E-Book, Deutsch, 388 Seiten
Reihe: iX Edition
Geschonneck Computer-Forensik
aktualisierte und erweiterte Auflage
ISBN: 978-3-86491-489-8
Verlag: dpunkt
Format: PDF
Kopierschutz: 1 - PDF Watermark
Computerstraftaten erkennen, ermitteln, aufklären
E-Book, Deutsch, 388 Seiten
Reihe: iX Edition
ISBN: 978-3-86491-489-8
Verlag: dpunkt
Format: PDF
Kopierschutz: 1 - PDF Watermark
Alexander Geschonneck leitet als Partner bei der KPMG AG Wirtschaftsprüfungsgesellschaft den Bereich Forensic Technology. Sein Tätigkeitsschwerpunkt ist die Sicherstellung und Analyse von digitalen Beweismitteln im Rahmen der Korruptions- und Betrugsbekämpfung sowie der Aufklärung von ITSicherheitsvorfällen. Davor war er leitender Sicherheitsberater und Partner bei der HiSolutions AG in Berlin sowie Senior Manager bei der Ernst & Young AG, wo er den Bereich Forensic Technology & Discovery Services leitete. Seit 1993 ist er branchenübergreifend im strategischen und operativen IT-Sicherheitsumfeld tätig. Alexander Geschonneck ist Mitautor der IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seit 2002 ist er vom BSI lizenzierter IT-Grundschutzauditor sowie ISO27001-Auditor auf Basis von IT-Grundschutz. Er studierte in Berlin Wirtschaftsinformatik mit Themenschwerpunkt Informationssicherheit. Auf seiner privaten Homepage finden sich weitere Veröffentlichungen zu Themen der Computer-Forensik und allgemeinen IT-Sicherheit. Alexander Geschonneck ist Certified Fraud Examiner und Certified Information Systems Auditor.
Autoren/Hrsg.
Weitere Infos & Material
1;Inhaltsverzeichnis;5
2;Einleitung;9
2.1;Wer sollte dieses Buch lesen?;10
2.2;Was lernt man in diesem Buch?;12
2.3;Was lernt man in diesem Buch nicht?;12
2.4;Wie liest man dieses Buch?;13
2.4.1;Kapitel 1;14
2.4.2;Kapitel 2;14
2.4.3;Kapitel 3;14
2.4.4;Kapitel 4;14
2.4.5;Kapitel 5;15
2.4.6;Kapitel 6;15
2.4.7;Kapitel 7;15
2.4.8;Kapitel 8;15
2.4.9;Kapitel 9;15
2.4.10;Kapitel 10;16
2.5;Was ist neu in der 6. Auflage?;16
2.6;Was ist neu in der 5. Auflage?;16
2.7;Was ist neu in der 4. Auflage?;17
2.8;Was ist neu in der 3. Auflage?;17
2.9;Was ist neu in der 2. Auflage?;17
3;1 Bedrohungssituation;19
3.1;1.1 Bedrohung und Wahrscheinlichkeit;19
3.2;1.2 Risikoverteilung;20
3.2.1;Abb. 1–1 Angreiferfähigkeiten vs. benötigtes Wissen1;21
3.2.2;Abb. 1–2 Verbreitungsmethoden von Malware aus dem Symantec Internet Security Threat Report – Attack Trends 2012;22
3.3;1.3 Motivation der Täter;24
3.3.1;Abb. 1–3 Defacement der Webseite von HP Belgien mit Hinweis auf den Defacement-Mirror zone-h.org und einer entsprechenden Rechtfertigung;27
3.3.2;Abb. 1–4 Versuch einer Analyse der Motivlage der Angreifer7;27
3.3.3;Abb. 1–5 Auswertung der Motivlage in einem größeren Fall von Missbrauch von Internetzugangskennungen;28
3.4;1.4 Innentäter vs. Außentäter;29
3.5;1.5 Bestätigung durch die Statistik?;33
3.6;1.6 Computerkriminalität;34
3.6.1;Abb. 1–6 Fallentwicklung und Aufklärung für das gesamte Bundesgebiet. Der Anstieg bei Datenveränderung und Computersabotage resultiert aus Angriffen mittels Schadsoftware.;34
3.6.2;Tab. 1–1 Delikte der IuK-Kriminalität im engeren Sinne;35
3.6.3;Abb. 1–7 Gesonderte Auswertung von »Tatmittel Internet« aus der PKS 2010;40
4;2 Ablauf von Angriffen;41
4.1;2.1 Typischer Angriffsverlauf;41
4.1.1;2.1.1 Footprinting;41
4.1.2;2.1.2 Port- und Protokollscan;42
4.1.3;2.1.3 Enumeration;42
4.1.4;2.1.4 Exploiting/Penetration;43
4.1.5;2.1.5 Hintertüren einrichten;43
4.1.6;2.1.6 Spuren verwischen;44
4.2;2.2 Beispiel eines Angriffs;44
4.2.1;Abb. 2–1 Meldungen des Intrusion-Detection-Systems Snort: Portscan, Kontakt des Telnet-Port, um das Banner zu analysieren, Kontaktaufnahme des Portmappers, um festzustellen, ob dieser aktiv ist, und abschließender Angriff (in der Abbildung hervorg...;45
4.2.2;Abb. 2–2 DS-Mitschnitt des Angriffs aus der vorherigen Abbildung auf den Portmapper, mit Installation einer Hintertür auf Port 4545;46
4.2.3;Abb. 2–3 Firewall-1 Logdatei: akzeptierte Verbindungen des Angriffs. Kontakt der RPC- und Telnet-Dienste;46
