Inhaltsverzeichnis | 5 |
Einleitung | 9 |
Wer sollte dieses Buch lesen? | 10 |
Was lernt man in diesem Buch? | 12 |
Was lernt man in diesem Buch nicht? | 12 |
Wie liest man dieses Buch? | 13 |
Kapitel 1 | 14 |
Kapitel 2 | 14 |
Kapitel 3 | 14 |
Kapitel 4 | 14 |
Kapitel 5 | 15 |
Kapitel 6 | 15 |
Kapitel 7 | 15 |
Kapitel 8 | 15 |
Kapitel 9 | 15 |
Kapitel 10 | 16 |
Was ist neu in der 6. Auflage? | 16 |
Was ist neu in der 5. Auflage? | 16 |
Was ist neu in der 4. Auflage? | 17 |
Was ist neu in der 3. Auflage? | 17 |
Was ist neu in der 2. Auflage? | 17 |
1 Bedrohungssituation | 19 |
1.1 Bedrohung und Wahrscheinlichkeit | 19 |
1.2 Risikoverteilung | 20 |
Abb. 1–1 Angreiferfähigkeiten vs. benötigtes Wissen1 | 21 |
Abb. 1–2 Verbreitungsmethoden von Malware aus dem Symantec Internet Security Threat Report – Attack Trends 2012 | 22 |
1.3 Motivation der Täter | 24 |
Abb. 1–3 Defacement der Webseite von HP Belgien mit Hinweis auf den Defacement-Mirror zone-h.org und einer entsprechenden Rechtfertigung | 27 |
Abb. 1–4 Versuch einer Analyse der Motivlage der Angreifer7 | 27 |
Abb. 1–5 Auswertung der Motivlage in einem größeren Fall von Missbrauch von Internetzugangskennungen | 28 |
1.4 Innentäter vs. Außentäter | 29 |
1.5 Bestätigung durch die Statistik? | 33 |
1.6 Computerkriminalität | 34 |
Abb. 1–6 Fallentwicklung und Aufklärung für das gesamte Bundesgebiet. Der Anstieg bei Datenveränderung und Computersabotage resultiert aus Angriffen mittels Schadsoftware. | 34 |
Tab. 1–1 Delikte der IuK-Kriminalität im engeren Sinne | 35 |
Abb. 1–7 Gesonderte Auswertung von »Tatmittel Internet« aus der PKS 2010 | 40 |
2 Ablauf von Angriffen | 41 |
2.1 Typischer Angriffsverlauf | 41 |
2.1.1 Footprinting | 41 |
2.1.2 Port- und Protokollscan | 42 |
2.1.3 Enumeration | 42 |
2.1.4 Exploiting/Penetration | 43 |
2.1.5 Hintertüren einrichten | 43 |
2.1.6 Spuren verwischen | 44 |
2.2 Beispiel eines Angriffs | 44 |
Abb. 2–1 Meldungen des Intrusion-Detection-Systems Snort: Portscan, Kontakt des Telnet-Port, um das Banner zu analysieren, Kontaktaufnahme des Portmappers, um festzustellen, ob dieser aktiv ist, und abschließender Angriff (in der Abbildung hervorg... | 45 |
Abb. 2–2 DS-Mitschnitt des Angriffs aus der vorherigen Abbildung auf den Portmapper, mit Installation einer Hintertür auf Port 4545 | 46 |
Abb. 2–3 Firewall-1 Logdatei: akzeptierte Verbindungen des Angriffs. Kontakt der RPC- und Telnet-Dienste | 46 |
Abb. 2–4 Der Angreifer schaut, ob das System rebootet wurde und ob noch andere User angemeldet sind. Dann löscht er die Konfigurationsdateien des TCP-Wrapper und die Logdateien, die den Anmeldestatus zeigen. | 47 |
Abb. 2–5 Der Angreifer stoppt den Syslog-Server und löscht die zugehörigen Startskripte. Dann fügt er einen zusätzlichen Account »own« mit Root-Rechten und einen normalen User »adm1« ein. Direkte Root-Anmeldungen via Telnet sind standardmä... | 47 |
Abb. 2–6 Der Angreifer meldet sich mit dem Account »adm1« an (man bemerke das Passwort »eliteness«), wird mittels SU-Befel zum Root-User und überprüft, ob irgendwelche verdächtigen Prozesse laufen. Der Angreifer wird wahrscheinlich mitbekomm... | 48 |
Abb. 2–7 Der Angreifer startet ftp ohne Parameter, damit in der Prozessliste nicht der besuchte FTP-Server auftaucht, und verbindet sich erst dann mittels »open«. So ist in der Prozessliste jetzt nur »ftp« zu sehen und nicht »ftp skipper.robot... | 48 |
Abb. 2–8 Der Angreifer sieht sich den Inhalt des heruntergeladenen und entpackten Verzeichnisses (in /usr/man/ gespeichert !) an. Der Umfang der auszutauschenden und zu installierenden Dateien ist dabei sehr gut zu erkennen. | 49 |
