Forensische Analyse von Windows-Systemen

We secure your business. (tm)
Forensische Analyse von
Windows-Systemen
BSI
2. IT-Grundschutz-Tag 2012
29.3.2012

Forensik von Windows-Systemen in 30 Minuten
� Windows 7
� Windows 2008 R2
� Bitlocker
We secure your business. (tm)
Quelle: Microsoft
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 2

Forensik von Windows-Systemen aus praktischer Sicht
Was hat sich wirklich verändert?
� Festplatten sind groß
� Festplatten sind verschlüsselt
� Systeme sind virtuell
� Wir können Abbilder des Arbeitsspeichers besser analysieren
� Wir können Abbilder des Arbeitsspeichers leichter erstellen
Wieso interessiert das?
� …
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 3

We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 4

We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 5

Thesen
� Eine forensische Analyse benötigt die richtigen (und
unverfälschten) Daten zur Beantwortung der Fragen
� Eine gute forensische Analyse entscheidet sich am Anfang
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 6

Fragen bei einer Straftat mit Computerbeteiligung
(Computer als Tatwerkzeug)
� Hat der Erpresser diesen PC benutzt, um seine Drohbriefe zu
schreiben?
� Hat der neue Systemadministrator die Personalakten aus dem HR-
System kopiert, um ein Druckmittel gegen seinen Chef zu haben?
� Hat der Mitarbeiter X bei seiner Kündigung die CRM-Datenbank
mitgehen lassen?
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 7

Fragen bei einem IT-Sicherheitsvorfall
(Computer als Ziel der Handlung)
� Ich habe eine Email mit einem Hinweis auf eine Sicherheitslücke in
unserem Webauftritt bekommen. Ist wirklich eingebrochen worden?
� Unsere Webseite ist verändert worden; neuerdings verteilen wir
Malware. Über welche Sicherheitslücke ist eingebrochen worden?
� Ist eine Hintertür aktiv? Wie kann ich sie schließen?
� Kann ich den Einbrecher ermitteln?
Am Arbeitsplatz:
� Der Rechner führt die Traffic-Statistik an; obwohl der Mitarbeiter im
Urlaub ist. Ist eine Schadsoftware aktiv?
� Was macht die Schadsoftware da? Wie bekomme ich sie weg?
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 8

We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 9

Thesen
� Fragen bei einem IT-Sicherheitsvorfall sind Fragen nach
Manipulation
� Die Antworten werden für einen sicheren Weiterbetrieb benötigt
� Die Gerichtsverwertbarkeit ist zweitrangig
� Die wichtigsten Spuren sind flüchtig oder fragil
� Flüchtig - RAM: Netzwerkverbindungen, Prozesse, Prozessspeicher, …
� Fragil - Festplatte: Gelöschte Dateien, Spuren im Swap, Eventlogs, …
� Flüchtige Spuren werden vernichtet durch Ausschalten des
Rechners
� Fragile Spuren werden vernichtet durch Anlassen des Rechners
� Beide Arten von Spuren werden vernichtet durch Tätigkeiten am
Rechner
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 10

First Response bei Hacker-Angriff und Schadsoftware
� Schnelligkeit ist wichtig!
� Bei Schadsoftware ist die Speicherakquise oft die einzige
Möglichkeit für Ergebnisse
� Schadsoftware in „Memory-Only“-Varianten
� Binaries oft nicht automatisiert entdeckbar
� Zu viele Kandidaten für eine praktische Analyse
� Daher: First Response selber machen
� Live Response
� Sicherung der Festplattendaten
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 11

Live Response – klassisch
� Live Response ist die „Kür“ der forensischen Akquise
� Abwägung zwischen verschiedenen Tools mit unterschiedlicher Eingriffstiefe
� Je nach Vorgeschichte und vermutetem Befund
� Memory Dumps im Repertoire des Forensikers
� Nicht immer sicher benutzbare Tools; hohe Abhängigkeiten von der Softwareumgebung
� BSOD-Gefahr
� Speicherimage wurde mit „kruden“ Methoden analysiert, kaum strukturierter
Zugriff
� Strings; grep & Konsorten
� Evtl. Prozesslisten und Prozessspeicher
� Viele Informationen waren praktisch nicht extrahierbar
� Netzwerkverbindungen, Netzwerk-Sockets, geladene DLLs, offene Dateien
� Alle Informationen
� Daher: RAM-Akquise oft als letzter Schritt der Live-Forensik
� Immer zusätzlich zur sonstigen Informationserfassung
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 12

Sicherungsreihenfolge
We secure your business. (tm)
Die Halbwertzeit der Informationen bestimmt die
Sicherungsreihenfolge
� Routingtabellen, ARP-Cache, Prozessliste, angemeldete
User, Netzstatus, Kerneldaten, Hauptspeicherinhalt (durch
Prozesse belegt)
� Temporäre Dateisysteme, SWAP-Bereiche, etc
� Der komplette Inhalt der Datenträger
� Relevante Logging- und Monitoringdaten auf zentralen
Log-Servern
� Physische Konfigurationen und Netzwerktopologien
� Archivierte Medien
Siehe auch RFC 3227 - Guidelines for Evidence Collection and
Archiving
Assess It All, Or Lose It All
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 13