4.2.4;Abb. 2–4 Der Angreifer schaut, ob das System rebootet wurde und ob noch andere User angemeldet sind. Dann löscht er die Konfigurationsdateien des TCP-Wrapper und die Logdateien, die den Anmeldestatus zeigen.;47
4.2.5;Abb. 2–5 Der Angreifer stoppt den Syslog-Server und löscht die zugehörigen Startskripte. Dann fügt er einen zusätzlichen Account »own« mit Root-Rechten und einen normalen User »adm1« ein. Direkte Root-Anmeldungen via Telnet sind standardmä...;47
4.2.6;Abb. 2–6 Der Angreifer meldet sich mit dem Account »adm1« an (man bemerke das Passwort »eliteness«), wird mittels SU-Befel zum Root-User und überprüft, ob irgendwelche verdächtigen Prozesse laufen. Der Angreifer wird wahrscheinlich mitbekomm...;48
4.2.7;Abb. 2–7 Der Angreifer startet ftp ohne Parameter, damit in der Prozessliste nicht der besuchte FTP-Server auftaucht, und verbindet sich erst dann mittels »open«. So ist in der Prozessliste jetzt nur »ftp« zu sehen und nicht »ftp skipper.robot...;48
4.2.8;Abb. 2–8 Der Angreifer sieht sich den Inhalt des heruntergeladenen und entpackten Verzeichnisses (in /usr/man/ gespeichert !) an. Der Umfang der auszutauschenden und zu installierenden Dateien ist dabei sehr gut zu erkennen.;49
4.2.9;Abb. 2–9 Das Installationsskript, das der Angreifer verwendet hat: History-Dateien werden gelöscht und in das Null-Device gelinkt, damit die eingegebenen Kommandos nicht protokolliert werden können. Dann werden die trojanisierten Systemdateien un...;50
4.2.10;Abb. 2–10 Die eingegebenen Adressbereiche werden nicht angezeigt, wenn der trojanisierte netstat-Befehl aufgerufen wird.;50
4.2.11;Abb. 2–11 Verbindungen, die von der Domain home.com kommen, werden aus allen System-Logdateien gelöscht; anschließend werden auch die Installationsdateien gelöscht.;51
5;3 Incident Response als Grundlage der Computer-Forensik;53
5.1;3.1 Der Incident-Response-Prozess;53
5.2;3.2 Organisatorische Vorbereitungen;54
5.3;3.3 Zusammensetzung des Response-Teams;55
5.4;3.4 Incident Detection: Systemanomalien entdecken;57
5.4.1;3.4.1 Vom Verdacht zum Beweis;57
5.4.2;3.4.2 Netzseitige Hinweise;58
5.4.3;3.4.3 Serverseitige Hinweise;59
5.4.4;3.4.4 Intrusion-Detection-Systeme;60
5.4.5;3.4.5 Externe Hinweise;60
5.4.5.1;Abb. 3–1 Intrusion-Mapping- System dshield.org;61
5.5;3.5 Incident Detection: Ein Vorfall wird gemeldet;62
5.5.1;Meldung des Vorfalls;62
5.5.2;Allgemeine Informationen;62
5.5.3;Informationen über den Anrufer;62
5.5.4;Informationen vom betroffenen System;63
5.5.5;Informationen über den Angreifer;64
5.5.6;Was wurde bereits unternommen?;64
5.6;3.6 Sicherheitsvorfall oder Betriebsstörung?;65
5.6.1;Abb. 3–2 Incidents identifizieren aus RFC 2196;67
5.7;3.7 Wahl der Response-Strategie;68
5.8;3.8 Reporting und Manöverkritik;69
6;4 Einführung in die Computer-Forensik;73
6.1;4.1 Ziele einer Ermittlung;73
6.2;4.2 Anforderungen an den Ermittlungsprozess;74
6.3;4.3 Phasen der Ermittlung;75
6.4;4.4 Das S-A-P-Modell;76
6.5;4.5 Welche Erkenntnisse kann man gewinnen?;78
6.5.1;Wer hatte Zugang?;78
6.5.2;Was hat der Angreifer auf dem System gemacht?;78
6.5.3;Wann fand der Vorfall statt?;79
6.5.4;Welche weiteren Systeme sind noch betroffen?;79
6.5.5;Warum ist gerade dieses Netz oder System angegriffen worden?;79
6.5.6;Wie konnte der Angreifer Zugriff erlangen?;79
6.5.7;Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt?;80
6.5.8;Was konnte der Angreifer auf diesem System einsehen?;80
6.5.9;Was wurde vom Angreifer zurückgelassen?;80
6.5.10;Welche Tools wurden verwendet?;81
6.5.11;Wie wurden diese Tools aufgerufen?;81
6.5.12;In welcher Programmiersprache wurden die Tools geschrieben?;81
6.5.13;Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden?;82
6.5.14;Welche Events wurden protokolliert?;82
6.5.15;Was wird durch die Protokolldaten enthüllt?;82
6.5.16;Protokolldaten der Remote-Access-Systeme;83
6.5.17;Protokolldaten der Zutrittskontrollsysteme;83
6.5.18;Was findet sich auf den Datenträgern?;83
6.5.19;Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden?;83
6.5.20;Welche Dateien wurden gelöscht?;84
