Forensische Toolkits zur Rekonstruktion von Browser-Sessions

stockbksts, 123RF

Daten-Archäologie

, ,
Browser rücken zunehmend in den Fokus von Kriminellen. Als universelle Schnittstelle sind sie ein lohnendes, attraktives und oft auch leicht verwundbares Angriffsziel. Aber auch die Gegenseite rüstet auf: Mit Forensik-Tools, die Browser-Sessions rekonstruieren können.
ADMIN 11/13 stellt die besten Lösungen vor und klärt, ob Browser-Plugins, Anonymisierer sowie Verschlüsselung wirklich helfen. Weitere Themen: Small ... (mehr)

IT-Forensik

Der Leitfaden »IT-Forensik« des Bundesamts für Sicherheit in der Informationstechnik (BSI) [1] definiert IT-Forensik als »die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems.«

Bei der IT-Forensik wird bezüglich des Zeitpunktes der Untersuchung zwischen der Live-Forensik und der Post-mortem-Analyse unterschieden:

Die Live-Forensik findet vor dem erstmaligen Herunterfahren des betroffenen Systems nach Eintritt des Vorfalls statt. Dabei liegt der Fokus auf der Sicherung und Analyse flüchtiger Daten, wie dem Arbeitsspeicher, gestartete Prozesse und bestehende Netzverbindungen. Da es im Zuge der Datensicherung zu einer Veränderung dieser Daten kommt, sind jedoch die Analyseergebnisse anfechtbar.

Die Post-mortem-Analyse wiederum findet nach dem erstmaligen Herunterfahren des Systems statt. Dadurch gehen die flüchtigen Daten verloren, weswegen bei der Untersuchung des Datenträgers nicht-flüchtige Daten (umbenannte, gelöschte, versteckte oder verschlüsselte Dateien) im Vordergrund stehen.

Die schnellen Innovationszyklen machen es praktisch unmöglich, ein System gegen alle Schwachstellen abzusichern. Hatte ein Angriff Erfolg, ist es aber umso wichtiger, zumindest das Vorgehen der Kriminellen aufzuklären, um Beweise zu sichern oder um sich gegen eine Wiederholung zu wappnen.

Um zu untersuchen, was eine Post-mortem-Analyse (Kasten »IT-Forensik« ) nach einem Angriff auf den Browser zu leisten vermag, gehen wir von folgender Beispielsituation aus: Ein Angestellter benutzt in der Mittagspause ohne Einwilligung den Rechner am benachbarten Arbeitsplatz seines Kollegen, um unter dessen Namen und auf dessen Kosten bei Amazon diverse Bücher zu bestellen. Um seine Tat zu verschleiern, fährt er den Rechner anschließend herunter. Was ließe sich dann noch nachweisen?

Auf diesem Szenario aufbauend definieren Forscher allgemeine und Szenario-spezifische Anforderungen an forensische Toolsammlungen, anhand derer sie später einschlägige Toolkits vergleichen.

Zu den allgemeinen Anforderungen an die Toolsammlungen zählt etwa eine Such- und Filterfunktion zur Eingrenzung der relevanten Daten. Zudem sollen die Forensik-Tools eine Möglichkeit zur Kombination von Daten bieten, wodurch sich Abläufe reproduzieren und Zusammenhänge zwischen verschiedenen Datenquellen erkennen lassen. Weitere Anforderungen betreffen die Protokollierung der Ein- und Ausgaben und die Möglichkeit, verschiedene Image-Dateitypen einzubinden.

Zu den Szenario-spezifischen Anforderungen gehört die Unterstützung beim Auffinden und Verarbeiten der Browser-Artefakte oder auch von ungewollten Änderungen an Diensten oder deren Konfiguration. Der Browser oder seine externen Komponenten könnten beispielsweise von Malware infiziert sein, der Angreifer könnte die Netzwerk-Konfiguration so geändert haben, dass der Benutzer ungewollt mit einem schädlichen Nameserver arbeitet, und so weiter.

Forensische Untersuchung

Bei der professionellen forensischen Untersuchung orientiert sich der Ermittler bei seinem Vorgehen an Modellen. Der vorliegende Artikel benutzt das Secure-Analyse-Present-Modell (siehe Kasten »SAP-Modell« ).

SAP-Modell

Das Secure-Analyse-Present-Modell (SAP) ist ein simples Modell, das beschreibt, wie bei einer forensischen Untersuchung vorzugehen ist. Es richtet sich auf die Verfolgung von Straftaten aus. Die Secure-Phase dient der Identifizierung potenzieller Datenquellen, die anschließend korrekt und nach dem Vier-Augen-Prinzip gesichert werden. Dabei entseht eine forensische Duplikation.

