{"id":14963,"date":"2021-07-22T15:25:11","date_gmt":"2021-07-22T13:25:11","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=14963"},"modified":"2022-03-31T11:47:23","modified_gmt":"2022-03-31T09:47:23","slug":"digitale-forensik-triage","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/digitale-forensik-triage\/","title":{"rendered":"Digitale Forensik &#8211; Triage"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/digitale-forensik-triage\/#Die_Triage\" >Die Triage<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/digitale-forensik-triage\/#Relevante_Artefakte_fuer_eine_forensische_Analyse\" >Relevante Artefakte f\u00fcr eine forensische Analyse<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/digitale-forensik-triage\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Die_Triage\"><\/span>Die Triage<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Im Sinne der digitalen Forensik nimmt dieser Begriff eine andere Bedeutung an. Aus dem Englischen \u00fcbersetzt bedeutet dieser auch Selektierung und genau dies wird bei einer &#8222;Triage-Collection&#8220; durchgef\u00fchrt. Es werden nur die wichtigsten Artefakte f\u00fcr eine forensische Untersuchung gesichert, um Ressourcen zu sparen und schnell mit der Analyse zu beginnen zu k\u00f6nnen. Dies erm\u00f6glicht eine zeitnahe erste Einsch\u00e4tzung des Security Incidents.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Relevante_Artefakte_fuer_eine_forensische_Analyse\"><\/span>Relevante Artefakte f\u00fcr eine forensische Analyse<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>F\u00fcr die Durchf\u00fchrung einer forensischen Triage m\u00fcssen relevante Artefakte gesammelt und gesichert werden.<\/p>\n<p>Artefakte, die in dieser Phase eingesammelt werden, sind abh\u00e4ngig von der genutzten Software, des Betriebssystems und der Art des Vorfalls. In diesem Artikel werden Artefakte betrachten, welche bei einem Vorfall auf einem Windows-basierten System immer eingesammelt werden sollten, um ein bestm\u00f6gliches Bild \u00fcber die Geschehnisse zu erhalten.<\/p>\n<p>Angreifer oder sch\u00e4dliche Software nutzen oftmals die Windows-Registry als Persistenzmechanismus oder als Ablage f\u00fcr Payloads. Normalerweise legt Windows hier Konfigurationsdaten ab, \u00e4hnlich dem \/etc-Verzeichnis auf Linux-basierten Betriebssystemen. Die Windows-Registry ist eine verteilte Datenbank und besteht aus mehreren Dateien, sogenannten Hives, welche verteilt auf dem System abgelegt sind. Die wichtigsten Teile finden sich in folgendem Verzeichnis:<\/p>\n<pre>C:\\Windows\\System32\\Config<\/pre>\n<p>Hier sind die folgenden Dateien von besonderem Interesse:<\/p>\n<p>&#8211; DEFAULT<\/p>\n<p>&#8211; SAM<\/p>\n<p>&#8211; SECURITY<\/p>\n<p>&#8211; SYSTEM<\/p>\n<p>&#8211; COMPONENTS<\/p>\n<p>&#8211; ggfs.\u00a0Transaktionslogs mit der Endung *.log<\/p>\n<p>Ein in die Windows-Registry eingebundener weiterer Hive ist der Amcache. Dieser speichert Informationen \u00fcber die App Compatibility Schnittstelle, also wenn beispielsweise eine Applikation im &#8222;Windows 7 Modus&#8220; gestartet werden soll. Mit dem App Compat Cache will Microsoft die Abw\u00e4rtskompatibilit\u00e4t von Applikationen und Windows-Versionen erreichen. Aus forensischer Sicht sind hier die wertvollen Daten die letzten Ausf\u00fchrungen von Applikationen (inklusive der ersten Ausf\u00fchrung, Installationsdatum oder L\u00f6schdatum), aus welchem Pfad diese ausgef\u00fchrt wurden und der bereitgestellte SHA1-Hash.