IT-Forensik: Digitale Spurensuche zur Beweissicherung!

Oft hört man, dass ein Neuformatieren des befallenen Computersystems die Probleme löst. Dies ist jedoch nur dann zielführend, wenn man weiß, warum ein Cyber-Einbruch stattfand. Wird ein infiziertes System sogleich neu installiert, kommt es häufig vor, dass der gleiche Angreifer das Computersystem neuerlich übernimmt.

Daher sind möglichst folgende Fragen zu beantworten, um die Ursache einer erneuten Infektion auszuschließen:

• Was ist passiert?
• Wie ist das passiert?
• Wodurch war dies möglich?
• Wer war es?

Der wichtigste Schritt ist die frühzeitige Hinzuziehung eines forensischen Experten. Eigene fehlerhafte Nachforschungen vernichten oft wichtige Spuren und richten zusätzlichen Schaden am System an. Damit gehen wichtige Spuren für die Analyse verloren. Ist kein Datenforensik-Experte vor Ort verfügbar, sollte der Computer so belassen werden. Ist er eingeschaltet, sollte er auch eingeschaltet bleiben. Es ist dafür zu sorgen, dass niemand mehr mit diesem Gerät arbeitet, bis eine forensische Untersuchung gestartet wird.

Hängt der Computer in einem Unternehmensnetzwerk, sollten die infizierten Computer in ein abgeschottetes virtuelles LAN (VLAN) aufgenommen werden, in dem sich nur verdächtige Geräte befinden. Dieses Netzwerk sollte vom Internet und dem Unternehmensnetzwerk getrennt sein. Wenn dazu keine Möglichkeit besteht und das Netzwerkkabel (z.B. Ethernet) zweifelsfrei identifiziert werden kann, gilt es, den Computer vom Netzwerk zu trennen und sofort an einen aktiven isolierten Switch oder Hub anzuschließen.

Ein Foto vom Arbeitsplatz sowie von der Vorder- und Rückseite des verdächtigen Systems runden die Vorarbeiten ab. Befindet sich das Computersystem bereits in einem ausgeschalteten Zustand, sollte es nicht wieder eingeschaltet werden. Das Gerät ist einer forensischen Analyse zuzuführen.

Im ersten Schritt muss zwischen „lebenden” und „toten” Computersystemen unterschieden werden (s.u.). Arbeitet das Computersystem, wird zuerst eine forensische Analyse des Arbeitsspeichers durchgeführt (wie Inhalt von Cache, Status der Netzverbindungen, laufende Prozesse, angemeldete Benutzer usw.).

Danach wird eine forensische Kopie der fragilen Daten, insbesondere des Festplattenspeichers, genommen. Dabei ist darauf zu achten, dass diese Prozesse gut dokumentiert, wiederholbar und reproduzierbar sind. Für Verfahren und Verhandlungen bei Gericht ist dies besonders wichtig.

Aus der Analyse des Arbeitsspeichers lassen sich bereits wertvolle Hinweise ableiten. Liegt das Speicherabbild des Festplattenspeichers vor, wird die Zeitleiste (engl. timeline) gebildet und Informationen und Hinweisen auf eine Verseuchung/Zugriff wird nachgegangen.

Die Zeitleiste stellt den letzten Zugriff lesender und schreibender Art wie die Änderung der Metadaten (Dateirechte, Zugriffszeiten, Zeiger auf Datenblöcke) dar.

Jede Datei hat - je nach Betriebssystem - einige Zeitstempel, in der - je nach Aktion - ein Zeitpunkt gespeichert wird. Üblicherweise handelt es sich um drei oder vier Zeiten:

• lesender Zugriff
• schreibender Zugriff
• Änderung der Metadaten
• Erstellungsdatum der Datei

Über die Zeitleiste ist eine chronologische Abfolge der Aktionen auf dem System möglich. Manchmal ist es notwendig, den gesamten Speicher inkl. der freien Datenblöcke zu durchsuchen. Oft lassen sich so auch Hinweise zur Verseuchung/Zugriff/vermuteten Aktion finden. Spezielle Analysen betriebssystemspezifischer Eigenheiten (wie z.B. bei Windows: Bereiche in der Registry, Prefetch-Mechanismus, letzte Dateiaufrufe, gestartete Programme uvm.) werfen ein klärendes Licht auf die vermuteten Aktivitäten.

Jeder IT-Sicherheitsvorfall ist individuell und unterscheidet sich von anderen Vorfällen. Um eine seriöse Abschätzung geben zu können, benötigen wir eine detaillierte Beschreibung des vermuteten Vorfalls und die zu untersuchenden Systeme. Gerne senden wir Ihnen dann nähere Informationen zu.

Auf eingeschalteten Systemen befinden sich viele Hinweise und Spuren im Arbeitsspeicher. Jeder Prozess der ausgeführt wird, existiert als Kopie im Arbeitsspeicher und hat dort seine Verknüpfungen, wie offene Dateien, DLLs, Handles u.a. Somit sind wertvolle Informationen im Arbeitsspeicher vorhanden, die beim Ziehen des Stromkabels verloren gehen. Die traditionelle Datenforensik/Datenforensik arbeitet fast ausschließlich mit stromlosen Systemen, an denen die Analysen durchgeführt wurde.

Der Begriffe „lebende” Systeme wird in der Datenforensik für Computersysteme verwendet, die arbeiten, also eingeschaltet sind und Daten im Arbeitsspeicher haben. „Tote” Systeme sind Computer, die stromlos, also ausgeschaltet sind.

In der forensischen Datensicherung ergibt sich die Reihenfolge der Sicherung der Medien nach der Flüchtigkeit der Daten. Da der Arbeitsspeicher einer sehr schnellen Änderung unterworfen ist, sollte er möglichst rasch gesichert werden. Danach folgen Datenspeicher im Betrieb und danach Datenspeicher, die offline und gesondert aufbewahrt werden.

State-of-the-Art der modernen Datenforensik ist, Spuren in lebenden Systemen auszuwerten. So sind z.B. zwei der bekanntesten Vertreter von Schadsoftware der letzten Jahre über die Forensik des Arbeitsspeichers leicht zu identifizieren. Stuxnet hatte im September 2010 die iranischen Urananreicherungszentrifugen torpediert und beim Conficker-Wurm handelte es sich um eine sehr populäre Malware, die 2008 bis 2010 in verschiedensten Varianten für die Infizierung von ca. 6 Mio. Geräten verantwortlich war.”