Juerg Fischer             Security Analyst             Sunworks GmbH, Ennetbaden             Microsoft Certified Trainer, ...
» Forensics Grundlagen            » ...und in virtuellen Umgebungen?            » Unterschiede virtueller Umgebungen      ...
3©SUNWORKS            Digicomp – Hacking Day `11S
» 3 Beispiele               ˃ Provider               ˃ Maschinenbaufirma               ˃ Industriebetrieb mit eigener SW-E...
» Was ist möglich?              ˃ Wiederherstellung gelöschter Daten              ˃ Erkennung wann sich Dateien geändert h...
1. Computer Crime wird festgestellt            2. Durchsuchungsbefehl wird beantragt (falls notwendig)            3. First...
» Datenverlust während der Analyse minimieren               ˃ System ausschalten?               ˃ Vom Netz trennen?       ...
» Datenverlust während der Analyse minimieren               ˃ System ausschalten?               ˃ Vom Netz trennen?       ...
9©SUNWORKS            Digicomp – Hacking Day `11S
» Grundsatzfragen              ˃ Was erwarten wir?              ˃ Wo sind die Daten?              ˃ Wem gehören die Daten?...
» Aufsetzen relativ einfach            » Vorbereitete Appliances können nur aus dem              Internet heruntergeladen ...
» Ist die Umgebung Physikalisch oder Virtuell?            » Ist die Virtualisierung Hardware- oder Software-              ...
Server Virtualisierung                  Desktop Virtualisierung               ˃ VMWare                                ˃ VM...
» Via USB zu starten            » MojoPac               ˃ Entwickelt von Ringcube               ˃ Encapsulation eines komp...
15©SUNWORKS            Digicomp – Hacking Day `11S
» Sehr populär            » Unterschiedliche Szenarien notwendig ob              Statisch oder Live            » Sehr oft ...
» VM innerhalb eines Forensic Images ist              schwierig zu durchsuchen            » Typische Forensic Software erk...
»   FTK Imager            »   Liveview (bei Workstation und ESX)            »   Encase            »   MMLS & DD           ...
» Unterschiede zwischen dem              Original und der virtuellen              Maschine können mit Tools wie           ...
» VMEM            » Analyse des Speichers              einer VM                                                           ...
Typ     Beschreibung            vmx     Primäres Virtual Machine Configuration File            vmsd    Snapshot Descrypter...
» Erstellen eines Snapshots und der .vmsm-Datei              der VM ohne irgend etwas im Code des              Gastsystems...
» Verbinden auf die ESXi-    Befehl                  Funktion              Service Konsole über SSH   Vim-cmd vmsvc/-     ...
» Sysinternal Tools vor dem Shutdown virtueller              Maschinen verwenden um Services, offene              Ports un...
25©SUNWORKS            Digicomp – Hacking Day `11S
» Können Sie dem OS vertrauen?              ˃ Kernel Level Rootkits              ˃ Wissen Sie wem Sie vertrauen?          ...
»   Interaktion zwischen zwei Computern            »   Internet macht die Analyse bedeutend komplexer            »   Versc...
» Die meisten Forensic Tools booten auf ihrem OS              ihre Basisdienste               ˃ Informationen müssen aus d...
» Grosse Festplatten               ˃   Kapazität nimmt massiv zu               ˃   Terabyte Systems sind gross aber schon ...
» Grosse Festplatten               ˃   Kapazität nimmt massiv zu               ˃   Terrabyte Systems sind gross aber schon...
» Zeitstempel immer notwendig, da er die              Referenz für eine Veränderung ist            » Vorsicht bei Forensic...
» Folgende Formattypen können analysiert werden:               ˃ DMF, VHD, ISO, IMA, IMZ            » Disk Image vom dem Z...
» Scripts können via ADS versteckt werden            » Suche schwierig, da Dateien nicht im Explorer              angezeig...
» c:programme oder c:program files               ˃   VMWare               ˃   Microsoft Virtual PC               ˃   Bochs...
» Registry               ˃ Tool RegRipper um schnell Informationen zu finden            » Ntuser.dat            » Ntuser.l...
» In Netzwerkkomponenten            » Im RAM            » Auf Businesskritischen Mascheinen              ˃ können nicht ei...
