Inhalt
Die Triage
Im Sinne der digitalen Forensik nimmt dieser Begriff eine andere Bedeutung an. Aus dem Englischen übersetzt bedeutet dieser auch Selektierung und genau dies wird bei einer “Triage-Collection” durchgeführt. Es werden nur die wichtigsten Artefakte für eine forensische Untersuchung gesichert, um Ressourcen zu sparen und schnell mit der Analyse zu beginnen zu können. Dies ermöglicht eine zeitnahe erste Einschätzung des Security Incidents.
Relevante Artefakte für eine forensische Analyse
Für die Durchführung einer forensischen Triage müssen relevante Artefakte gesammelt und gesichert werden.
Artefakte, die in dieser Phase eingesammelt werden, sind abhängig von der genutzten Software, des Betriebssystems und der Art des Vorfalls. In diesem Artikel werden Artefakte betrachten, welche bei einem Vorfall auf einem Windows-basierten System immer eingesammelt werden sollten, um ein bestmögliches Bild über die Geschehnisse zu erhalten.
Angreifer oder schädliche Software nutzen oftmals die Windows-Registry als Persistenzmechanismus oder als Ablage für Payloads. Normalerweise legt Windows hier Konfigurationsdaten ab, ähnlich dem /etc-Verzeichnis auf Linux-basierten Betriebssystemen. Die Windows-Registry ist eine verteilte Datenbank und besteht aus mehreren Dateien, sogenannten Hives, welche verteilt auf dem System abgelegt sind. Die wichtigsten Teile finden sich in folgendem Verzeichnis:
C:\Windows\System32\Config
Hier sind die folgenden Dateien von besonderem Interesse:
– DEFAULT
– SAM
– SECURITY
– SYSTEM
– COMPONENTS
– ggfs. Transaktionslogs mit der Endung *.log
Ein in die Windows-Registry eingebundener weiterer Hive ist der Amcache. Dieser speichert Informationen über die App Compatibility Schnittstelle, also wenn beispielsweise eine Applikation im “Windows 7 Modus” gestartet werden soll. Mit dem App Compat Cache will Microsoft die Abwärtskompatibilität von Applikationen und Windows-Versionen erreichen. Aus forensischer Sicht sind hier die wertvollen Daten die letzten Ausführungen von Applikationen (inklusive der ersten Ausführung, Installationsdatum oder Löschdatum), aus welchem Pfad diese ausgeführt wurden und der bereitgestellte SHA1-Hash.
Mit diesem Hive zusammenhängend gibt es noch den SHIM-Cache, welcher zusätzlich aufzeichnet, ob eine Applikation wirklich ausgeführt wurde.
Der Hive für den Amcache befindet sich an folgender Lokation:
C:\Windows\AppCompat\Programs\Amcache.hve C:\Windows\AppCompat\Programs\Amcache.hve.log*
Wenn eine aussagekräftige Audit-Policy auf den Systemen ausgerollt ist, geben die Event-Logs von Windows sehr viele wertvolle Informationen preis. Daher sollten auch die einzelnen Eventlog-Dateien, welche bei aktuellen Windows Versionen im EVTX-Format vorliegen, gesichert werden. Durch die Analyse können zeitliche Abläufe und Nutzeraktionen mit weiteren Artefakten in Zusammenhang gebracht werden. Die Eventlog-Dateien befinden sich im folgenden Verzeichnis:
C:\Windows\System32\winevt\logs
Besonders wichtig sind hier die folgenden Dateien:
– System.evtx
– Application.evtx
– Security.evtx
Weitere sich in diesem Ordner befindliche Dateien sollten ebenfalls gesichert werden, da unter Umständen die Log-Rotation relevante Einträge überschreiben könnte.
Ein weiteres wertvolles Artefakt in Windows-basierten Systemen, welche mit dem NTFS-Dateisystem installiert wurden, ist die Master File Table (MFT). In ihr sind die Metadaten und Speicherorte für alle sich auf dem System befindlichen Dateien in einem Index eingetragen. Die Analyse der MFT kann Aufschluss über gelöschte Dateien bieten, welche sich zu einem vorigen Zeitpunkt auf dem System befanden. Sogenanntes File Carving kann solche Dateien gegebenenfalls wiederherstellen und für eine Analyse verfügbar machen.
