Forensische Analyse von Windows-Systemen
Forensische Analyse von Windows-Systemen
Forensische Analyse von Windows-Systemen
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
We secure your business. (tm)<br />
<strong>Forensische</strong> <strong>Analyse</strong> <strong>von</strong><br />
<strong>Windows</strong>-<strong>Systemen</strong><br />
BSI<br />
2. IT-Grundschutz-Tag 2012<br />
29.3.2012
Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> in 30 Minuten<br />
� <strong>Windows</strong> 7<br />
� <strong>Windows</strong> 2008 R2<br />
� Bitlocker<br />
We secure your business. (tm)<br />
Quelle: Microsoft<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 2
Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> aus praktischer Sicht<br />
Was hat sich wirklich verändert?<br />
� Festplatten sind groß<br />
� Festplatten sind verschlüsselt<br />
� Systeme sind virtuell<br />
� Wir können Abbilder des Arbeitsspeichers besser analysieren<br />
� Wir können Abbilder des Arbeitsspeichers leichter erstellen<br />
Wieso interessiert das?<br />
� …<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 3
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 4
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 5
Thesen<br />
� Eine forensische <strong>Analyse</strong> benötigt die richtigen (und<br />
unverfälschten) Daten zur Beantwortung der Fragen<br />
� Eine gute forensische <strong>Analyse</strong> entscheidet sich am Anfang<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 6
Fragen bei einer Straftat mit Computerbeteiligung<br />
(Computer als Tatwerkzeug)<br />
� Hat der Erpresser diesen PC benutzt, um seine Drohbriefe zu<br />
schreiben?<br />
� Hat der neue Systemadministrator die Personalakten aus dem HR-<br />
System kopiert, um ein Druckmittel gegen seinen Chef zu haben?<br />
� Hat der Mitarbeiter X bei seiner Kündigung die CRM-Datenbank<br />
mitgehen lassen?<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 7
Fragen bei einem IT-Sicherheitsvorfall<br />
(Computer als Ziel der Handlung)<br />
� Ich habe eine Email mit einem Hinweis auf eine Sicherheitslücke in<br />
unserem Webauftritt bekommen. Ist wirklich eingebrochen worden?<br />
� Unsere Webseite ist verändert worden; neuerdings verteilen wir<br />
Malware. Über welche Sicherheitslücke ist eingebrochen worden?<br />
� Ist eine Hintertür aktiv? Wie kann ich sie schließen?<br />
� Kann ich den Einbrecher ermitteln?<br />
Am Arbeitsplatz:<br />
� Der Rechner führt die Traffic-Statistik an; obwohl der Mitarbeiter im<br />
Urlaub ist. Ist eine Schadsoftware aktiv?<br />
� Was macht die Schadsoftware da? Wie bekomme ich sie weg?<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 8
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 9
Thesen<br />
� Fragen bei einem IT-Sicherheitsvorfall sind Fragen nach<br />
Manipulation<br />
� Die Antworten werden für einen sicheren Weiterbetrieb benötigt<br />
� Die Gerichtsverwertbarkeit ist zweitrangig<br />
� Die wichtigsten Spuren sind flüchtig oder fragil<br />
� Flüchtig - RAM: Netzwerkverbindungen, Prozesse, Prozessspeicher, …<br />
� Fragil - Festplatte: Gelöschte Dateien, Spuren im Swap, Eventlogs, …<br />
� Flüchtige Spuren werden vernichtet durch Ausschalten des<br />
Rechners<br />
� Fragile Spuren werden vernichtet durch Anlassen des Rechners<br />
� Beide Arten <strong>von</strong> Spuren werden vernichtet durch Tätigkeiten am<br />
Rechner<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 10
First Response bei Hacker-Angriff und Schadsoftware<br />
� Schnelligkeit ist wichtig!<br />
� Bei Schadsoftware ist die Speicherakquise oft die einzige<br />
Möglichkeit für Ergebnisse<br />
� Schadsoftware in „Memory-Only“-Varianten<br />
� Binaries oft nicht automatisiert entdeckbar<br />
� Zu viele Kandidaten für eine praktische <strong>Analyse</strong><br />
� Daher: First Response selber machen<br />
� Live Response<br />
� Sicherung der Festplattendaten<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 11
