Felix Rothe
Cyber Defense Consultant
Nach seinem Studium war Felix als Consultant bei verschiedenen internationalen Unternehmen tätig. Seine Aufgaben umfassten den Aufbau und Betrieb von SIEM Systemen, Vorfalls-Analysen und Response Management. Seit 2024 arbeitet er im Falcon Team als Forensiker.
Wachsamkeit und Vorsicht sind in der Cybersicherheit von entscheidender Bedeutung. Wenn wir diese Binsenweisheit wiederholen, denken die meisten von uns an Social-Engineering-Angriffe und daran, den Benutzern beizubringen, wie sie eine Phishing-E-Mail oder einen Betrugsanruf erkennen können. Ein aufmerksamer Benutzer kann jedoch auch wertvolle Erkenntnisse zu einem eher technischen Aspekt liefern.
Ein kürzlich aufgetretener Vorfall wurde gemeldet, als der Benutzer „seltsame schwarze Fenster” auf dem Desktop bemerkte und Screenshots davon machte. Dies ging einher mit PayPal-Überweisungen vom Konto des Benutzers, die nicht von diesem autorisiert worden waren.
In einem aktuellen Fall haben wir versucht, die Aktivitäten des Angreifers auf einem ESXi-Hypervisor zu rekonstruieren. Die auf dem System verfügbaren Protokolle waren sehr begrenzt, was die Analyse der Aktivitäten des Angreifers erschwerte. Gerade der ESXi-Hypervisor bietet detaillierte Protokolle, die bei entsprechender Konfiguration für die forensische Analyse genutzt werden können. Das Thema der Forensic Readiness im Allgemeinen wurde in einem früheren Artikel behandelt, dessen Lektüre sehr zu empfehlen ist. Dieser Artikel konzentriert sich auf Hypervisoren, die Risiken, denen sie ausgesetzt sind, und wie man sie schützen kann.