Die Master File Table befindet sich an folgender Lokation:
C:\$MFT
Für Persistenz oder eine verzögerte Ausführung von schädlichem Code werden von Angreifern häufig Scheduled Tasks verwendet. Scheduled Tasks lösen immer dann aus, sobald der dort hinterlegte Trigger zutrifft. Sie können dafür sorgen, dass selbst nach entfernen der schädlichen Software eine Neuinfektion stattfinden kann.
Hierbei werden diese Tasks in Form von Skripten an den folgenden Lokationen abgelegt:
C:\Windows\Tasks\ C:\Windows\System32\Tasks\
Zur Beschleunigung des Starts eines Programmes verwendet Windows Prefetch-Dateien. Wenn eine Applikation das erste Mal ausgeführt wird, erzeugt Windows einen Prefetch-Eintrag. Dieser enthält unter anderem einen Ausführungszähler, den Applikationsnamen und den Zeitstempel der letzten Ausführung. Zusätzlich enthält der Prefetch-Eintrag den Pfad, von welchem aus die Applikation gestartet worden ist.
Prefetch-Dateien befinden sich im Verzeichnis:
C:\Windows\Prefetch
Windows Error Reporting (WER) ist ein Service, welcher ab Windows XP zur Verfügung steht. Dieser Dienst erstellt Einträge im Windows Event Log sowie wer-Dateien, welche für die verbesserte Problembehandlung genutzt werden können. Die wer-Dateien beinhalten Fehlercodes, Modulnamen und Versionsnummern. Für eine Analyse können diese wertvoll sein, wenn bspw. Malware bei der Ausführung fehlschlägt oder Dienste bzw. Programme zum Absturz bringt.
Die WER-Dateien liegen auf dem Dateisystem im folgenden Ordner:
C:\ProgramData\Microsoft\Windows\WER\
Zusätzlich zu all diesen sehr tief im System verankerten Artefakten, gibt es auch einfach Dateipfade, welche typischerweise von Angreifern zur Ablage genutzt werden. Im Folgenden sind die Typischen aufgelistet:
- C:\Windows\temp\ - C:\Users\ - C:\Users\<Username>\AppData\
Nebst diesen Artefakten, welche statisch auf dem Dateisystem zu finden sind, gibt es auch volatile Daten, welche nach einem Neustart des Systems verloren gehen würden. Wurde das System noch nicht neugestartet, kann ein Abbild des Arbeitsspeichers durchaus viele wichtige Informationen enthalten. Dieses sollte nach Möglichkeit zum Zeitpunkt der Sicherung erstellt werden und mit in die Analyse einfließen, da dort z.B. bestehende Netzwerkverbindungen oder laufende Prozesse enthalten sind.
Sollte es sich im Einzelfall um eine virtualisierte Infrastruktur handeln, kann ein Systemabbild ebenfalls über den Hypervisor bereitgestellt werden und somit die gesamte Akquise durchaus vereinfachen, allerdings ist der Speicherbedarf für die Sicherung deutlich höher.
Fazit
In diesem Artikel wurden nicht alle Artefakte im Detail betrachtet. Das Ziel der Triage eines Systems ist es, zeitnah eine Aussage über den Grad der Kompromittierung treffen zu können.
Generell sollte für den Ernstfall ein Prozess geschaffen werden, der mindestens die vorgestellten Artefakte sichert und für eine Analyse bereitstellt. Hierdurch kann die Analyse und die damit verbundene Wiederherstellungsphase beschleunigt werden.
Die aufgeführten Artefakte können teilweise nicht manuell über den Explorer gesichert werden. SECUINFRA kann als Dienstleister, neben der Analyse sowie der Steuerung des Incidents, bei der Erstellung geeigneter Incident Response Prozesse sowie der benötigten Technology vollumfänglich unterstützen.