6.5.21;Existieren versteckte Dateien?;84
6.5.22;Existieren verschlüsselte Dateien?;84
6.5.23;Existieren versteckte Partitionen?;85
6.5.24;Existieren bekannte Hintertür- oder andere Fernzugriffstools?;85
6.6;4.6 Wie geht man korrekt mit Beweismitteln um?;85
6.6.1;4.6.1 Juristische Bewertung der Beweissituation;86
6.6.2;4.6.2 Datenschutz;87
6.6.3;4.6.3 Welche Daten können erfasst werden?;90
6.6.4;4.6.4 Bewertung der Beweisspuren;90
6.6.5;4.6.5 Durchgeführte Aktionen dokumentieren;91
6.6.5.1;Tab. 4–1 Beispiel einer Dokumentation der durchgeführten Aktionen;92
6.6.6;4.6.6 Beweise dokumentieren;92
6.6.6.1;Abb. 4–1 Beispiel eines Beweiszettels;93
6.6.7;4.6.7 Mögliche Fehler bei der Beweissammlung;94
6.7;4.7 Flüchtige Daten sichern: Sofort speichern;96
6.7.1;Aktuelle Uhrzeit;97
6.7.2;Cache-Inhalt;97
6.7.3;Speicherinhalte;98
6.7.4;Status der Netzverbindung;98
6.7.5;Status der laufenden Prozesse;98
6.7.6;Inhalt der Speichermedien;98
6.7.7;Inhalt des Hauptspeichers;98
6.8;4.8 Speichermedien sichern: Forensische Duplikation;99
6.8.1;Abb. 4–2 Der Writeblocker wird zwischen Analysesystem und zu sichernder Festplatte positioniert (in diesem Bild ist der Writeblocker via USB an das Analysesystem angeschlossen).;100
6.8.2;4.8.1 Wann ist eine forensische Duplikation sinnvoll?;100
6.8.3;4.8.2 Geeignete Verfahren;101
6.9;4.9 Was sollte alles sichergestellt werden?;102
6.10;4.10 Erste Schritte an einem System für die Sicherstellung;104
6.10.1;4.10.1 System läuft nicht (ist ausgeschaltet);104
6.10.2;4.10.2 System läuft (ist eingeschaltet);105
6.10.3;4.10.3 Entscheidungsprozesse;105
6.11;4.11 Untersuchungsergebnisse zusammenführen;106
6.11.1;Abb. 4–3 Beispielhafter Ablauf einer Erstreaktion durch Nicht- Spezialisten;106
6.11.2;Abb. 4–4 Herstellen der zeitlichen Abhängigkeiten zwischen den einzelnen Tatspuren;107
6.12;4.12 Häufige Fehler;108
6.12.1;Kein Incident-Response-Plan in Vorbereitung;108
6.12.2;Unterschätzen der Tragweite des Vorfalls;108
6.12.3;Keine rechtzeitige Meldung über den Vorfall;109
6.12.4;Entscheidungsträger sind nicht oder nur unzureichend informiert;109
6.12.5;Keine durchgängige Dokumentation der durchgeführten Aktionen;109
6.12.6;Digitale Beweise sind unzureichend vor Veränderung geschützt;109
6.13;4.13 Anti-Forensik;110
7;5 Einführung in die Post-mortem-Analyse;115
7.1;5.1 Was kann alles analysiert werden?;115
7.2;5.2 Analyse des File Slack;117
7.2.1;Abb. 5–1 Die Dateieigenschaften zeigen, dass diese 9 Byte große Datei 4 KB auf der Platte belegt: Der File Slack ist in diesem Fall also 4087 Byte groß.;118
7.2.2;Abb. 5–2 File Slack = RAM Slack + Drive Slack;119
7.3;5.3 Timeline-Analysen;121
7.3.1;Abb. 5–3 Nach dem Kopieren einer Datei unter NTFS ist Last Modification Time älter als Creation Time und Last Access Time (das gezeigte Tool filestat wird in Abschnitt 7.2.8 näher vorgestellt).;125
7.3.2;Abb. 5–4 Seit Windows Vista ist das Schreiben des Last-Access- Zeitstempels in einer Standardinstallation deaktiviert.;126
7.4;5.4 NTFS-Streams;127
7.4.1;Abb. 5–5 Verstecken der Datei getadmin.exe im Alternate Data Stream der Datei logo.gif (MAC-Time ändert sich aber);127
7.5;5.5 NTFS TxF;128
7.6;5.6 NTFS-Volumen-Schattenkopien;130
7.6.1;Abb. 5–6 Der Anwender hat mehrere Möglichkeiten zur Auswahl der Wiederherstellung.;131
7.6.2;Abb. 5–7 In der Registry sind bereits vom VSS ausgeschlossene Dateien zu sehen.;131
7.6.3;Abb. 5–8 Mit dem ShadowExplorer lassen sich alte Systemversionen komfortabel wiederherstellen.;132
7.7;5.7 Windows-Registry;134
7.7.1;Virtualisierung;137
7.7.1.1;Abb. 5–9 Beispiel eines Spezialwerkzeuges, das Registry-Keys auswertet. Hier USBDeview12, das die in der Vergangenheit angeschlossenen USB- Devices übersichtlich darstellt.;137
7.7.1.2;Tab. 5–1 Die Virtualisierung setzt sich auch bei den Verzeichnissen fort.;138
7.8;5.8 Windows UserAssist Keys;138
7.8.1;Abb. 5–10 Das Programm UserAssist zeigt alle Informationen über häufig benutzte Anwendungen an.;139
7.9;5.9 Windows Prefetch-Dateien;139