Die Analyse-Phase besteht aus der Vorbereitung, Durchführung und Interpretation. Vorbereitend wird eine Kopie der Master-Kopie erstellt. Im Zuge der Durchführung wird nach relevanten Daten gesucht, die auf Zusammenhänge hin untersucht werden. Abschließend interpretiert man die Daten, indem man ihre Bedeutung für die Untersuchung kritisch bewertet. In der Present-Phase legt der Untersucher eine verständliche und vollständige Dokumentation an und präsentiert die Resultate zielgruppengerecht.

Mit den zum Vergleich anstehenden forensischen Toolsammlungen untersuchten die Autoren das Opfersystem, um die Browser-Sitzung zu rekonstruieren. In der Secure-Phase sicherten sie dabei zunächst die Festplatte mithilfe des Tools »dcfldd« , einer um forensische Features erweiterten Version des GNU-Tools »dd« . Die Integrität gewährleistete eine mit »md5deep« erzeugte Hashfunktion (die Integritätssicherung stand allerdings nicht im Mittelpunkt der Untersuchung. In der Praxis sollte man SHA den Vorzug geben).

Die Analyse erfolgte auf einer forensischen Workstation in einer virtuellen Umgebung (VMware vSphere ESXi). Verglichen wurden nur aktive Open-Source-Projekte, die zur Post-mortem-Analyse eines Windows-7-Systems geeignet sind. Ferner erfolgte die Auswahl anhand der Popularität der Toolsammlungen (siehe Tabelle 1). Die Untersucher achteten auch darauf, inwiefern die Standardinstallationen der Toolsammlungen für das gegebene Szenario geeignet waren. Der besseren Vergleichbarkeit wegen wurden keine zusätzlichen Pakete nachinstalliert.

Stellvertretend für alle Tools aus Tabelle 1 sollen hier OSForensics, Autopsy und CAINE betrachtet werden, die positiv hervorstachen.

OSForensics

OSForensics [3] ist ein Windows-Tool von PassMark Software zur Live-Forensik und Post-mortem-Analyse. Für diesen Vergleich wurde die Version 1.2 (Build 1003) untersucht. Mittlerweile ist die Version 2.0 erschienen. Die forensische Duplikation der originalen Festplatte wurde als zusätzliche virtuelle Festplatte im Read-Only-Modus eingebunden.

Daten können mittels Stichwortsuche, Sortierung nach Zeitstempel, Anzeige der letzten Aktivitäten, der Registry-Keys und der im Browser gespeicherten Zugangsdaten gefiltert werden. Dabei gibt es intern eine Datei-, Hex-, String- und Textansicht. Dateien lassen sich jedoch auch mit Hilfe externer Programme betrachten und können verlinkt werden.

Nach Abschluss der Untersuchung kann der Ermittler einen Fallbericht mit Fall-/Ermittlername, exportierten Dateien, Anhängen, Notizen, E-Mails und Verlinkungen mit oder ohne Javascript als HTML-Datei generieren. Zusätzlich ist eine Vorlage für das Protokollieren der forensischen Beweiskette vorhanden.

OSForensics lieferte verschiedene Szenario-spezifische Ergebnisse: Eine Stichwortsuche nach der E-Mail-Adresse des Opfers führte wie Abbildung 1 zeigt zu »F:\Users\Sandy\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\Low\Content.IE5\BYO5TPM7\display[1].html« . Öffnet man das File in einem Browser, erscheint die Kaufbestätigung von Amazon. Die Stichwortsuche nach dem Titel des gekauften Buches führte zum File »Opfersystem:\Users\Sandy\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\Low\Content.IE5\S6OU8I07\view-upsell[1].html« , das den Amazon-Einkaufswagen darstellt.

Abbildung 1: Ergebnis der Suche nach der Opfer-E-Mail-Adresse (OSForensics).

Die Kategorie Bilder lieferte die in Abbildung 2 erkennbaren Treffer aus den Temporary Internet Files, die mit dem gekauften Artikel übereinstimmen. Der Registry-Eintrag unter dem Key »Software\Microsoft\InternetExplorer\TypedURLs« zeigt die letzten URL-Eingaben in die Adresszeile des IEs (Abbildung 3). Vollzogene Anmeldevorgänge konnten mithilfe des Website-Passwords-Moduls ohne Zugangsdaten eingesehen werden, da der Nutzer diese nicht im Browser gespeichert hat.

Abbildung 2: Bilder des gekauften Artikels im Cache (OSForensics).
Abbildung 3: Registry-Einträge (OSForensics).

Dass man Registry-Dateien automatisch erkennen kann, ist eine Bereicherung für die forensische Untersuchung. Trotzdem ist Fachwissen nötig und eine manuelle Suche nach Daten durch den forensischen Ermittler unabdingbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019