Abb. 2–9 Das Installationsskript, das der Angreifer verwendet hat: History-Dateien werden gelöscht und in das Null-Device gelinkt, damit die eingegebenen Kommandos nicht protokolliert werden können. Dann werden die trojanisierten Systemdateien un... | 50 |
Abb. 2–10 Die eingegebenen Adressbereiche werden nicht angezeigt, wenn der trojanisierte netstat-Befehl aufgerufen wird. | 50 |
Abb. 2–11 Verbindungen, die von der Domain home.com kommen, werden aus allen System-Logdateien gelöscht | anschließend werden auch die Installationsdateien gelöscht. | 51 |
3 Incident Response als Grundlage der Computer-Forensik | 53 |
3.1 Der Incident-Response-Prozess | 53 |
3.2 Organisatorische Vorbereitungen | 54 |
3.3 Zusammensetzung des Response-Teams | 55 |
3.4 Incident Detection: Systemanomalien entdecken | 57 |
3.4.1 Vom Verdacht zum Beweis | 57 |
3.4.2 Netzseitige Hinweise | 58 |
3.4.3 Serverseitige Hinweise | 59 |
3.4.4 Intrusion-Detection-Systeme | 60 |
3.4.5 Externe Hinweise | 60 |
Abb. 3–1 Intrusion-Mapping- System dshield.org | 61 |
3.5 Incident Detection: Ein Vorfall wird gemeldet | 62 |
Meldung des Vorfalls | 62 |
Allgemeine Informationen | 62 |
Informationen über den Anrufer | 62 |
Informationen vom betroffenen System | 63 |
Informationen über den Angreifer | 64 |
Was wurde bereits unternommen? | 64 |
3.6 Sicherheitsvorfall oder Betriebsstörung? | 65 |
Abb. 3–2 Incidents identifizieren aus RFC 2196 | 67 |
3.7 Wahl der Response-Strategie | 68 |
3.8 Reporting und Manöverkritik | 69 |
4 Einführung in die Computer-Forensik | 73 |
4.1 Ziele einer Ermittlung | 73 |
4.2 Anforderungen an den Ermittlungsprozess | 74 |
4.3 Phasen der Ermittlung | 75 |
4.4 Das S-A-P-Modell | 76 |
4.5 Welche Erkenntnisse kann man gewinnen? | 78 |
Wer hatte Zugang? | 78 |
Was hat der Angreifer auf dem System gemacht? | 78 |
Wann fand der Vorfall statt? | 79 |
Welche weiteren Systeme sind noch betroffen? | 79 |
Warum ist gerade dieses Netz oder System angegriffen worden? | 79 |
Wie konnte der Angreifer Zugriff erlangen? | 79 |
Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt? | 80 |
Was konnte der Angreifer auf diesem System einsehen? | 80 |
Was wurde vom Angreifer zurückgelassen? | 80 |
Welche Tools wurden verwendet? | 81 |
Wie wurden diese Tools aufgerufen? | 81 |
In welcher Programmiersprache wurden die Tools geschrieben? | 81 |
Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden? | 82 |
Welche Events wurden protokolliert? | 82 |
Was wird durch die Protokolldaten enthüllt? | 82 |
Protokolldaten der Remote-Access-Systeme | 83 |
Protokolldaten der Zutrittskontrollsysteme | 83 |
Was findet sich auf den Datenträgern? | 83 |
Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden? | 83 |
Welche Dateien wurden gelöscht? | 84 |
Existieren versteckte Dateien? | 84 |
Existieren verschlüsselte Dateien? | 84 |
Existieren versteckte Partitionen? | 85 |
Existieren bekannte Hintertür- oder andere Fernzugriffstools? | 85 |
4.6 Wie geht man korrekt mit Beweismitteln um? | 85 |
4.6.1 Juristische Bewertung der Beweissituation | 86 |
4.6.2 Datenschutz | 87 |
4.6.3 Welche Daten können erfasst werden? | 90 |
4.6.4 Bewertung der Beweisspuren | 90 |
4.6.5 Durchgeführte Aktionen dokumentieren | 91 |
Tab. 4–1 Beispiel einer Dokumentation der durchgeführten Aktionen | 92 |
4.6.6 Beweise dokumentieren | 92 |
Abb. 4–1 Beispiel eines Beweiszettels | 93 |
4.6.7 Mögliche Fehler bei der Beweissammlung | 94 |
4.7 Flüchtige Daten sichern: Sofort speichern | 96 |
Aktuelle Uhrzeit | 97 |
Cache-Inhalt | 97 |
Speicherinhalte | 98 |
Status der Netzverbindung | 98 |
Status der laufenden Prozesse | 98 |
Inhalt der Speichermedien | 98 |
Inhalt des Hauptspeichers | 98 |
4.8 Speichermedien sichern: Forensische Duplikation | 99 |