7.9.1;Abb. 5–11 Die Prefetch-Dateien geben ausführlich Auskunft über nachgeladene Komponenten während eines Startvorgangs – hier mittels WinPrefetchView angezeigt.;141
7.9.2;Tab. 5–2 Der Prefetching- Mechanismus lässt sich über die Registry konfigurieren.;141
7.10;5.10 Auslagerungsdateien;142
7.11;5.11 Versteckte Dateien;143
7.11.1;Abb. 5–12 Aufteilung einer Festplatte in Sektoren;143
7.11.2;Rootkits;144
7.11.2.1;Abb. 5–13 Konfigurationsdatei eines Rootkits. In diesem Beispiel werden alle Prozesse verborgen, die mit dem String »hxdef« beginnen. Ebenso taucht der Service »HackerDefender« nicht auf. Die Registry Keys » HackerDefender073« und »LEGACY_HA...;145
7.11.2.2;Abb. 5–14 Auszug aus der Readme-Datei des Linux Rootkit »LRK5«;146
7.11.2.3;Abb. 5–15 Beschreibung der Konfiguration des trojanisierten Netstat aus dem Linux Rootkit »LRK5«;146
7.12;5.12 Dateien oder Fragmente wiederherstellen;147
7.13;5.13 Unbekannte Binärdateien analysieren;148
7.13.1;Abb. 5–16 Grundlegender Analyseablauf von unbekannten Binärdateien;149
7.13.2;Abb. 5–17 Für die Analyse unbekannter Malware können auch öffentliche Angebote verwendet werden.;151
7.13.3;Abb. 5–18 PEiD analysiert Binärdateien auf bekannte Packer und Compiler.;152
7.13.4;Abb. 5–19 String-Analyse einer verdächtigen Windows-Datei;153
7.13.5;Abb. 5–20 String-Analyse bei einem Windows RAS-Passwort-Spion;154
7.13.6;Abb. 5–21 Analyse der Registry- Zugriffe einer verdächtigen Datei mit dem Process Monitor 18 (nähere Informationen zu diesem Tool in Abschnitt 7.2.8);155
7.13.7;Abb. 5–22 Die String-Analyse zeigt, dass es sich um eine Variante eines WU-FTP-Servers handelt.;156
7.13.8;Abb. 5–23 Quellcode des trojanisierten WU-FTP-Servers;157
7.13.9;Abb. 5–24 Analyse der benötigten Systembibliotheken;157
7.13.10;Abb. 5–25 String-Analyse einer unbekannten Binärdatei;158
7.13.11;Ein Beispiel für eine umfangreiche Analyse;158
7.13.11.1;Abb. 5–26 Nach Setzen der »speziellen« Display-Variable ist Root-Zugang möglich.;160
7.14;5.14 Systemprotokolle;161
7.14.1;Abb. 5–27 Verdächtiger Eintrag in der Logdatei eines WWW-Servers;162
7.14.2;Abb. 5–28 Fehlgeschlagene Netzwerkanmeldung an einem Windows-System;162
7.14.3;Abb. 5–29 Anzeichen dafür, dass jemand den SSH-Port kontaktiert hat, um entweder die Serverversion oder die unterstützten Protokolle zu identifizieren (Bannergrabbing);162
7.15;5.15 Analyse von Netzwerkmitschnitten;163
7.15.1;Abb. 5–30 Analyseablauf bei Netzwerkmitschnitten;163
8;6 Forensik- und Incident-Response- Toolkits im Überblick;165
8.1;6.1 Grundsätzliches zum Tooleinsatz;165
8.2;6.2 Sichere Untersuchungsumgebung;167
8.3;6.3 F.I.R.E.;169
8.3.1;Abb. 6–1 Cygwin-Umgebung unter Windows XP;169
8.3.2;Abb. 6–2 Startbildschirm von F.I.R.E. unter Windows;170
8.3.3;Abb. 6–3 Statisch kompilierte Linux- Systemdateien von F.I.R.E.;171
8.3.4;Abb. 6–4 Statisch kompilierte Solaris-Systemdateien von F.I.R.E.;171
8.3.5;Abb. 6–5 Statisch kompilierte Windows-Systemdateien von F.I.R.E.;171
8.3.6;Abb. 6–6 F.I.R.E. verfügt über eine komplette X-Window- Umgebung.;172
8.4;6.4 Knoppix Security Tools Distribution;173
8.4.1;Abb. 6–7 F.I.R.E. verfügt auch über ein reines Textmenü.;173
8.4.2;Abb. 6–8 Knoppix Security Tools Distribution im Einsatz;173
8.5;6.5 Helix;174
8.5.1;Abb. 6–9 Startoberfläche von Helix unter Windows;174
8.5.2;Abb. 6–10 Ein komfortables Menü erleichtert die Image- Erstellung.;175
8.5.3;Abb. 6–11 Boot-Screen, wenn ein System mit Helix gebootet wird;176
8.5.4;Abb. 6–12 X-Window-Oberfläche von Helix mit Autopsy, Linen und Adepto;176
8.6;6.6 ForensiX-CD;179
8.6.1;Abb. 6–13 Die ForensiX-CD;180
8.7;6.7 C.A.I.N.E. und WinTaylor;181
8.7.1;Abb. 6–14 C.A.I.N.E bietet beim Start nicht nur die Analyse, sondern auch die Installation.;181
8.7.2;Abb. 6–15 Die forensischen Werkzeuge wurden unter einer grafischen Oberfläche zusammengefasst. (Das Autorenteam scheint ein Faible für amerikanische Krimiserien zu haben, wenn man sich die Grafiken so betrachtet.);182
8.7.3;Abb. 6–16 Guymager zeichnet sich durch schnelle Sicherung aus.;183