Live Response – klassisch<br />
� Live Response ist die „Kür“ der forensischen Akquise<br />
� Abwägung zwischen verschiedenen Tools mit unterschiedlicher Eingriffstiefe<br />
� Je nach Vorgeschichte und vermutetem Befund<br />
� Memory Dumps im Repertoire des Forensikers<br />
� Nicht immer sicher benutzbare Tools; hohe Abhängigkeiten <strong>von</strong> der Softwareumgebung<br />
� BSOD-Gefahr<br />
� Speicherimage wurde mit „kruden“ Methoden analysiert, kaum strukturierter<br />
Zugriff<br />
� Strings; grep & Konsorten<br />
� Evtl. Prozesslisten und Prozessspeicher<br />
� Viele Informationen waren praktisch nicht extrahierbar<br />
� Netzwerkverbindungen, Netzwerk-Sockets, geladene DLLs, offene Dateien<br />
� Alle Informationen<br />
� Daher: RAM-Akquise oft als letzter Schritt der Live-Forensik<br />
� Immer zusätzlich zur sonstigen Informationserfassung<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 12
Sicherungsreihenfolge<br />
We secure your business. (tm)<br />
Die Halbwertzeit der Informationen bestimmt die<br />
Sicherungsreihenfolge<br />
� Routingtabellen, ARP-Cache, Prozessliste, angemeldete<br />
User, Netzstatus, Kerneldaten, Hauptspeicherinhalt (durch<br />
Prozesse belegt)<br />
� Temporäre Dateisysteme, SWAP-Bereiche, etc<br />
� Der komplette Inhalt der Datenträger<br />
� Relevante Logging- und Monitoringdaten auf zentralen<br />
Log-Servern<br />
� Physische Konfigurationen und Netzwerktopologien<br />
� Archivierte Medien<br />
Siehe auch RFC 3227 - Guidelines for Evidence Collection and<br />
Archiving<br />
Assess It All, Or Lose It All<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 13
Live Response – neue Möglichkeiten<br />
� Memory Dumps sind ungefährlicher geworden<br />
� Einfacher zu benutzende Tools<br />
� Weniger Absturzrisiko<br />
� Die strukturierte <strong>Analyse</strong> des <strong>Windows</strong>-Hauptspeichers hat<br />
erhebliche Fortschritte gemacht<br />
� Nur durch Reverse Engineering möglich<br />
� Startschuss 2005 (DFRWS Challenge)<br />
� Viel Forschung und schnelle Entwicklungen 2006-2009<br />
� Seitdem immer bessere Umsetzung in freie und kommerzielle Tools<br />
� Vista, <strong>Windows</strong> 7, Server 2008R2 und 64bit waren letzte praktische<br />
Hürden<br />
� Seit 2011 setzt sich auch Unterstützung für 64bit-Systeme durch<br />
� Dumps können auch unter Vista ff. erzeugt werden (benötigt Systemtreiber)<br />
� <strong>Analyse</strong>möglichkeiten etablieren sich momentan<br />
� Speicherdump als vollständiger Ersatz für eine Live Response<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 14
Live Response – neue Möglichkeiten<br />
� Tool-Support: <strong>Analyse</strong> <strong>von</strong> <strong>Windows</strong>-Speicher<br />
� Alle „großen“ Frameworks: X-Ways, FTK, Encase (*)<br />
� Spezialisierte Tools: Volatility, Memoryze, Memparser<br />
� Tool-Support: Akquise <strong>von</strong> Speicher unter <strong>Windows</strong><br />
� win32dd/win64dd, moonsols dumpit<br />
� winen/win64, FTK Imager, X-Ways<br />
� Informationen, die extrahiert werden können:<br />
� Prozesslisten und Prozessspeicher<br />
� Netzwerkverbindungen<br />
� Netzwerk-Sockets<br />
� Geladene DLLs (verschiedene<br />
� offene Dateien<br />
� Befehlsaufrufe der laufenden Programme<br />
� Fragmente <strong>von</strong> Dateien im Cache<br />
� Registry<br />
� Suche nach kryptographischen Schlüsseln<br />
� Rootkit detection<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 15
Live Response – neue Möglichkeiten<br />
Beispiel: <strong>Analyse</strong> eines Memory Dumps mit den Volatility Tools<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 16
Live Response – neue Möglichkeiten<br />
Beispiel: <strong>Analyse</strong> eines Memory Dumps mit X-Ways<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 17
First Response: Speicher sichern - Praxisbeispiel<br />
� Ausreichend großer USB-Stick<br />
� „Dumpit.exe“ <strong>von</strong> Moonsols<br />
