Forensische Analyse mit Autopsy

Auf Spurensuche

Die Analyse von Computersystemen nach einem Totalausfall, etwa nach einem Angriff mit Schadsoftware, ist die Aufgabe von Forensikspezialisten. Diese können mit entsprechenden Werkzeugen Logdaten, die Webhistorie oder Bilddaten rekonstruieren und sogenannte Indicators of Compromise aufspüren. In diesem Security-Tipp stellen wir Ihnen das Sleuthkit-Werkzeug Autopsy vor und zeigen, wie Sie damit forensische Analysen durchführen.
Wiederkehrende Abläufe in der IT sind einerseits zeitraubend, eignen sich andererseits aber ideal für eine Automatisierung. Im März-Heft beleuchtet ... (mehr)

Eine wichtige Aufgabe nach einem Cybervorfall in Unternehmen ist, neben der unverzüglichen Bereitstellung alternativer Systeme zur Sicherung des Geschäftsbetriebs, die Aufarbeitung des Vorfalls und die Analyse betroffener Systeme. Neben unzähligen kostenpflichtigen Werkzeugen für die Analyse und Rekonstruktion von Logs und Daten gibt es auch sehr gute, frei verfügbare und quelloffene Werkzeuge wie die Tools der Sleuthkit-Sammlung und die zugehörige grafische Benutzeroberfläche Autopsy [1].

Nur mit Abbildern arbeiten

Bevor Sie sich an die Analyse der Festplatteninhalte machen, sollten Sie zunächst ein komplettes Abbild der Festplatte anlegen. Zwar können Sie mit Autopsy grundsätzlich auch direkt im laufenden System arbeiten oder nur einzelne Ordner analysieren, um aber auf Nummer sicher zu gehen und nicht durch versehentliche Schreibzugriffe auf die Festplatte wichtige Daten zu zerstören, schließen Sie die Festplatte zunächst an ein weiteres System an und erstellen etwa unter Linux mit dd ein entsprechendes Abbild.

Ob Sie anschließend mit der Festplatte oder dem Abbild weiterarbeiten, hängt auch ein wenig von den Umständen ab. Autopsy selbst macht da keine Unterschiede und unterstützt neben klassischen dd-Images auch solche im "Expert Witness Compression Format" (EWF), einem proprietären Format der EnCase-Software [2] des Softwareherstellers Opentext, oder Abbilder von virtuellen Maschinen in den Dateiformaten VMDK und VHD.

Installieren Sie nun Autopsy. Wenn Sie unter Windows arbeiten, können Sie die aktuelle Version mit allen Abhängigkeiten direkt von der Sleuthkit-Webseite herunterladen und mit dem enthaltenen Wizard installieren. Unter Linux installieren Sie zunächst Sleuthkit mit dem Paketmanager der von Ihnen eingesetzten Distribution. Anschließend wählen Sie auf der Webseite den Download der Autopsy-ZIP-Datei. Nach dem Entpacken starten Sie im

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021