux auch für Mac OS verfügbar und bietet dem Ermittler viele Möglichkeiten beim Erstellen von eigenen Skripten.271
Images mit EnCase erstellen272
Abb. 7–36 Neben der bekannten DOS-Variante ist seit EnCase 5 ein Linux-Tool zur Image-Erstellung enthalten.272
7.2.5 Manuelle P.m.-Analyse der Images272
7.2.6 P.m.-Analyse der Images mit dem AccessData FTK273
Abb. 7–37 Das Sleuth Kit unter Windows (Cygwin)273
Abb. 7–38 Einlesen eines vorher erstellten Image oder direkt von einem angeschlossenen Datenträger274
Abb. 7–39 Statusüberblick über gefundene Dateitypen beim AccessData FTK275
Abb. 7–40 Anzeige der gelöschten Installationsdatei eines Linux Rootkits mit dem AccessData FTK275
Abb. 7–41 Bei der Extraktion von Archiven können auch einzelne Dateien selektiert werden, die natürlich auch in die Text- bzw. Binärsuche einfließen können.276
Abb. 7–42 Suche im Image nach Zeichenketten mit dem AccessData FTK277
7.2.7 P.m.-Analyse der Images mit EnCase278
Abb. 7–43 Analyse des File Slack mit dem AccessData FTK278
Abb. 7–44 Auswahl der Schnittstelle, an der der zu untersuchende Datenträger angeschlossen ist279
Abb. 7–45 Definition von Suchmustern mit EnCase279
Abb. 7–46 Suche nach URLs und E-Mail-Adressen in unallozierten Bereichen eines Dateisystems mit EnCase280
Abb. 7–47 Wiederherstellung von Grafiken aus dem gelöschten Cache eines WWW-Browsers mit EnCase280
7.2.8 P.m.-Analyse der Images mit X-Ways Forensics281
Abb. 7–48 Analyse von Datenträgern, Images oder laufenden Prozessen282
Abb. 7–49 Übersichtliche Darstellung gelöschter Inodes eines ext2-Dateisystems in einem Kalender283
Abb. 7–50 Für jeden im Case- Management hinzugefügten Datenträger kann man eine Grafik-Suchfunktion aktivieren, die Bilder mit besonders viel »Haut« anzeigt. Dieses Feature wird von Strafverfolgungsbehörden beispielsweise auf der Suche nach p...284
Abb. 7–51 Ergebnis der Analyse eines Dateisystems mit X-Ways Forensics (Es ist gut zu erkennen, dass bei diesem FAT-System nur das Datum, aber nicht die Uhrzeit des letzten Zugriffs – Last Access – eingesehen werden kann siehe hierzu Abschnitt...284
7.2.9 Weitere hilfreiche Tools285
Abb. 7–52 Zugriff auf das ext2- Dateisystem unter Windows mit Explore2fs285
Abb. 7–53 Zugriff auf Dateisysteme unterschiedlicher Art mit Captain Nemo286
Abb. 7–54 Anwendungsbeispiele für FileDisk286
Abb. 7–55 Mount Image Pro bietet komfortablen Umgang mit dd- und EnCase-Images287
Abb. 7–56 Der Zugriff auf Linux- Partitionen lässt sich einfach über die Systemsteuerung konfigurieren.288
Abb. 7–57 X-Ways Trace bietet eine gute Übersicht der lokalen Browserspuren.288
Abb. 7–58 Darstellung des Windows-Papierkorbs mit X-Ways Trace289
Abb. 7–59 Der Windows FileAnalyzer vereint viele Analysemöglichkeiten. Er kann nicht nur auf dem lokalen System eingesetzt werden.290
Abb. 7–60 Ansicht der Internet-History mit iehist290
Abb. 7–61 FileStat aus dem Foundstone Forensic ToolKit zeigt alle Informationen einer verdächtigen Datei inkl. Alternate Data Streams.292
Abb. 7–62 Mailbox-Import mit Paraben’s E-Mail Examiner292
Abb. 7–63 Anzeige einiger Systeminformationen mit psinfo293
Abb. 7–64 Anzeige der über das Netz geöffneten Dateien mit psfile294
Abb. 7–65 Anzeige der lokal und über das Netz angemeldeten User mit psloggedon294
Abb. 7–66 Anzeige weiterer Informationen über aktive und inaktive Dienste mit psservice294
Abb. 7–67 Anzeige der durch einen Prozess verwendeten DLLs mit listdlls295
Abb. 7–68 Export der Eventlogs mit psloglist295
Abb. 7–69 Anzeige der von einem Prozess verwendeten Ressourcen mit handle296
Abb. 7–70 FPort zeigt an, welche Datei den Port geöffnet hält.296
Abb. 7–71 Direktes Suchen in Festplattensektoren mit SectorSpy297
Abb. 7–72 Zeichensuche in den Clustern einer Festplatte mit dem Disk Investigator297
Abb. 7–73 Ansicht von gelöschten Dateien mit dem Disk Investigator298