� Technisch: Einfach<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 18
First Response: Speicher sichern – Praxisbeispiel 2<br />
� Virtueller Server?<br />
� Snapshot<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 19
First Response: Festplatte sichern<br />
� Klassisch: System abschalten<br />
� Platte ausbauen, Sicher lagern<br />
� Virtualisiert: Snapshot<br />
� Virtuelles System in den Suspend-Modus versetzen<br />
� Kopie der unterliegenden Festplatten-Images (Vmware VMDKs, Hyper V<br />
VHDs)<br />
� Funktioniert nicht bei Verschlüsselung<br />
� „Offline“-Entschlüsselungsmöglichkeit evaluieren (ohne Boot des Systems)<br />
� ADK vorhanden? Tokens benötigt? „Tagesschlüssel“ des Herstellers?<br />
� Nur 2 Möglichkeiten:<br />
-(a) Offline-Entschlüsselung funktioniert; klassisches Image wie oben<br />
-(b) Live-Akquise aus dem laufenden System<br />
� Sonderfälle RAID & SAN beachten<br />
� Server mit RAID-1 und Hotswap: Eine Platte entfernen, fertig<br />
� Server mit RAID-6, proprietär: Keine allgemeingültige Methode<br />
� Vorbereitung ist notwendig<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 20
First Response: Umgebungsdaten sichern<br />
� Zusammenhang herstellen<br />
Protokolldaten<br />
der Zutrittskontrolle<br />
Anwesenheit<br />
zur fraglichen<br />
Zeit<br />
� Ohne Umgebungsdaten<br />
We secure your business. (tm)<br />
Verbindung Verbindung Verbindung Verbindung<br />
Protokolldaten<br />
des Betriebssystems<br />
(Verdächtiger)<br />
Benutzung<br />
des PC<br />
Protokolldaten<br />
der Netzanwendung<br />
(PC<br />
Verdächtiger)<br />
Zugriff auf das<br />
Netz<br />
Protokolldaten<br />
des Netzverkehrs<br />
(Firewall<br />
Proxy, …)<br />
Angriff des<br />
Servers<br />
Protokolldaten<br />
des Betriebssystems<br />
(Server)<br />
Schaden auf<br />
dem Server<br />
verursacht<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 21
Zusammenhang der vorhandenen Daten herstellen<br />
Beispiel 2: Schadsoftware ermitteln<br />
Protokolldaten<br />
der Firewall<br />
Angriffsidentifizierung<br />
We secure your business. (tm)<br />
Verbindung Verbindung Verbindung Verbindung<br />
Protokolldaten<br />
des Web-Proxy<br />
Inhalte der<br />
Verbindung,<br />
interner PC<br />
Speicherdump<br />
des internen PCs<br />
Spuren der<br />
Verbindung,<br />
Identifizierung<br />
Prozess<br />
Festplattendump<br />
des PCs<br />
Identifizierung<br />
der Binaries<br />
Timeline u.a.<br />
Logdaten<br />
Weitere<br />
Angriffsziele<br />
und<br />
Angriffsweg<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 22
Zum Mitnehmen<br />
� Richtige First Response ist wichtig<br />
� Ohne Live Response kaum eine Chance bei Schadsoftware<br />
� Umgebungsdaten sichern<br />
� Gerichtsverwertbarkeit in der Regel nebensächlich<br />
� Live Response ohne Expertenwissen machbar<br />
� Schnelligkeit ist oberstes Gebot<br />
� Und schlägt fast immer die Verfügbarkeit des „Profis“<br />
� Aber nicht die richtige Vorbereitung!<br />
� Vorbereiten – harte Fragen vorher klären<br />
� Wie wird der Sicherheitsvorfall bemerkt? � Awareness<br />
� Wer entscheidet über das Vorgehen? � Incident Response<br />
� Wann muss ich Zeugen hinzuziehen? � Aufklärung<br />
� Wer darf unter welchem Umständen auf die Daten zugreifen?<br />
� Datenschutzbeauftragter, Betriebsrat<br />
� Welche Umgebungsdaten muss ich sichern? � Logserver<br />
� Testen – First Response technische Hilfsmittel<br />
We secure your business. (tm)<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 23
We secure your business. (tm)<br />
Kontakt<br />
Anschrift<br />
Kontakt<br />
HiSolutions AG<br />
Bouchéstraße 12<br />
12435 Berlin<br />
Fon: +49 30 533 289-0<br />
Fax: +49 30 533 289-900<br />
www.hisolutions.com<br />
Enno Ewers<br />
Managing Consultant<br />
Teamleiter<br />
ewers@hisolutions.com<br />
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik <strong>von</strong> <strong>Windows</strong>-<strong>Systemen</strong> 24