<\/p>\n<p>Mit diesem Hive zusammenh\u00e4ngend gibt es noch den SHIM-Cache, welcher zus\u00e4tzlich aufzeichnet, ob eine Applikation wirklich ausgef\u00fchrt wurde.<\/p>\n<p>Der Hive f\u00fcr den Amcache befindet sich an folgender Lokation:<\/p>\n<pre>C:\\Windows\\AppCompat\\Programs\\Amcache.hve\r\n\r\nC:\\Windows\\AppCompat\\Programs\\Amcache.hve.log*<\/pre>\n<p>Wenn eine aussagekr\u00e4ftige Audit-Policy auf den Systemen ausgerollt ist, geben die Event-Logs von Windows sehr viele wertvolle Informationen preis. Daher sollten auch die einzelnen Eventlog-Dateien, welche bei aktuellen Windows Versionen im EVTX-Format vorliegen, gesichert werden. Durch die Analyse k\u00f6nnen zeitliche Abl\u00e4ufe und Nutzeraktionen mit weiteren Artefakten in Zusammenhang gebracht werden. Die Eventlog-Dateien befinden sich im folgenden Verzeichnis:<\/p>\n<pre>C:\\Windows\\System32\\winevt\\logs<\/pre>\n<p>Besonders wichtig sind hier die folgenden Dateien:<\/p>\n<p>&#8211; System.evtx<\/p>\n<p>&#8211; Application.evtx<\/p>\n<p>&#8211; Security.evtx<\/p>\n<p>Weitere sich in diesem Ordner befindliche Dateien sollten ebenfalls gesichert werden, da unter Umst\u00e4nden die Log-Rotation relevante Eintr\u00e4ge \u00fcberschreiben k\u00f6nnte.<\/p>\n<p>Ein weiteres wertvolles Artefakt in Windows-basierten Systemen, welche mit dem NTFS-Dateisystem installiert wurden, ist die Master File Table (MFT). In ihr sind die Metadaten und Speicherorte f\u00fcr alle sich auf dem System befindlichen Dateien in einem Index eingetragen. Die Analyse der MFT kann Aufschluss \u00fcber gel\u00f6schte Dateien bieten, welche sich zu einem vorigen Zeitpunkt auf dem System befanden. Sogenanntes File Carving kann solche Dateien gegebenenfalls wiederherstellen und f\u00fcr eine Analyse verf\u00fcgbar machen.<\/p>\n<p>Die Master File Table befindet sich an folgender Lokation:<\/p>\n<pre>C:\\$MFT<\/pre>\n<p>F\u00fcr Persistenz oder eine verz\u00f6gerte Ausf\u00fchrung von sch\u00e4dlichem Code werden von Angreifern h\u00e4ufig Scheduled Tasks verwendet. Scheduled Tasks l\u00f6sen immer dann aus, sobald der dort hinterlegte Trigger zutrifft. Sie k\u00f6nnen daf\u00fcr sorgen, dass selbst nach entfernen der sch\u00e4dlichen Software eine Neuinfektion stattfinden kann.<\/p>\n<p>Hierbei werden diese Tasks in Form von Skripten an den folgenden Lokationen abgelegt:<\/p>\n<pre>C:\\Windows\\Tasks\\\r\n\r\nC:\\Windows\\System32\\Tasks\\<\/pre>\n<p>Zur Beschleunigung des Starts eines Programmes verwendet Windows Prefetch-Dateien. Wenn eine Applikation das erste Mal ausgef\u00fchrt wird, erzeugt Windows einen Prefetch-Eintrag. Dieser enth\u00e4lt unter anderem einen Ausf\u00fchrungsz\u00e4hler, den Applikationsnamen und den Zeitstempel der letzten Ausf\u00fchrung. Zus\u00e4tzlich enth\u00e4lt der Prefetch-Eintrag den Pfad, von welchem aus die Applikation gestartet worden ist.<\/p>\n<p>Prefetch-Dateien befinden sich im Verzeichnis:<\/p>\n<pre>C:\\Windows\\Prefetch<\/pre>\n<p>Windows Error Reporting (WER) ist ein Service, welcher ab Windows XP zur Verf\u00fcgung steht. Dieser Dienst erstellt Eintr\u00e4ge im Windows Event Log sowie wer-Dateien, welche f\u00fcr die verbesserte Problembehandlung genutzt werden k\u00f6nnen. Die wer-Dateien beinhalten Fehlercodes, Modulnamen und Versionsnummern. F\u00fcr eine Analyse k\u00f6nnen diese wertvoll sein, wenn bspw. Malware bei der Ausf\u00fchrung fehlschl\u00e4gt oder Dienste bzw. Programme zum Absturz bringt.