Abb. 4–2 Der Writeblocker wird zwischen Analysesystem und zu sichernder Festplatte positioniert (in diesem Bild ist der Writeblocker via USB an das Analysesystem angeschlossen). | 100 |
4.8.1 Wann ist eine forensische Duplikation sinnvoll? | 100 |
4.8.2 Geeignete Verfahren | 101 |
4.9 Was sollte alles sichergestellt werden? | 102 |
4.10 Erste Schritte an einem System für die Sicherstellung | 104 |
4.10.1 System läuft nicht (ist ausgeschaltet) | 104 |
4.10.2 System läuft (ist eingeschaltet) | 105 |
4.10.3 Entscheidungsprozesse | 105 |
4.11 Untersuchungsergebnisse zusammenführen | 106 |
Abb. 4–3 Beispielhafter Ablauf einer Erstreaktion durch Nicht- Spezialisten | 106 |
Abb. 4–4 Herstellen der zeitlichen Abhängigkeiten zwischen den einzelnen Tatspuren | 107 |
4.12 Häufige Fehler | 108 |
Kein Incident-Response-Plan in Vorbereitung | 108 |
Unterschätzen der Tragweite des Vorfalls | 108 |
Keine rechtzeitige Meldung über den Vorfall | 109 |
Entscheidungsträger sind nicht oder nur unzureichend informiert | 109 |
Keine durchgängige Dokumentation der durchgeführten Aktionen | 109 |
Digitale Beweise sind unzureichend vor Veränderung geschützt | 109 |
4.13 Anti-Forensik | 110 |
5 Einführung in die Post-mortem-Analyse | 115 |
5.1 Was kann alles analysiert werden? | 115 |
5.2 Analyse des File Slack | 117 |
Abb. 5–1 Die Dateieigenschaften zeigen, dass diese 9 Byte große Datei 4 KB auf der Platte belegt: Der File Slack ist in diesem Fall also 4087 Byte groß. | 118 |
Abb. 5–2 File Slack = RAM Slack + Drive Slack | 119 |
5.3 Timeline-Analysen | 121 |
Abb. 5–3 Nach dem Kopieren einer Datei unter NTFS ist Last Modification Time älter als Creation Time und Last Access Time (das gezeigte Tool filestat wird in Abschnitt 7.2.8 näher vorgestellt). | 125 |
Abb. 5–4 Seit Windows Vista ist das Schreiben des Last-Access- Zeitstempels in einer Standardinstallation deaktiviert. | 126 |
5.4 NTFS-Streams | 127 |
Abb. 5–5 Verstecken der Datei getadmin.exe im Alternate Data Stream der Datei logo.gif (MAC-Time ändert sich aber) | 127 |
5.5 NTFS TxF | 128 |
5.6 NTFS-Volumen-Schattenkopien | 130 |
Abb. 5–6 Der Anwender hat mehrere Möglichkeiten zur Auswahl der Wiederherstellung. | 131 |
Abb. 5–7 In der Registry sind bereits vom VSS ausgeschlossene Dateien zu sehen. | 131 |
Abb. 5–8 Mit dem ShadowExplorer lassen sich alte Systemversionen komfortabel wiederherstellen. | 132 |
5.7 Windows-Registry | 134 |
Virtualisierung | 137 |
Abb. 5–9 Beispiel eines Spezialwerkzeuges, das Registry-Keys auswertet. Hier USBDeview12, das die in der Vergangenheit angeschlossenen USB- Devices übersichtlich darstellt. | 137 |
Tab. 5–1 Die Virtualisierung setzt sich auch bei den Verzeichnissen fort. | 138 |
5.8 Windows UserAssist Keys | 138 |
Abb. 5–10 Das Programm UserAssist zeigt alle Informationen über häufig benutzte Anwendungen an. | 139 |
5.9 Windows Prefetch-Dateien | 139 |
Abb. 5–11 Die Prefetch-Dateien geben ausführlich Auskunft über nachgeladene Komponenten während eines Startvorgangs – hier mittels WinPrefetchView angezeigt. | 141 |
Tab. 5–2 Der Prefetching- Mechanismus lässt sich über die Registry konfigurieren. | 141 |
5.10 Auslagerungsdateien | 142 |
5.11 Versteckte Dateien | 143 |
Abb. 5–12 Aufteilung einer Festplatte in Sektoren | 143 |
Rootkits | 144 |
Abb. 5–13 Konfigurationsdatei eines Rootkits. In diesem Beispiel werden alle Prozesse verborgen, die mit dem String »hxdef« beginnen. Ebenso taucht der Service »HackerDefender« nicht auf. Die Registry Keys » HackerDefender073« und »LEGACY_HA... | 145 |
Abb. 5–14 Auszug aus der Readme-Datei des Linux Rootkit »LRK5« | 146 |
Abb. 5–15 Beschreibung der Konfiguration des trojanisierten Netstat aus dem Linux Rootkit »LRK5« | 146 |
5.12 Dateien oder Fragmente wiederherstellen | 147 |