» Es werden die selben Produkte wie für die              Analyse verwendet            » Nur auf einem relativ “ruhigem” Sy...
»   Registry Settings        reg.exe            »   Microsoft Security IT    rockxp            »   Event Logs             ...
» Systemzeit             time/t            » Eingeloggte Benutzer   psloggedon, net sessions,                             ...
» Windows               ˃   Offene Files               ˃   Offene Network Connections               ˃   Registry Activity ...
» Wenn virtuelle Maschine erstellt wird, wird              Speicher alloziert.            » Änderungen am physikalischen S...
» VMWare teilt seinen virtuellen Maschinen              Speicher zu            » Direkter Zugriff der VM auf Speicher nich...
» Auswertung des Speichers erfolgt über die              .vmem-Datei.            » Analyse kann über Open Source Tools wie...
» Ein Trusted Dump wurde erstellt, was nun?            » Der Dump wird analysiert um relevante Informationen              ...
45©SUNWORKS            Digicomp – Hacking Day `11S
» Folgende Komponenten werden überprüft:              ˃   Windows Registry              ˃   Auslagerungsdatei             ...
» Daten              ˃ Dateien              ˃ Ordner            » Metadaten              ˃ Zeitstempel (Ändern, Zugriff, E...
» Daten-Wiederherstellung verlangt Wissen über die              Dateisystem-Internals            » Disk Layout            ...
» Volatile Daten können einfach modifiziert werden              oder verloren gehen            » Folgende Volatilen Daten ...
» Nicht Volatile Daten werden verwendet für den              Secondary Storage und bestehen über eine              lange Z...
» Mit einer Live-Analyse werden viele Infos              verfügbar.            » Für die „kompletten“ Daten ist aber eine ...
» Mit einer Live-Analyse werden viele Infos              verfügbar.            » Für die „kompletten“ Daten ist aber eine ...
53©SUNWORKS            Digicomp – Hacking Day `11S
Einfache Tools                Integrierte Tools            » Viele einfachen Tools       » Open Source              reiche...
» Helix basiert auf einer Knoppix Live Linux CD            » Direkter Boot in die Linux-Umgebung möglich            » Kern...
» Helix läuft in zwei verschiedenen Modes               ˃ Windows and Linux            » Im Windows Mode läuft es als Stan...
» CAINE (Computer Aided Investigative              Environment) ist eine italienische GNU/Linux              Live Distribu...
Folgende Komponenten sind in Accessdata              vorhanden:            » Password Recovery Toolkit               ˃ Pas...
» Der FTK ermöglicht eine umfassende              Forensische Analyse mit expliziter Case-              Sicherheit        ...
» „DIE“ Forensicslösung            » Wird vom Gros der Gerichte anerkannt            » Auch in grossen Umgebungen einsetzb...
Open Source Tools         Kommerzielle Tools            » Kostenlos herunter-     » Zum Teil teure Produkte              z...
Forensische Analyse mit Helix und Forensic Tool Kit                                                                       ...
» Fazit              ˃ Forensics ist eine sehr vielfältige Aufgabe              ˃ Grösste Gefahr einer optimalen Analyse s...
Juerg Fischer                                                          Security Analyst                                   ...