Live Response – neue Möglichkeiten
� Memory Dumps sind ungefährlicher geworden
� Einfacher zu benutzende Tools
� Weniger Absturzrisiko
� Die strukturierte Analyse des Windows-Hauptspeichers hat
erhebliche Fortschritte gemacht
� Nur durch Reverse Engineering möglich
� Startschuss 2005 (DFRWS Challenge)
� Viel Forschung und schnelle Entwicklungen 2006-2009
� Seitdem immer bessere Umsetzung in freie und kommerzielle Tools
� Vista, Windows 7, Server 2008R2 und 64bit waren letzte praktische
Hürden
� Seit 2011 setzt sich auch Unterstützung für 64bit-Systeme durch
� Dumps können auch unter Vista ff. erzeugt werden (benötigt Systemtreiber)
� Analysemöglichkeiten etablieren sich momentan
� Speicherdump als vollständiger Ersatz für eine Live Response
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 14

Live Response – neue Möglichkeiten
� Tool-Support: Analyse von Windows-Speicher
� Alle „großen“ Frameworks: X-Ways, FTK, Encase (*)
� Spezialisierte Tools: Volatility, Memoryze, Memparser
� Tool-Support: Akquise von Speicher unter Windows
� win32dd/win64dd, moonsols dumpit
� winen/win64, FTK Imager, X-Ways
� Informationen, die extrahiert werden können:
� Prozesslisten und Prozessspeicher
� Netzwerkverbindungen
� Netzwerk-Sockets
� Geladene DLLs (verschiedene
� offene Dateien
� Befehlsaufrufe der laufenden Programme
� Fragmente von Dateien im Cache
� Registry
� Suche nach kryptographischen Schlüsseln
� Rootkit detection
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 15

Live Response – neue Möglichkeiten
Beispiel: Analyse eines Memory Dumps mit den Volatility Tools
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 16

Live Response – neue Möglichkeiten
Beispiel: Analyse eines Memory Dumps mit X-Ways
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 17

First Response: Speicher sichern - Praxisbeispiel
� Ausreichend großer USB-Stick
� „Dumpit.exe“ von Moonsols
� Technisch: Einfach
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 18

First Response: Speicher sichern – Praxisbeispiel 2
� Virtueller Server?
� Snapshot
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 19

First Response: Festplatte sichern
� Klassisch: System abschalten
� Platte ausbauen, Sicher lagern
� Virtualisiert: Snapshot
� Virtuelles System in den Suspend-Modus versetzen
� Kopie der unterliegenden Festplatten-Images (Vmware VMDKs, Hyper V
VHDs)
� Funktioniert nicht bei Verschlüsselung
� „Offline“-Entschlüsselungsmöglichkeit evaluieren (ohne Boot des Systems)
� ADK vorhanden? Tokens benötigt? „Tagesschlüssel“ des Herstellers?
� Nur 2 Möglichkeiten:
-(a) Offline-Entschlüsselung funktioniert; klassisches Image wie oben
-(b) Live-Akquise aus dem laufenden System
� Sonderfälle RAID & SAN beachten
� Server mit RAID-1 und Hotswap: Eine Platte entfernen, fertig
� Server mit RAID-6, proprietär: Keine allgemeingültige Methode
� Vorbereitung ist notwendig
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 20

First Response: Umgebungsdaten sichern
� Zusammenhang herstellen
Protokolldaten
der Zutrittskontrolle
Anwesenheit
zur fraglichen
Zeit
� Ohne Umgebungsdaten
We secure your business. (tm)
Verbindung Verbindung Verbindung Verbindung
Protokolldaten
des Betriebssystems
(Verdächtiger)
Benutzung
des PC
Protokolldaten
der Netzanwendung
(PC
Verdächtiger)
Zugriff auf das
Netz
Protokolldaten
des Netzverkehrs
(Firewall
Proxy, …)
Angriff des
Servers
Protokolldaten
des Betriebssystems
(Server)
Schaden auf
dem Server
verursacht
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 21

Zusammenhang der vorhandenen Daten herstellen
Beispiel 2: Schadsoftware ermitteln
Protokolldaten
der Firewall
Angriffsidentifizierung
We secure your business. (tm)
Verbindung Verbindung Verbindung Verbindung
Protokolldaten
des Web-Proxy
Inhalte der
Verbindung,
interner PC
Speicherdump
des internen PCs
Spuren der
Verbindung,
Identifizierung
Prozess
Festplattendump
des PCs
Identifizierung
der Binaries
Timeline u.a.
Logdaten
Weitere
Angriffsziele
und
Angriffsweg
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 22

Zum Mitnehmen
� Richtige First Response ist wichtig
� Ohne Live Response kaum eine Chance bei Schadsoftware
� Umgebungsdaten sichern
� Gerichtsverwertbarkeit in der Regel nebensächlich
� Live Response ohne Expertenwissen machbar
� Schnelligkeit ist oberstes Gebot
� Und schlägt fast immer die Verfügbarkeit des „Profis“
� Aber nicht die richtige Vorbereitung!
� Vorbereiten – harte Fragen vorher klären
� Wie wird der Sicherheitsvorfall bemerkt? � Awareness
� Wer entscheidet über das Vorgehen? � Incident Response
� Wann muss ich Zeugen hinzuziehen? � Aufklärung
� Wer darf unter welchem Umständen auf die Daten zugreifen?
� Datenschutzbeauftragter, Betriebsrat
� Welche Umgebungsdaten muss ich sichern? � Logserver
� Testen – First Response technische Hilfsmittel
We secure your business. (tm)
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 23

We secure your business. (tm)
Kontakt
Anschrift
Kontakt
HiSolutions AG
Bouchéstraße 12
12435 Berlin
Fon: +49 30 533 289-0
Fax: +49 30 533 289-900
www.hisolutions.com
Enno Ewers
Managing Consultant
Teamleiter
ewers@hisolutions.com
© 2012, HiSolutions AG | BSI 2. IT-Grundschutz-Tag 2012 | Forensik von Windows-Systemen 24