5.13 Unbekannte Binärdateien analysieren | 148 |
Abb. 5–16 Grundlegender Analyseablauf von unbekannten Binärdateien | 149 |
Abb. 5–17 Für die Analyse unbekannter Malware können auch öffentliche Angebote verwendet werden. | 151 |
Abb. 5–18 PEiD analysiert Binärdateien auf bekannte Packer und Compiler. | 152 |
Abb. 5–19 String-Analyse einer verdächtigen Windows-Datei | 153 |
Abb. 5–20 String-Analyse bei einem Windows RAS-Passwort-Spion | 154 |
Abb. 5–21 Analyse der Registry- Zugriffe einer verdächtigen Datei mit dem Process Monitor 18 (nähere Informationen zu diesem Tool in Abschnitt 7.2.8) | 155 |
Abb. 5–22 Die String-Analyse zeigt, dass es sich um eine Variante eines WU-FTP-Servers handelt. | 156 |
Abb. 5–23 Quellcode des trojanisierten WU-FTP-Servers | 157 |
Abb. 5–24 Analyse der benötigten Systembibliotheken | 157 |
Abb. 5–25 String-Analyse einer unbekannten Binärdatei | 158 |
Ein Beispiel für eine umfangreiche Analyse | 158 |
Abb. 5–26 Nach Setzen der »speziellen« Display-Variable ist Root-Zugang möglich. | 160 |
5.14 Systemprotokolle | 161 |
Abb. 5–27 Verdächtiger Eintrag in der Logdatei eines WWW-Servers | 162 |
Abb. 5–28 Fehlgeschlagene Netzwerkanmeldung an einem Windows-System | 162 |
Abb. 5–29 Anzeichen dafür, dass jemand den SSH-Port kontaktiert hat, um entweder die Serverversion oder die unterstützten Protokolle zu identifizieren (Bannergrabbing) | 162 |
5.15 Analyse von Netzwerkmitschnitten | 163 |
Abb. 5–30 Analyseablauf bei Netzwerkmitschnitten | 163 |
6 Forensik- und Incident-Response- Toolkits im Überblick | 165 |
6.1 Grundsätzliches zum Tooleinsatz | 165 |
6.2 Sichere Untersuchungsumgebung | 167 |
6.3 F.I.R.E. | 169 |
Abb. 6–1 Cygwin-Umgebung unter Windows XP | 169 |
Abb. 6–2 Startbildschirm von F.I.R.E. unter Windows | 170 |
Abb. 6–3 Statisch kompilierte Linux- Systemdateien von F.I.R.E. | 171 |
Abb. 6–4 Statisch kompilierte Solaris-Systemdateien von F.I.R.E. | 171 |
Abb. 6–5 Statisch kompilierte Windows-Systemdateien von F.I.R.E. | 171 |
Abb. 6–6 F.I.R.E. verfügt über eine komplette X-Window- Umgebung. | 172 |
6.4 Knoppix Security Tools Distribution | 173 |
Abb. 6–7 F.I.R.E. verfügt auch über ein reines Textmenü. | 173 |
Abb. 6–8 Knoppix Security Tools Distribution im Einsatz | 173 |
6.5 Helix | 174 |
Abb. 6–9 Startoberfläche von Helix unter Windows | 174 |
Abb. 6–10 Ein komfortables Menü erleichtert die Image- Erstellung. | 175 |
Abb. 6–11 Boot-Screen, wenn ein System mit Helix gebootet wird | 176 |
Abb. 6–12 X-Window-Oberfläche von Helix mit Autopsy, Linen und Adepto | 176 |
6.6 ForensiX-CD | 179 |
Abb. 6–13 Die ForensiX-CD | 180 |
6.7 C.A.I.N.E. und WinTaylor | 181 |
Abb. 6–14 C.A.I.N.E bietet beim Start nicht nur die Analyse, sondern auch die Installation. | 181 |
Abb. 6–15 Die forensischen Werkzeuge wurden unter einer grafischen Oberfläche zusammengefasst. (Das Autorenteam scheint ein Faible für amerikanische Krimiserien zu haben, wenn man sich die Grafiken so betrachtet.) | 182 |
Abb. 6–16 Guymager zeichnet sich durch schnelle Sicherung aus. | 183 |
Abb. 6–17 Die Oberfläche von WinTaylor fasst die wichtigsten Werkzeuge zusammen. Den Rest findet man in einigen Unterverzeichnissen. | 183 |
6.8 DEFT und DEFT-Extra | 184 |
Abb. 6–18 Die DEFT-Linux-Live-CD basiert ebenfalls auf Ubuntu und wird in Italien entwickelt. | 184 |
Abb. 6–19 Der WINE-Ansatz bietet viele Möglichkeiten der Integration von Windows- Spezialwerkzeugen, die direkt unter Linux gestartet werden können. | 184 |
Abb. 6–20 Das Digital Advanced Response Toolkit fasst sehr viele nützliche Werkzeuge unter einer Oberfläche zusammen. | 185 |
Abb. 6–21 Mächtige Windows- Forensik-Werkzeuge lassen DEFT-Extra schnell zu einem unentbehrlichen Begleiter werden. | 185 |