Abb. 7–74 Suche nach Zeichenketten in Dateisystemen mit Evidor298
Abb. 7–75 HTML-Ausgabe der Suchergebnisse von Evidor299
7.3 Forensische Analyse von mobilen Geräten300
Abb. 7–76 Analyse von Datenspuren in Office-Dokumenten mit dem Metadata Assistant300
7.3.1 Was ist von Interesse bei mobilen Geräten?301
7.3.2 Welche Informationen sind auf der SIM-Karte von Interesse?303
7.3.3 Grundsätzlicher Ablauf der Sicherung von mobilen Geräten303
Abb. 7–77 Schematischer Ablauf der forensischen Analyse eines mobilen Gerätes304
7.3.4 Software für die forensische Analyse von mobilen Geräten im Überblick305
Abb. 7–78 Suche im Speicherbereich eines Palm PDA mit PDA Seizure305
Abb. 7–79 Nach dem Auslesen des PDA können die Daten mit PDA Seizure analysiert werden.306
Abb. 7–80 Palm-OS-Passwort mit palmdecrypt entschlüsselt307
Abb. 7–81 Dekodieren des Palm- Passworts mit PDA Seizure307
Abb. 7–82 JL_Cmder309
Abb. 7–83 Paraben’s Cell Seizure ermöglicht das Auslesen einiger Handy-Modelle.310
Abb. 7–84 SIM Card311
Abb. 7–85 Oxygen Forensic312
Abb. 7–86 .XRY ermöglicht das umfangreiche Auslesen von Mobilendgeräten sowie SIM-Karten.313
Abb. 7–87 Mit dem iPhone Analyzer lassen sich die Backup- Dateien von iTunes bequem einlesen und auswerten.314
Abb. 7–88 In einer intuitiv zu bedienenden Oberfläche lassen sich alle wesentlichen Informationen des iPhones auslesen. Alle sqlite-Datenbanken sind durchsuchbar.315
Abb. 7–89 Alle auf dem iPhone gespeicherten Multimediaobjekte lassen sich analysieren. Bei Fotos kann man auch die GPS- Informationen aus den EXIF-Daten auslesen, wenn die entsprechende Funktion nicht deaktiviert wurde.315
7.4 Forensische Analyse von Routern316
Abb. 7–90 Speichert eine Anwendung GPS-Daten, so lassen sich diese bequem auswerten.316
Tab. 7–3 Befehle, um flüchtige Daten eines Router auszulesen317
8 Empfehlungen für den Schadensfall319
8.1 Logbuch319
Tab. 8–1 Beispiel eines Logbuchs319
8.2 Den Einbruch erkennen321
Review der IDS-Logs321
8.3 Tätigkeiten nach festgestelltem Einbruch322
Identifizieren Sie, wo die Angreifer überall waren324
8.4 Nächste Schritte326
9 Backtracing327
9.1 IP-Adressen überprüfen327
9.1.1 Ursprüngliche Quelle327
9.1.2 IP-Adressen, die nicht weiterhelfen328
9.1.3 Private Adressen328
9.1.4 Weitere IANA-Adressen329
9.1.5 Augenscheinlich falsche Adressen330
9.2 Spoof Detection330
9.2.1 Traceroute Hopcount330
Default-Werte der Initial TTL331
Abb. 9–1 Einige Default Initial TTL verschiedener Betriebssysteme332
Probleme mit Traceroute Hopcounting332
9.3 Routen validieren333
Abb. 9–2 RFC1918-Netze innerhalb einer Route333
Abb. 9–3 Beispielhafte Abfrage der Routen auf einem dafür öffentlich zugänglichen Core- Router von AT&T334
Abb. 9–4 Traceroute über das WWW-Interface von SamSpade.org335
Ein Spoof-Beispiel335
Abb. 9–5 Abfrage der Route zur verdächtigen IP-Adresse auf einem Core-Router (Ergebnis: keine Route vorhanden)335
Abb. 9–6 Abfrage der Route zur verdächtigen IP-Adresse über ein WWW-Interface (Ergebnis: keine Route vorhanden – »Network not in table«)336
Abb. 9–7 Whois-Query nach der verdächtigen IP-Adresse336
9.4 Nslookup337
9.5 Whois338
Abb. 9–8 Whois-Proxy-Abfrage auf www.geektools.com339
9.6 E-Mail-Header340
Abb. 9–9 Mail-Header-Beispiel340
10 Einbeziehung der Behörden343
10.1 Organisatorische Vorarbeit343
10.2 Strafrechtliches Vorgehen345
10.2.1 Inanspruchnahme des Verursachers345
10.2.2 Möglichkeiten der Anzeigeerstattung345
Das Tatortprinzip347
10.2.3 Einflussmöglichkeiten auf das Strafverfahren348
10.3 Zivilrechtliches Vorgehen349
10.4 Darstellung in der Öffentlichkeit350
10.5 Die Beweissituation bei der privaten Ermittlung351
Beweissituation im Sachbeweis352
Beweissituation im Personalbeweis352
10.6 Fazit355
Anhang357
A Tool-Überblick359
Forensik-CD aus iX 07/2007 bzw. Forensik-DVD aus iX special 10/2008365
B C.A.I.N.E.-Tools367
C DEFT-Tools375
Literaturempfehlungen381
Index383
www.dpunkt.de0