Nächste SlideShare
Wird geladen in …5
×

6 jürg fischer it forensics in virtuellen umgebungen

1.181 Aufrufe

Veröffentlicht am

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.181
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
16
Aktionen
Geteilt
0
Downloads
23
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

6 jürg fischer it forensics in virtuellen umgebungen

  1. 1. Juerg Fischer Security Analyst Sunworks GmbH, Ennetbaden Microsoft Certified Trainer, EC-Council Certified Instructor©SUNWORKSS
  2. 2. » Forensics Grundlagen » ...und in virtuellen Umgebungen? » Unterschiede virtueller Umgebungen » Live Forensics » Forensics der Hostsysteme » Unterstützende Tools (Kommerzielle und Open Source) » Live Demo » Fazit 2©SUNWORKS Digicomp – Hacking Day `11S
  3. 3. 3©SUNWORKS Digicomp – Hacking Day `11S
  4. 4. » 3 Beispiele ˃ Provider ˃ Maschinenbaufirma ˃ Industriebetrieb mit eigener SW-Entwicklung » Forensics-Begriff auf alle Seiten offen » Oft Interpretationssache oder Verbund mit anderen Services wie Pentest, Ethical Hacking 4©SUNWORKS Digicomp – Hacking Day `11S
  5. 5. » Was ist möglich? ˃ Wiederherstellung gelöschter Daten ˃ Erkennung wann sich Dateien geändert haben, modifiziert wurden, gelöscht wurden ˃ Überprüfung welche Geräte angeschlossen wurden ˃ Welche Applikationen wurden von einem Benutzer installiert oder deinstalliert? ˃ Welche Websites wurden besucht? ˃ Welche Mails wurden mit welchen Attachments verschickt 5©SUNWORKS Digicomp – Hacking Day `11S
  6. 6. 1. Computer Crime wird festgestellt 2. Durchsuchungsbefehl wird beantragt (falls notwendig) 3. First Responder Prozeduren werden durchgeführt 4. Beweismittel werden zusammengetragen 5. Beweismittel werden geschützt ins Labor transportiert 6. 2 Bit-Stream Kopien werden erstellt 7. Chain of Custody wird erstellt 8. Originale Beweismittel werden an einem sicheren Ort gelagert 9. Kopie des Images wird analysiert 10.Forensic Report wird erstellt 6©SUNWORKS Digicomp – Hacking Day `11S
  7. 7. » Datenverlust während der Analyse minimieren ˃ System ausschalten? ˃ Vom Netz trennen? » Daten 1:1 kopieren ˃ Memory ˃ Partitionen (Harddisks) » Nur Kopien analysieren » Erkenntnisse und Vorgehensweise notieren » Während der forensischen Analyse darf nichts verändert werden 7©SUNWORKS Digicomp – Hacking Day `11S
  8. 8. » Datenverlust während der Analyse minimieren ˃ System ausschalten? ˃ Vom Netz trennen? » Daten 1:1 kopieren ˃ Memory ˃ Partitionen (Harddisks) » Nur Kopien analysieren » Erkenntnisse und Vorgehensweise notieren » Während der forensischen Analyse darf nichts verändert werden 8©SUNWORKS Digicomp – Hacking Day `11S
  9. 9. 9©SUNWORKS Digicomp – Hacking Day `11S
  10. 10. » Grundsatzfragen ˃ Was erwarten wir? ˃ Wo sind die Daten? ˃ Wem gehören die Daten? ˃ Welche Forensik Technik verwenden wir? ˃ Wie bekomme ich Daten aus virtuellen Maschinen oder der Cloud? ˃ Welche Tools verwende ich dazu? 10©SUNWORKS Digicomp – Hacking Day `11S
  11. 11. » Aufsetzen relativ einfach » Vorbereitete Appliances können nur aus dem Internet heruntergeladen werden » Bridge Funktion ermöglicht schnellen Netzwerkzugriff via Hostsystem » Durch NAT kann auch nicht gemanagter Verkehr mit dem Netzwerk statt finden. ˃ Malicious Software Installation ˃ Netzwerk Schwachstellen ˃ Clients mit fehlgeleiteten Verbindungen 11©SUNWORKS Digicomp – Hacking Day `11S
  12. 12. » Ist die Umgebung Physikalisch oder Virtuell? » Ist die Virtualisierung Hardware- oder Software- basierend? » Sind identifizierbare Mac Adressen vorhanden? » Sind identifizierbare Herstellerinformationen verfügbar? » Sind identifizierbare Hardware Drives vorhanden? 12©SUNWORKS Digicomp – Hacking Day `11S