6.9 EnCase | 186 |
Abb. 6–22 Hauptansicht von EnCase 6 | 186 |
Abb. 6–23 Konfiguration der Suchbegriffe unter EnCase 6 | 187 |
Abb. 6–24 Darstellung der Suchergebnisse unter EnCase 6 | 188 |
Abb. 6–25 Erfassung von Images mit EnCase 6 | 189 |
Abb. 6–26 LinEn unter Linux mit Encase Images erstellen | 190 |
6.10 dd | 190 |
6.11 Forensic Acquisition Utilities | 195 |
6.12 AccessData Forensic Toolkit | 196 |
Abb. 6–27 Analyse der Grafiken, die sich im Browser-Cache eines NTFS-Image befinden, mit dem AccessData FTK | 197 |
Abb. 6–28 Extraktion eines bereits gelöschten, aber komplett wiederherstellbaren Rootkits unter Linux mit dem AccessData FTK | 198 |
6.13 The Coroner’s Toolkit und TCTUtils | 199 |
Abb. 6–29 FTK Imager ermöglicht neben der Image- Erstellung auch eine Vorschau des Datenträgers. | 199 |
Abb. 6–30 Sichergestellte Images können als Laufswerksbuchstabe gemountet werden. | 199 |
6.14 The Sleuth Kit | 200 |
Zugriff auf Dateisystem-Ebene | 202 |
Zugriff auf Dateinamen-Ebene | 203 |
Zugriff auf Metadaten-Ebene | 204 |
Zugriff auf Dateiebene | 205 |
6.15 Autopsy Forensic Browser | 206 |
Abb. 6–31 Startbildschirm von Autopsy Version 2 im Webbrowser | 207 |
Abb. 6–32 Analyseoberfläche von Autopsy 3 (Screenshot von der Entwicklerseite) | 207 |
Abb. 6–33 Anzeige des Verzeichnisinhaltes mit Autopsy Version 2 im Webbrowser | 208 |
Abb. 6–34 Prüfsummenvergleich | 209 |
Abb. 6–35 Timeline-Analysen lassen sich mit Autopsy 3 übersichtlich darstellen. (Screenshot von der Entwicklerseite) | 209 |
Abb. 6–36 Eigene Notizen können während der Analyse jedem verdächtigen Inode zugeordnet werden. | 210 |
Abb. 6–37 Autopsy-Protokoll der Tätigkeiten des Ermittlers | 211 |
6.16 Eigene Toolkits für Unix und Windows erstellen | 211 |
6.16.1 F.R.E.D. | 212 |
Abb. 6–38 F.R.E.D. in Aktion | 212 |
6.16.2 Incident Response Collection Report (IRCR) | 212 |
Abb. 6–39 IRCR kann auch für Windows-NT-4.0-Systeme verwendet werden. | 213 |
Abb. 6–40 IRCR erstellt aus den Ergebnissen eine HTML- Übersicht. | 213 |
Tab. 6–1 Befehle, die durch IRCR ausgeführt werden | 213 |
6.16.3 Windows Forensic Toolchest (WFT) | 214 |
Abb. 6–41 Der HTML-Report von WFT zeigt alle wesentlichen Informationen auf einen Blick. | 215 |
6.16.4 Live View | 215 |
Abb. 6–42 Mit Live View lässt sich aus einem forensischen Image eine VMWare- Konfiguration erstellen. | 216 |
7 Forensische Analyse im Detail | 217 |
7.1 Forensische Analyse unter Unix | 217 |
7.1.1 Die flüchtigen Daten speichern | 217 |
Tab. 7–1 Befehle, die zum Erfassen von flüchtigen Daten unter Linux verwendet werden können | 218 |
Abb. 7–1 Suche nach geöffneten Ressourcen durch den SSH-Daemon mit lsof | 220 |
Abb. 7–2 Grave-robber in Aktion | 220 |
Abb. 7–3 Übersicht der vom TCT (grave-robber) sichergestellten Dateien | 221 |
Ein Beispiel für das Sichern flüchtiger Daten | 221 |
7.1.2 Forensische Duplikation | 223 |
Die verdächtige Platte an ein eigenes Analysesystem anschließen | 223 |
Abb. 7–4 Boot-Protokoll des Analysesystems (Die SCSI-Platte /dev/sda dient als Speicher der Images, /dev/hdc ist die verdächtige Platte.) | 223 |
Übertragung der Daten vom verdächtigen System aus | 224 |
Abb. 7–5 Beispiel 1: Allgemeine Anwendung von Netcat | 225 |
Abb. 7–6 Beispiel 2: dd mit Netcat | 226 |
Abb. 7–7 Beispiel 3: dd mit Cryptcat | 226 |
Abb. 7–8 Adepto starten | 227 |
Abb. 7–9 Speichermedien analysieren | 228 |
Abb. 7–10 Adepto konfigurieren | 229 |
Abb. 7–11 Übertragung über Netcat | 230 |
7.1.3 Manuelle P.m.-Analyse der Images | 231 |
Abb. 7–12 Adepto erstellt ein ausführliches Protokoll, das sich in Auszügen direkt in den Ermittlungsbericht übernehmen lässt. | 231 |
Timeline-Analyse mit dem Sleuth Kit | 231 |