8.7.4;Abb. 6–17 Die Oberfläche von WinTaylor fasst die wichtigsten Werkzeuge zusammen. Den Rest findet man in einigen Unterverzeichnissen.;183
8.8;6.8 DEFT und DEFT-Extra;184
8.8.1;Abb. 6–18 Die DEFT-Linux-Live-CD basiert ebenfalls auf Ubuntu und wird in Italien entwickelt.;184
8.8.2;Abb. 6–19 Der WINE-Ansatz bietet viele Möglichkeiten der Integration von Windows- Spezialwerkzeugen, die direkt unter Linux gestartet werden können.;184
8.8.3;Abb. 6–20 Das Digital Advanced Response Toolkit fasst sehr viele nützliche Werkzeuge unter einer Oberfläche zusammen.;185
8.8.4;Abb. 6–21 Mächtige Windows- Forensik-Werkzeuge lassen DEFT-Extra schnell zu einem unentbehrlichen Begleiter werden.;185
8.9;6.9 EnCase;186
8.9.1;Abb. 6–22 Hauptansicht von EnCase 6;186
8.9.2;Abb. 6–23 Konfiguration der Suchbegriffe unter EnCase 6;187
8.9.3;Abb. 6–24 Darstellung der Suchergebnisse unter EnCase 6;188
8.9.4;Abb. 6–25 Erfassung von Images mit EnCase 6;189
8.9.5;Abb. 6–26 LinEn unter Linux mit Encase Images erstellen;190
8.10;6.10 dd;190
8.11;6.11 Forensic Acquisition Utilities;195
8.12;6.12 AccessData Forensic Toolkit;196
8.12.1;Abb. 6–27 Analyse der Grafiken, die sich im Browser-Cache eines NTFS-Image befinden, mit dem AccessData FTK;197
8.12.2;Abb. 6–28 Extraktion eines bereits gelöschten, aber komplett wiederherstellbaren Rootkits unter Linux mit dem AccessData FTK;198
8.13;6.13 The Coroner’s Toolkit und TCTUtils;199
8.13.1;Abb. 6–29 FTK Imager ermöglicht neben der Image- Erstellung auch eine Vorschau des Datenträgers.;199
8.13.2;Abb. 6–30 Sichergestellte Images können als Laufswerksbuchstabe gemountet werden.;199
8.14;6.14 The Sleuth Kit;200
8.14.1;Zugriff auf Dateisystem-Ebene;202
8.14.2;Zugriff auf Dateinamen-Ebene;203
8.14.3;Zugriff auf Metadaten-Ebene;204
8.14.4;Zugriff auf Dateiebene;205
8.15;6.15 Autopsy Forensic Browser;206
8.15.1;Abb. 6–31 Startbildschirm von Autopsy Version 2 im Webbrowser;207
8.15.2;Abb. 6–32 Analyseoberfläche von Autopsy 3 (Screenshot von der Entwicklerseite);207
8.15.3;Abb. 6–33 Anzeige des Verzeichnisinhaltes mit Autopsy Version 2 im Webbrowser;208
8.15.4;Abb. 6–34 Prüfsummenvergleich;209
8.15.5;Abb. 6–35 Timeline-Analysen lassen sich mit Autopsy 3 übersichtlich darstellen. (Screenshot von der Entwicklerseite);209
8.15.6;Abb. 6–36 Eigene Notizen können während der Analyse jedem verdächtigen Inode zugeordnet werden.;210
8.15.7;Abb. 6–37 Autopsy-Protokoll der Tätigkeiten des Ermittlers;211
8.16;6.16 Eigene Toolkits für Unix und Windows erstellen;211
8.16.1;6.16.1 F.R.E.D.;212
8.16.1.1;Abb. 6–38 F.R.E.D. in Aktion;212
8.16.2;6.16.2 Incident Response Collection Report (IRCR);212
8.16.2.1;Abb. 6–39 IRCR kann auch für Windows-NT-4.0-Systeme verwendet werden.;213
8.16.2.2;Abb. 6–40 IRCR erstellt aus den Ergebnissen eine HTML- Übersicht.;213
8.16.2.3;Tab. 6–1 Befehle, die durch IRCR ausgeführt werden;213
8.16.3;6.16.3 Windows Forensic Toolchest (WFT);214
8.16.3.1;Abb. 6–41 Der HTML-Report von WFT zeigt alle wesentlichen Informationen auf einen Blick.;215
8.16.4;6.16.4 Live View;215
8.16.4.1;Abb. 6–42 Mit Live View lässt sich aus einem forensischen Image eine VMWare- Konfiguration erstellen.;216
9;7 Forensische Analyse im Detail;217
9.1;7.1 Forensische Analyse unter Unix;217
9.1.1;7.1.1 Die flüchtigen Daten speichern;217
9.1.1.1;Tab. 7–1 Befehle, die zum Erfassen von flüchtigen Daten unter Linux verwendet werden können;218
9.1.1.2;Abb. 7–1 Suche nach geöffneten Ressourcen durch den SSH-Daemon mit lsof;220
9.1.1.3;Abb. 7–2 Grave-robber in Aktion;220
9.1.1.4;Abb. 7–3 Übersicht der vom TCT (grave-robber) sichergestellten Dateien;221
9.1.1.5;Ein Beispiel für das Sichern flüchtiger Daten;221
9.1.2;7.1.2 Forensische Duplikation;223
9.1.2.1;Die verdächtige Platte an ein eigenes Analysesystem anschließen;223
9.1.2.1.1;Abb. 7–4 Boot-Protokoll des Analysesystems (Die SCSI-Platte /dev/sda dient als Speicher der Images, /dev/hdc ist die verdächtige Platte.);223
9.1.2.2;Übertragung der Daten vom verdächtigen System aus;224
9.1.2.2.1;Abb. 7–5 Beispiel 1: Allgemeine Anwendung von Netcat;225
9.1.2.2.2;Abb. 7–6 Beispiel 2: dd mit Netcat;226