  13. 13. Server Virtualisierung Desktop Virtualisierung ˃ VMWare ˃ VMWare + Linux und Windows + Komplette Virtualisierung möglich Hostsysteme möglich ˃ Microsoft Virtual PC + bare-metal möglich + Beliebige Windows Hostsysteme möglich ˃ Microsoft Virtual Server ˃ Windows Virtual PC (Windows 7) + Windows Hostsysteme + setzt Hardware Virtualisierungs- ˃ Citrix XEN Server Features voraus + Bare-metal System ˃ XENSource + Citrix, alle bekannten Gastsysteme ˃ OracleVM ˃ Parallels + Für Oracle und nicht-Oracle- Anwendungen + Windows, Linux und Mac OSX Plattformen ˃ SUN Virtual Box + Mac OSX, Linux und Windows 13©SUNWORKS Support Digicomp – Hacking Day `11S
  14. 14. » Via USB zu starten » MojoPac ˃ Entwickelt von Ringcube ˃ Encapsulation eines kompletten Windows Desktops » MokaFive ˃ Spinoff der University Stanford ˃ Basiert auf einem Thin Client Modell » Portable Virtualbox ˃ Entwickelt von Innotek ˃ SUN übernahm 2008 den Betrieb 14©SUNWORKS Digicomp – Hacking Day `11S
  15. 15. 15©SUNWORKS Digicomp – Hacking Day `11S
  16. 16. » Sehr populär » Unterschiedliche Szenarien notwendig ob Statisch oder Live » Sehr oft als Testplattform verwendet » Möglichkeit Veränderungen zu löschen und mit dem vorherigen Snapshot zu starten 16©SUNWORKS Digicomp – Hacking Day `11S
  17. 17. » VM innerhalb eines Forensic Images ist schwierig zu durchsuchen » Typische Forensic Software erkennt die VM- Dateien als unbekannte Dateitypen » Images können aber bei verschiedenen Virtualisierungslösungen gemounted werden » Einige Forensic Software Lösungen erlauben VMs zu laden und somit zu analysieren. Somit wird die vmdk-Datei einem Case zugeordnet. » Kommerzielle Tools (Bsp. Encase) erkennen die Festplatten/Partitionen der VMs 17©SUNWORKS Digicomp – Hacking Day `11S
  18. 18. » FTK Imager » Liveview (bei Workstation und ESX) » Encase » MMLS & DD » CAINE » Helix » … 18©SUNWORKS Digicomp – Hacking Day `11S
  19. 19. » Unterschiede zwischen dem Original und der virtuellen Maschine können mit Tools wie Compare Snapshots aufgezeigt werden. » Die Idee dabei ist es zwei Snapshots zu vergleichen (ein Original und ein mit Malware infiziertes System. » Ein Vergleich der Dateien mit einem Hex-Editor ist wesentlich schwieriger. » Integriert ist eine Search Engine welche nach Erweiterungen wie .sys oder .exe sucht. Mit einer Erweiterung der Suchregeln (zB. System32 wird die Suche noch effizienter. 19©SUNWORKS Digicomp – Hacking Day `11S
  20. 20. » VMEM » Analyse des Speichers einer VM 20©SUNWORKS Digicomp – Hacking Day `11S
  21. 21. Typ Beschreibung vmx Primäres Virtual Machine Configuration File vmsd Snapshot Descrypter File vmtm Configuration File for Teaming Funktionalitäten vmdk Disk Descripter File Log VMWare Logfiles nvram Bios Settings der VM vmss Suspend File, Status der Suspended VM. vmsn Snapshot Files vmsd Snapshot Descripter File vmem Auslagerungsdatei der VM 21©SUNWORKS Digicomp – Hacking Day `11S
  22. 22. » Erstellen eines Snapshots und der .vmsm-Datei der VM ohne irgend etwas im Code des Gastsystems zu verändern. » Erstellen der Integrität der Evidence Files. » Einhalten der «Chain of custody». 22©SUNWORKS Digicomp – Hacking Day `11S
  23. 23. » Verbinden auf die ESXi- Befehl Funktion Service Konsole über SSH Vim-cmd vmsvc/- Löscht die .vmdk destroy vmid und .vmx Dateien » Verwendung des CLI- auf der Festplatte Interfaces chkconfig –l Zeigt Daemons welche auf dem » Verwenden des esxcfg- Hypervisor laufen info Command esxcfg –info Zeigt die Wealth Informationen eines ESX-Hosts auf Esxcfg –nics-l Zeigt die Network Interface 23©SUNWORKS Informationen an Digicomp – Hacking Day `11S