Weitere E-Books zum Thema: Sicherheit - IT Security

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Weitere Zeitschriften

BONSAI ART

BONSAI ART

Auflagenstärkste deutschsprachige Bonsai-Zeitschrift, basierend auf den renommiertesten Bonsai-Zeitschriften Japans mit vielen Beiträgen europäischer Gestalter. Wertvolle Informationen für ...

cards Karten cartes

cards Karten cartes

Die führende Zeitschrift für Zahlungsverkehr und Payments – international und branchenübergreifend, erscheint seit 1990 monatlich (viermal als Fachmagazin, achtmal als ...

caritas

caritas

mitteilungen für die Erzdiözese FreiburgUm Kindern aus armen Familien gute Perspektiven für eine eigenständige Lebensführung zu ermöglichen, muss die Kinderarmut in Deutschland nachhaltig ...

crescendo

crescendo

Die Zeitschrift für Blas- und Spielleutemusik in NRW - Informationen aus dem Volksmusikerbund NRW - Berichte aus 23 Kreisverbänden mit über 1000 Blasorchestern, Spielmanns- und Fanfarenzügen - ...

Der Steuerzahler

Der Steuerzahler

Der Steuerzahler ist das monatliche Wirtschafts- und Mitgliedermagazin des Bundes der Steuerzahler und erreicht mit fast 230.000 Abonnenten einen weitesten Leserkreis von 1 ...

Eishockey NEWS

Eishockey NEWS

Eishockey NEWS bringt alles über die DEL, die DEL2, die Oberliga sowie die Regionalligen und Informationen über die NHL. Dazu ausführliche Statistiken, Hintergrundberichte, Personalities ...