9.1.2.2.3;Abb. 7–7 Beispiel 3: dd mit Cryptcat;226
9.1.2.2.4;Abb. 7–8 Adepto starten;227
9.1.2.2.5;Abb. 7–9 Speichermedien analysieren;228
9.1.2.2.6;Abb. 7–10 Adepto konfigurieren;229
9.1.2.2.7;Abb. 7–11 Übertragung über Netcat;230
9.1.3;7.1.3 Manuelle P.m.-Analyse der Images;231
9.1.3.1;Abb. 7–12 Adepto erstellt ein ausführliches Protokoll, das sich in Auszügen direkt in den Ermittlungsbericht übernehmen lässt.;231
9.1.3.2;Timeline-Analyse mit dem Sleuth Kit;231
9.1.3.2.1;Abb. 7–13 Parameter von fls;232
9.1.3.3;Analyse von gelöschten Dateien mit dem Sleuth Kit;236
9.1.3.4;Suche mit Bordmitteln;237
9.1.4;7.1.4 P.m.-Analyse der Images mit Autopsy;238
9.1.4.1;Abb. 7–14 Start von Autopsy;238
9.1.4.2;Abb. 7–15 Case-Gallery von Autopsy Version 2;239
9.1.4.3;Abb. 7–16 Zuordnung eines neuen Image im Hostmanager von Autopsy Version 2;239
9.1.4.4;Abb. 7–17 Ansicht aller einem PC zugeordneten Images im Hostmanager von Autopsy Version 2;240
9.1.4.5;Abb. 7–18 Anzeige des gesamten Dateisystems und Inhalts der Dateien mit Autopsy Version 2;240
9.1.4.6;Abb. 7–19 Ergebnis der Dateityp- Analyse mit Autopsy Version 2;241
9.1.4.7;Abb. 7–20 Suchergebnis nach dem Wort »linsniff« mit Autopsy Version 2;242
9.1.4.8;Abb. 7–21 Anzeige der Metadaten eines Inode (Informationen über eine gelöschte Datei, MAC- Time, Dateityp, Zugriffsrechte, Größe, belegte Blöcke etc.) mit Autopsy Version 2;243
9.1.5;7.1.5 Dateiwiederherstellung mit unrm und lazarus;244
9.1.5.1;Abb. 7–22 Timeline-Analyse mit Autopsy Version 2;244
9.1.5.2;Abb. 7–23 HTML-Darstellung des gesamten unallozierten Bereichs mit unrm und lazarus;244
9.1.6;7.1.6 Weitere hilfreiche Tools;245
9.1.6.1;Abb. 7–24 Wiederherstellung von Daten mit foremost unter Linux . Hier: Rekonstruktion von Bildern, die mit einer Digitalkamera auf einer CF-Karte erstellt und wieder gelöscht wurden.;245
9.1.6.2;Abb. 7–25 Auszug der Ausgabe von chkrootkit;247
9.2;7.2 Forensische Analyse unter Windows;248
9.2.1;7.2.1 Die flüchtigen Daten speichern;249
9.2.2;7.2.2 Analyse des Hauptspeichers;252
9.2.2.1;Abb. 7–26 Poolfinder bei der Analyse eines Windows-Hauptspeicherabbildes;254
9.2.2.2;Abb. 7–27 Das OS-Detection-Skript identifiziert das Betriebssystem des Hauptspeicherabbildes.;255
9.2.2.3;Abb. 7–28 Durch die Verwendung des grafischen Frontends PTfinderFE16 lassen sich die Analyseschritte einfacher durchführen.;255
9.2.2.4;Abb. 7–29 Aus einem Hauptspeicherabbild mit pmodump extrahierte ausführbare Datei Netcat (nc.exe);256
9.2.2.5;Abb. 7–30 Mit pd lassen sich auch unter Windows Prozessspeicherinhalte sichern.;256
9.2.2.6;Abb. 7–31 Ein mit pd erzeugtes Hauptspeicherabbild lässt sich mit dem Memory Parser auswerten.;257
9.2.3;7.2.3 Analyse des Hauptspeichers mit Volatility;258
9.2.3.1;Tab. 7–2 Übersicht über die mitgelieferten Module von Volatility 2.3.1;258
9.2.3.2;Abb. 7–32 Virustotal zeigt die unterschiedlichen »eigenen« Namen der AV-Hersteller, des unter dem Namen ZeuS bekannt gewordenen Banking-Trojaners an. Die mit »malfind« extrahierte Datei wurde dort hochgeladen.;265
9.2.4;7.2.4 Forensische Duplikation;267
9.2.4.1;Images mit den Forensic Acquisition Utilities erstellen;267
9.2.4.1.1;Abb. 7–33 Informationen über das logische Volume Laufwerk D:\;268
9.2.4.2;Images mit dem AccessData FTK Imager erstellen;270
9.2.4.2.1;Abb. 7–34 Erstellen eines Image mit dem FTK Imager;271
9.2.4.2.2;Abb. 7–35 Der freie FTK-Imager ist neben Linux auch für Mac OS verfügbar und bietet dem Ermittler viele Möglichkeiten beim Erstellen von eigenen Skripten.;271
9.2.4.3;Images mit EnCase erstellen;272
9.2.4.3.1;Abb. 7–36 Neben der bekannten DOS-Variante ist seit EnCase 5 ein Linux-Tool zur Image-Erstellung enthalten.;272
9.2.5;7.2.5 Manuelle P.m.-Analyse der Images;272
9.2.6;7.2.6 P.m.-Analyse der Images mit dem AccessData FTK;273
9.2.6.1;Abb. 7–37 Das Sleuth Kit unter Windows (Cygwin);273
9.2.6.2;Abb. 7–38 Einlesen eines vorher erstellten Image oder direkt von einem angeschlossenen Datenträger;274
9.2.6.3;Abb. 7–39 Statusüberblick über gefundene Dateitypen beim AccessData FTK;275