<\/p>\n<p>Die WER-Dateien liegen auf dem Dateisystem im folgenden Ordner:<\/p>\n<pre>C:\\ProgramData\\Microsoft\\Windows\\WER\\<\/pre>\n<p>Zus\u00e4tzlich zu all diesen sehr tief im System verankerten Artefakten, gibt es auch einfach Dateipfade, welche typischerweise von Angreifern zur Ablage genutzt werden. Im Folgenden sind die Typischen aufgelistet:<\/p>\n<pre>- C:\\Windows\\temp\\\r\n\r\n- C:\\Users\\\r\n\r\n- C:\\Users\\&lt;Username&gt;\\AppData\\<\/pre>\n<p>Nebst diesen Artefakten, welche statisch auf dem Dateisystem zu finden sind, gibt es auch volatile Daten, welche nach einem Neustart des Systems verloren gehen w\u00fcrden. Wurde das System noch nicht neugestartet, kann ein Abbild des Arbeitsspeichers durchaus viele wichtige Informationen enthalten. Dieses sollte nach M\u00f6glichkeit zum Zeitpunkt der Sicherung erstellt werden und mit in die Analyse einflie\u00dfen, da dort z.B. bestehende Netzwerkverbindungen oder laufende Prozesse enthalten sind.<\/p>\n<p>Sollte es sich im Einzelfall um eine virtualisierte Infrastruktur handeln, kann ein Systemabbild ebenfalls \u00fcber den Hypervisor bereitgestellt werden und somit die gesamte Akquise durchaus vereinfachen, allerdings ist der Speicherbedarf f\u00fcr die Sicherung deutlich h\u00f6her.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit\"><\/span>Fazit<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>In diesem Artikel wurden nicht alle Artefakte im Detail betrachtet. Das Ziel der Triage eines Systems ist es, zeitnah eine Aussage \u00fcber den Grad der Kompromittierung treffen zu k\u00f6nnen.<\/p>\n<p>Generell sollte f\u00fcr den Ernstfall ein Prozess geschaffen werden, der mindestens die vorgestellten Artefakte sichert und f\u00fcr eine Analyse bereitstellt. Hierdurch kann die Analyse und die damit verbundene Wiederherstellungsphase beschleunigt werden.<\/p>\n<p>Die aufgef\u00fchrten Artefakte k\u00f6nnen teilweise nicht manuell \u00fcber den Explorer gesichert werden. SECUINFRA kann als Dienstleister, neben der Analyse sowie der Steuerung des Incidents, bei der Erstellung geeigneter Incident Response Prozesse sowie der ben\u00f6tigten Technology vollumf\u00e4nglich unterst\u00fctzen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In diesem Artikel werden Artefakte betrachten, welche bei einem Vorfall auf einem Windows-basierten System immer eingesammelt werden sollten, um ein bestm\u00f6gliches Bild \u00fcber die Geschehnisse zu erhalten.<\/p>\n","protected":false},"author":6,"featured_media":27634,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[79,80,66],"tags":[],"dpc_coauthors":[],"class_list":["post-14963","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-digital-forensics","category-incident-response","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=14963"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14963\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/27634"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=14963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=14963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=14963"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=14963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}