Abb. 7–13 Parameter von fls | 232 |
Analyse von gelöschten Dateien mit dem Sleuth Kit | 236 |
Suche mit Bordmitteln | 237 |
7.1.4 P.m.-Analyse der Images mit Autopsy | 238 |
Abb. 7–14 Start von Autopsy | 238 |
Abb. 7–15 Case-Gallery von Autopsy Version 2 | 239 |
Abb. 7–16 Zuordnung eines neuen Image im Hostmanager von Autopsy Version 2 | 239 |
Abb. 7–17 Ansicht aller einem PC zugeordneten Images im Hostmanager von Autopsy Version 2 | 240 |
Abb. 7–18 Anzeige des gesamten Dateisystems und Inhalts der Dateien mit Autopsy Version 2 | 240 |
Abb. 7–19 Ergebnis der Dateityp- Analyse mit Autopsy Version 2 | 241 |
Abb. 7–20 Suchergebnis nach dem Wort »linsniff« mit Autopsy Version 2 | 242 |
Abb. 7–21 Anzeige der Metadaten eines Inode (Informationen über eine gelöschte Datei, MAC- Time, Dateityp, Zugriffsrechte, Größe, belegte Blöcke etc.) mit Autopsy Version 2 | 243 |
7.1.5 Dateiwiederherstellung mit unrm und lazarus | 244 |
Abb. 7–22 Timeline-Analyse mit Autopsy Version 2 | 244 |
Abb. 7–23 HTML-Darstellung des gesamten unallozierten Bereichs mit unrm und lazarus | 244 |
7.1.6 Weitere hilfreiche Tools | 245 |
Abb. 7–24 Wiederherstellung von Daten mit foremost unter Linux . Hier: Rekonstruktion von Bildern, die mit einer Digitalkamera auf einer CF-Karte erstellt und wieder gelöscht wurden. | 245 |
Abb. 7–25 Auszug der Ausgabe von chkrootkit | 247 |
7.2 Forensische Analyse unter Windows | 248 |
7.2.1 Die flüchtigen Daten speichern | 249 |
7.2.2 Analyse des Hauptspeichers | 252 |
Abb. 7–26 Poolfinder bei der Analyse eines Windows-Hauptspeicherabbildes | 254 |
Abb. 7–27 Das OS-Detection-Skript identifiziert das Betriebssystem des Hauptspeicherabbildes. | 255 |
Abb. 7–28 Durch die Verwendung des grafischen Frontends PTfinderFE16 lassen sich die Analyseschritte einfacher durchführen. | 255 |
Abb. 7–29 Aus einem Hauptspeicherabbild mit pmodump extrahierte ausführbare Datei Netcat (nc.exe) | 256 |
Abb. 7–30 Mit pd lassen sich auch unter Windows Prozessspeicherinhalte sichern. | 256 |
Abb. 7–31 Ein mit pd erzeugtes Hauptspeicherabbild lässt sich mit dem Memory Parser auswerten. | 257 |
7.2.3 Analyse des Hauptspeichers mit Volatility | 258 |
Tab. 7–2 Übersicht über die mitgelieferten Module von Volatility 2.3.1 | 258 |
Abb. 7–32 Virustotal zeigt die unterschiedlichen »eigenen« Namen der AV-Hersteller, des unter dem Namen ZeuS bekannt gewordenen Banking-Trojaners an. Die mit »malfind« extrahierte Datei wurde dort hochgeladen. | 265 |
7.2.4 Forensische Duplikation | 267 |
Images mit den Forensic Acquisition Utilities erstellen | 267 |
Abb. 7–33 Informationen über das logische Volume Laufwerk D:\ | 268 |
Images mit dem AccessData FTK Imager erstellen | 270 |
Abb. 7–34 Erstellen eines Image mit dem FTK Imager | 271 |
Abb. 7–35 Der freie FTK-Imager ist neben Linux auch für Mac OS verfügbar und bietet dem Ermittler viele Möglichkeiten beim Erstellen von eigenen Skripten. | 271 |
Images mit EnCase erstellen | 272 |
Abb. 7–36 Neben der bekannten DOS-Variante ist seit EnCase 5 ein Linux-Tool zur Image-Erstellung enthalten. | 272 |
7.2.5 Manuelle P.m.-Analyse der Images | 272 |
7.2.6 P.m.-Analyse der Images mit dem AccessData FTK | 273 |
Abb. 7–37 Das Sleuth Kit unter Windows (Cygwin) | 273 |
Abb. 7–38 Einlesen eines vorher erstellten Image oder direkt von einem angeschlossenen Datenträger | 274 |
Abb. 7–39 Statusüberblick über gefundene Dateitypen beim AccessData FTK | 275 |
Abb. 7–40 Anzeige der gelöschten Installationsdatei eines Linux Rootkits mit dem AccessData FTK | 275 |
Abb. 7–41 Bei der Extraktion von Archiven können auch einzelne Dateien selektiert werden, die natürlich auch in die Text- bzw. Binärsuche einfließen können. | 276 |