9.2.6.4;Abb. 7–40 Anzeige der gelöschten Installationsdatei eines Linux Rootkits mit dem AccessData FTK;275
9.2.6.5;Abb. 7–41 Bei der Extraktion von Archiven können auch einzelne Dateien selektiert werden, die natürlich auch in die Text- bzw. Binärsuche einfließen können.;276
9.2.6.6;Abb. 7–42 Suche im Image nach Zeichenketten mit dem AccessData FTK;277
9.2.7;7.2.7 P.m.-Analyse der Images mit EnCase;278
9.2.7.1;Abb. 7–43 Analyse des File Slack mit dem AccessData FTK;278
9.2.7.2;Abb. 7–44 Auswahl der Schnittstelle, an der der zu untersuchende Datenträger angeschlossen ist;279
9.2.7.3;Abb. 7–45 Definition von Suchmustern mit EnCase;279
9.2.7.4;Abb. 7–46 Suche nach URLs und E-Mail-Adressen in unallozierten Bereichen eines Dateisystems mit EnCase;280
9.2.7.5;Abb. 7–47 Wiederherstellung von Grafiken aus dem gelöschten Cache eines WWW-Browsers mit EnCase;280
9.2.8;7.2.8 P.m.-Analyse der Images mit X-Ways Forensics;281
9.2.8.1;Abb. 7–48 Analyse von Datenträgern, Images oder laufenden Prozessen;282
9.2.8.2;Abb. 7–49 Übersichtliche Darstellung gelöschter Inodes eines ext2-Dateisystems in einem Kalender;283
9.2.8.3;Abb. 7–50 Für jeden im Case- Management hinzugefügten Datenträger kann man eine Grafik-Suchfunktion aktivieren, die Bilder mit besonders viel »Haut« anzeigt. Dieses Feature wird von Strafverfolgungsbehörden beispielsweise auf der Suche nach p...;284
9.2.8.4;Abb. 7–51 Ergebnis der Analyse eines Dateisystems mit X-Ways Forensics (Es ist gut zu erkennen, dass bei diesem FAT-System nur das Datum, aber nicht die Uhrzeit des letzten Zugriffs – Last Access – eingesehen werden kann; siehe hierzu Abschnitt...;284
9.2.9;7.2.9 Weitere hilfreiche Tools;285
9.2.9.1;Abb. 7–52 Zugriff auf das ext2- Dateisystem unter Windows mit Explore2fs;285
9.2.9.2;Abb. 7–53 Zugriff auf Dateisysteme unterschiedlicher Art mit Captain Nemo;286
9.2.9.3;Abb. 7–54 Anwendungsbeispiele für FileDisk;286
9.2.9.4;Abb. 7–55 Mount Image Pro bietet komfortablen Umgang mit dd- und EnCase-Images;287
9.2.9.5;Abb. 7–56 Der Zugriff auf Linux- Partitionen lässt sich einfach über die Systemsteuerung konfigurieren.;288
9.2.9.6;Abb. 7–57 X-Ways Trace bietet eine gute Übersicht der lokalen Browserspuren.;288
9.2.9.7;Abb. 7–58 Darstellung des Windows-Papierkorbs mit X-Ways Trace;289
9.2.9.8;Abb. 7–59 Der Windows FileAnalyzer vereint viele Analysemöglichkeiten. Er kann nicht nur auf dem lokalen System eingesetzt werden.;290
9.2.9.9;Abb. 7–60 Ansicht der Internet-History mit iehist;290
9.2.9.10;Abb. 7–61 FileStat aus dem Foundstone Forensic ToolKit zeigt alle Informationen einer verdächtigen Datei inkl. Alternate Data Streams.;292
9.2.9.11;Abb. 7–62 Mailbox-Import mit Paraben’s E-Mail Examiner;292
9.2.9.12;Abb. 7–63 Anzeige einiger Systeminformationen mit psinfo;293
9.2.9.13;Abb. 7–64 Anzeige der über das Netz geöffneten Dateien mit psfile;294
9.2.9.14;Abb. 7–65 Anzeige der lokal und über das Netz angemeldeten User mit psloggedon;294
9.2.9.15;Abb. 7–66 Anzeige weiterer Informationen über aktive und inaktive Dienste mit psservice;294
9.2.9.16;Abb. 7–67 Anzeige der durch einen Prozess verwendeten DLLs mit listdlls;295
9.2.9.17;Abb. 7–68 Export der Eventlogs mit psloglist;295
9.2.9.18;Abb. 7–69 Anzeige der von einem Prozess verwendeten Ressourcen mit handle;296
9.2.9.19;Abb. 7–70 FPort zeigt an, welche Datei den Port geöffnet hält.;296
9.2.9.20;Abb. 7–71 Direktes Suchen in Festplattensektoren mit SectorSpy;297
9.2.9.21;Abb. 7–72 Zeichensuche in den Clustern einer Festplatte mit dem Disk Investigator;297
9.2.9.22;Abb. 7–73 Ansicht von gelöschten Dateien mit dem Disk Investigator;298
9.2.9.23;Abb. 7–74 Suche nach Zeichenketten in Dateisystemen mit Evidor;298
9.2.9.24;Abb. 7–75 HTML-Ausgabe der Suchergebnisse von Evidor;299
9.3;7.3 Forensische Analyse von mobilen Geräten;300
9.3.1;Abb. 7–76 Analyse von Datenspuren in Office-Dokumenten mit dem Metadata Assistant;300
9.3.2;7.3.1 Was ist von Interesse bei mobilen Geräten?;301
9.3.3;7.3.2 Welche Informationen sind auf der SIM-Karte von Interesse?;303