Abb. 7–42 Suche im Image nach Zeichenketten mit dem AccessData FTK | 277 |
7.2.7 P.m.-Analyse der Images mit EnCase | 278 |
Abb. 7–43 Analyse des File Slack mit dem AccessData FTK | 278 |
Abb. 7–44 Auswahl der Schnittstelle, an der der zu untersuchende Datenträger angeschlossen ist | 279 |
Abb. 7–45 Definition von Suchmustern mit EnCase | 279 |
Abb. 7–46 Suche nach URLs und E-Mail-Adressen in unallozierten Bereichen eines Dateisystems mit EnCase | 280 |
Abb. 7–47 Wiederherstellung von Grafiken aus dem gelöschten Cache eines WWW-Browsers mit EnCase | 280 |
7.2.8 P.m.-Analyse der Images mit X-Ways Forensics | 281 |
Abb. 7–48 Analyse von Datenträgern, Images oder laufenden Prozessen | 282 |
Abb. 7–49 Übersichtliche Darstellung gelöschter Inodes eines ext2-Dateisystems in einem Kalender | 283 |
Abb. 7–50 Für jeden im Case- Management hinzugefügten Datenträger kann man eine Grafik-Suchfunktion aktivieren, die Bilder mit besonders viel »Haut« anzeigt. Dieses Feature wird von Strafverfolgungsbehörden beispielsweise auf der Suche nach p... | 284 |
Abb. 7–51 Ergebnis der Analyse eines Dateisystems mit X-Ways Forensics (Es ist gut zu erkennen, dass bei diesem FAT-System nur das Datum, aber nicht die Uhrzeit des letzten Zugriffs – Last Access – eingesehen werden kann | siehe hierzu Abschnitt... | 284 |
7.2.9 Weitere hilfreiche Tools | 285 |
Abb. 7–52 Zugriff auf das ext2- Dateisystem unter Windows mit Explore2fs | 285 |
Abb. 7–53 Zugriff auf Dateisysteme unterschiedlicher Art mit Captain Nemo | 286 |
Abb. 7–54 Anwendungsbeispiele für FileDisk | 286 |
Abb. 7–55 Mount Image Pro bietet komfortablen Umgang mit dd- und EnCase-Images | 287 |
Abb. 7–56 Der Zugriff auf Linux- Partitionen lässt sich einfach über die Systemsteuerung konfigurieren. | 288 |
Abb. 7–57 X-Ways Trace bietet eine gute Übersicht der lokalen Browserspuren. | 288 |
Abb. 7–58 Darstellung des Windows-Papierkorbs mit X-Ways Trace | 289 |
Abb. 7–59 Der Windows FileAnalyzer vereint viele Analysemöglichkeiten. Er kann nicht nur auf dem lokalen System eingesetzt werden. | 290 |
Abb. 7–60 Ansicht der Internet-History mit iehist | 290 |
Abb. 7–61 FileStat aus dem Foundstone Forensic ToolKit zeigt alle Informationen einer verdächtigen Datei inkl. Alternate Data Streams. | 292 |
Abb. 7–62 Mailbox-Import mit Paraben’s E-Mail Examiner | 292 |
Abb. 7–63 Anzeige einiger Systeminformationen mit psinfo | 293 |
Abb. 7–64 Anzeige der über das Netz geöffneten Dateien mit psfile | 294 |
Abb. 7–65 Anzeige der lokal und über das Netz angemeldeten User mit psloggedon | 294 |
Abb. 7–66 Anzeige weiterer Informationen über aktive und inaktive Dienste mit psservice | 294 |
Abb. 7–67 Anzeige der durch einen Prozess verwendeten DLLs mit listdlls | 295 |
Abb. 7–68 Export der Eventlogs mit psloglist | 295 |
Abb. 7–69 Anzeige der von einem Prozess verwendeten Ressourcen mit handle | 296 |
Abb. 7–70 FPort zeigt an, welche Datei den Port geöffnet hält. | 296 |
Abb. 7–71 Direktes Suchen in Festplattensektoren mit SectorSpy | 297 |
Abb. 7–72 Zeichensuche in den Clustern einer Festplatte mit dem Disk Investigator | 297 |
Abb. 7–73 Ansicht von gelöschten Dateien mit dem Disk Investigator | 298 |
Abb. 7–74 Suche nach Zeichenketten in Dateisystemen mit Evidor | 298 |
Abb. 7–75 HTML-Ausgabe der Suchergebnisse von Evidor | 299 |
7.3 Forensische Analyse von mobilen Geräten | 300 |
Abb. 7–76 Analyse von Datenspuren in Office-Dokumenten mit dem Metadata Assistant | 300 |
7.3.1 Was ist von Interesse bei mobilen Geräten? | 301 |
7.3.2 Welche Informationen sind auf der SIM-Karte von Interesse? | 303 |
7.3.3 Grundsätzlicher Ablauf der Sicherung von mobilen Geräten | 303 |
Abb. 7–77 Schematischer Ablauf der forensischen Analyse eines mobilen Gerätes | 304 |