9.3.4;7.3.3 Grundsätzlicher Ablauf der Sicherung von mobilen Geräten;303
9.3.4.1;Abb. 7–77 Schematischer Ablauf der forensischen Analyse eines mobilen Gerätes;304
9.3.5;7.3.4 Software für die forensische Analyse von mobilen Geräten im Überblick;305
9.3.5.1;Abb. 7–78 Suche im Speicherbereich eines Palm PDA mit PDA Seizure;305
9.3.5.2;Abb. 7–79 Nach dem Auslesen des PDA können die Daten mit PDA Seizure analysiert werden.;306
9.3.5.3;Abb. 7–80 Palm-OS-Passwort mit palmdecrypt entschlüsselt;307
9.3.5.4;Abb. 7–81 Dekodieren des Palm- Passworts mit PDA Seizure;307
9.3.5.5;Abb. 7–82 JL_Cmder;309
9.3.5.6;Abb. 7–83 Paraben’s Cell Seizure ermöglicht das Auslesen einiger Handy-Modelle.;310
9.3.5.7;Abb. 7–84 SIM Card;311
9.3.5.8;Abb. 7–85 Oxygen Forensic;312
9.3.5.9;Abb. 7–86 .XRY ermöglicht das umfangreiche Auslesen von Mobilendgeräten sowie SIM-Karten.;313
9.3.5.10;Abb. 7–87 Mit dem iPhone Analyzer lassen sich die Backup- Dateien von iTunes bequem einlesen und auswerten.;314
9.3.5.11;Abb. 7–88 In einer intuitiv zu bedienenden Oberfläche lassen sich alle wesentlichen Informationen des iPhones auslesen. Alle sqlite-Datenbanken sind durchsuchbar.;315
9.3.5.12;Abb. 7–89 Alle auf dem iPhone gespeicherten Multimediaobjekte lassen sich analysieren. Bei Fotos kann man auch die GPS- Informationen aus den EXIF-Daten auslesen, wenn die entsprechende Funktion nicht deaktiviert wurde.;315
9.4;7.4 Forensische Analyse von Routern;316
9.4.1;Abb. 7–90 Speichert eine Anwendung GPS-Daten, so lassen sich diese bequem auswerten.;316
9.4.2;Tab. 7–3 Befehle, um flüchtige Daten eines Router auszulesen;317
10;8 Empfehlungen für den Schadensfall;319
10.1;8.1 Logbuch;319
10.1.1;Tab. 8–1 Beispiel eines Logbuchs;319
10.2;8.2 Den Einbruch erkennen;321
10.2.1;Review der IDS-Logs;321
10.3;8.3 Tätigkeiten nach festgestelltem Einbruch;322
10.3.1;Identifizieren Sie, wo die Angreifer überall waren;324
10.4;8.4 Nächste Schritte;326
11;9 Backtracing;327
11.1;9.1 IP-Adressen überprüfen;327
11.1.1;9.1.1 Ursprüngliche Quelle;327
11.1.2;9.1.2 IP-Adressen, die nicht weiterhelfen;328
11.1.3;9.1.3 Private Adressen;328
11.1.4;9.1.4 Weitere IANA-Adressen;329
11.1.5;9.1.5 Augenscheinlich falsche Adressen;330
11.2;9.2 Spoof Detection;330
11.2.1;9.2.1 Traceroute Hopcount;330
11.2.1.1;Default-Werte der Initial TTL;331
11.2.1.1.1;Abb. 9–1 Einige Default Initial TTL verschiedener Betriebssysteme;332
11.2.1.2;Probleme mit Traceroute Hopcounting;332
11.3;9.3 Routen validieren;333
11.3.1;Abb. 9–2 RFC1918-Netze innerhalb einer Route;333
11.3.2;Abb. 9–3 Beispielhafte Abfrage der Routen auf einem dafür öffentlich zugänglichen Core- Router von AT&T;334
11.3.3;Abb. 9–4 Traceroute über das WWW-Interface von SamSpade.org;335
11.3.4;Ein Spoof-Beispiel;335
11.3.4.1;Abb. 9–5 Abfrage der Route zur verdächtigen IP-Adresse auf einem Core-Router (Ergebnis: keine Route vorhanden);335
11.3.4.2;Abb. 9–6 Abfrage der Route zur verdächtigen IP-Adresse über ein WWW-Interface (Ergebnis: keine Route vorhanden – »Network not in table«);336
11.3.4.3;Abb. 9–7 Whois-Query nach der verdächtigen IP-Adresse;336
11.4;9.4 Nslookup;337
11.5;9.5 Whois;338
11.5.1;Abb. 9–8 Whois-Proxy-Abfrage auf www.geektools.com;339
11.6;9.6 E-Mail-Header;340
11.6.1;Abb. 9–9 Mail-Header-Beispiel;340
12;10 Einbeziehung der Behörden;343
12.1;10.1 Organisatorische Vorarbeit;343
12.2;10.2 Strafrechtliches Vorgehen;345
12.2.1;10.2.1 Inanspruchnahme des Verursachers;345
12.2.2;10.2.2 Möglichkeiten der Anzeigeerstattung;345
12.2.2.1;Das Tatortprinzip;347
12.2.3;10.2.3 Einflussmöglichkeiten auf das Strafverfahren;348
12.3;10.3 Zivilrechtliches Vorgehen;349
12.4;10.4 Darstellung in der Öffentlichkeit;350
12.5;10.5 Die Beweissituation bei der privaten Ermittlung;351
12.5.1;Beweissituation im Sachbeweis;352
12.5.2;Beweissituation im Personalbeweis;352
12.6;10.6 Fazit;355
13;Anhang;357
14;A Tool-Überblick;359
14.1;Forensik-CD aus iX 07/2007 bzw. Forensik-DVD aus iX special 10/2008;365
15;B C.A.I.N.E.-Tools;367
16;C DEFT-Tools;375
17;Literaturempfehlungen;381
18;Index;383
19;www.dpunkt.de;0