7.3.4 Software für die forensische Analyse von mobilen Geräten im Überblick | 305 |
Abb. 7–78 Suche im Speicherbereich eines Palm PDA mit PDA Seizure | 305 |
Abb. 7–79 Nach dem Auslesen des PDA können die Daten mit PDA Seizure analysiert werden. | 306 |
Abb. 7–80 Palm-OS-Passwort mit palmdecrypt entschlüsselt | 307 |
Abb. 7–81 Dekodieren des Palm- Passworts mit PDA Seizure | 307 |
Abb. 7–82 JL_Cmder | 309 |
Abb. 7–83 Paraben’s Cell Seizure ermöglicht das Auslesen einiger Handy-Modelle. | 310 |
Abb. 7–84 SIM Card | 311 |
Abb. 7–85 Oxygen Forensic | 312 |
Abb. 7–86 .XRY ermöglicht das umfangreiche Auslesen von Mobilendgeräten sowie SIM-Karten. | 313 |
Abb. 7–87 Mit dem iPhone Analyzer lassen sich die Backup- Dateien von iTunes bequem einlesen und auswerten. | 314 |
Abb. 7–88 In einer intuitiv zu bedienenden Oberfläche lassen sich alle wesentlichen Informationen des iPhones auslesen. Alle sqlite-Datenbanken sind durchsuchbar. | 315 |
Abb. 7–89 Alle auf dem iPhone gespeicherten Multimediaobjekte lassen sich analysieren. Bei Fotos kann man auch die GPS- Informationen aus den EXIF-Daten auslesen, wenn die entsprechende Funktion nicht deaktiviert wurde. | 315 |
7.4 Forensische Analyse von Routern | 316 |
Abb. 7–90 Speichert eine Anwendung GPS-Daten, so lassen sich diese bequem auswerten. | 316 |
Tab. 7–3 Befehle, um flüchtige Daten eines Router auszulesen | 317 |
8 Empfehlungen für den Schadensfall | 319 |
8.1 Logbuch | 319 |
Tab. 8–1 Beispiel eines Logbuchs | 319 |
8.2 Den Einbruch erkennen | 321 |
Review der IDS-Logs | 321 |
8.3 Tätigkeiten nach festgestelltem Einbruch | 322 |
Identifizieren Sie, wo die Angreifer überall waren | 324 |
8.4 Nächste Schritte | 326 |
9 Backtracing | 327 |
9.1 IP-Adressen überprüfen | 327 |
9.1.1 Ursprüngliche Quelle | 327 |
9.1.2 IP-Adressen, die nicht weiterhelfen | 328 |
9.1.3 Private Adressen | 328 |
9.1.4 Weitere IANA-Adressen | 329 |
9.1.5 Augenscheinlich falsche Adressen | 330 |
9.2 Spoof Detection | 330 |
9.2.1 Traceroute Hopcount | 330 |
Default-Werte der Initial TTL | 331 |
Abb. 9–1 Einige Default Initial TTL verschiedener Betriebssysteme | 332 |
Probleme mit Traceroute Hopcounting | 332 |
9.3 Routen validieren | 333 |
Abb. 9–2 RFC1918-Netze innerhalb einer Route | 333 |
Abb. 9–3 Beispielhafte Abfrage der Routen auf einem dafür öffentlich zugänglichen Core- Router von AT&T | 334 |
Abb. 9–4 Traceroute über das WWW-Interface von SamSpade.org | 335 |
Ein Spoof-Beispiel | 335 |
Abb. 9–5 Abfrage der Route zur verdächtigen IP-Adresse auf einem Core-Router (Ergebnis: keine Route vorhanden) | 335 |
Abb. 9–6 Abfrage der Route zur verdächtigen IP-Adresse über ein WWW-Interface (Ergebnis: keine Route vorhanden – »Network not in table«) | 336 |
Abb. 9–7 Whois-Query nach der verdächtigen IP-Adresse | 336 |
9.4 Nslookup | 337 |
9.5 Whois | 338 |
Abb. 9–8 Whois-Proxy-Abfrage auf www.geektools.com | 339 |
9.6 E-Mail-Header | 340 |
Abb. 9–9 Mail-Header-Beispiel | 340 |
10 Einbeziehung der Behörden | 343 |
10.1 Organisatorische Vorarbeit | 343 |
10.2 Strafrechtliches Vorgehen | 345 |
10.2.1 Inanspruchnahme des Verursachers | 345 |
10.2.2 Möglichkeiten der Anzeigeerstattung | 345 |
Das Tatortprinzip | 347 |
10.2.3 Einflussmöglichkeiten auf das Strafverfahren | 348 |
10.3 Zivilrechtliches Vorgehen | 349 |
10.4 Darstellung in der Öffentlichkeit | 350 |
10.5 Die Beweissituation bei der privaten Ermittlung | 351 |
Beweissituation im Sachbeweis | 352 |
Beweissituation im Personalbeweis | 352 |
10.6 Fazit | 355 |
Anhang | 357 |
A Tool-Überblick | 359 |
Forensik-CD aus iX 07/2007 bzw. Forensik-DVD aus iX special 10/2008 | 365 |
B C.A.I.N.E.-Tools | 367 |
C DEFT-Tools | 375 |
Literaturempfehlungen | 381 |
Index | 383 |
www.dpunkt.de | 0 |