  24. 24. » Sysinternal Tools vor dem Shutdown virtueller Maschinen verwenden um Services, offene Ports und weitere Informationen zu sichern. Tool Funktion Accessenum.exe Unterstützt Benutzer Berechtigungs- Informationen auf den Dateien und der Registry durch die API Autoruns.exe Informationen aus dem Bootvorgang Pendmoves.exe Dateien welche via Schedule umbenannt oder gelöscht werden im nächsten Bootvorgang Logonsessions.exe Aktive Logon Sessions 24©SUNWORKS Digicomp – Hacking Day `11S
  25. 25. 25©SUNWORKS Digicomp – Hacking Day `11S
  26. 26. » Können Sie dem OS vertrauen? ˃ Kernel Level Rootkits ˃ Wissen Sie wem Sie vertrauen? » Whole Disk Encryption ˃ BitLocker, EFS, CFS, TCFS, sfs, etc. ˃ Schalten Sie das System aus und dann, ooops … » Was machen Sie mit einem Memory Dump? ˃ Rekonstruieren der Prozesse (running and dead?) ˃ Suchen mit entsprechenden Filtern 26©SUNWORKS Digicomp – Hacking Day `11S
  27. 27. » Interaktion zwischen zwei Computern » Internet macht die Analyse bedeutend komplexer » Verschlüsselung, Steganography » “Sicheres” Löschen » Betriebssystemfunktionen! ˃ ext3 Dateisystem in Linux ˃ Secure Recycle Bin in Mac OS X » Kriminelle wenden immer bessere Techniken an » Einige Daten sind nur im RAM vorhanden 27©SUNWORKS Digicomp – Hacking Day `11S
  28. 28. » Die meisten Forensic Tools booten auf ihrem OS ihre Basisdienste ˃ Informationen müssen aus dem physikalischen Speicher gelesen werden ˃ Disk Dumping » User-Level Rootkits ˃ Modifizieren von Systemaufrufen (ls, ps, du, df) ˃ Ändern der Disk-Space Statistik, Auflisten der laufenden Prozesse, etc. 28©SUNWORKS Digicomp – Hacking Day `11S
  29. 29. » Grosse Festplatten ˃ Kapazität nimmt massiv zu ˃ Terabyte Systems sind gross aber schon weit verbreitet ˃ Searching (oder indexing) braucht Zeit ˃ Mirroring braucht Zeit » Minimale Downtime (Mission Critical Systeme) » Schwieriger um Beweise zu sammeln » Einige Daten sind nur im RAM vorhanden 29©SUNWORKS Digicomp – Hacking Day `11S
  30. 30. » Grosse Festplatten ˃ Kapazität nimmt massiv zu ˃ Terrabyte Systems sind gross aber schon weit verbreitet ˃ Searching (oder indexing) braucht Zeit ˃ Mirroring braucht Zeit » Minimale Downtime (Mission Critical Systeme) » Schwieriger um Beweise zu sammeln 30©SUNWORKS Digicomp – Hacking Day `11S
  31. 31. » Zeitstempel immer notwendig, da er die Referenz für eine Veränderung ist » Vorsicht bei Forensics auf dem originalem System (bei einem Start von Windows oder Linux werden mehr als 1000 Dateien verändert) » Verdächtige Prozesse dürfen nicht verändert werden » Nur vertrauenswürdige Programme verwenden (Angreifer baut meistens Hintertüren, … ein) » Ordnungsgemässer Shutdown könnte Beweise vernichten 31©SUNWORKS Digicomp – Hacking Day `11S
  32. 32. » Folgende Formattypen können analysiert werden: ˃ DMF, VHD, ISO, IMA, IMZ » Disk Image vom dem Zielsystem kopieren » Hash über das Image legen » Disk mit WinImage analysieren und Evidence Dateien herauslösen » Zweiten Hash über das Image legen um zu bestätigen dass sich das Image nicht verändert hat » Herausgelöste Dateien in Forensic Tool laden und analysieren 32©SUNWORKS Digicomp – Hacking Day `11S
  33. 33. » Scripts können via ADS versteckt werden » Suche schwierig, da Dateien nicht im Explorer angezeigt werden 33©SUNWORKS Digicomp – Hacking Day `11S
  34. 34. » c:programme oder c:program files ˃ VMWare ˃ Microsoft Virtual PC ˃ Bochs ˃ DOSBox ˃ Portable Virtual Privacy Machine » «My Dokuments» oder «eigene Dateien» ˃ My LivePC’s ˃ My LivePC Documents ˃ My Shared LivePC Documents » «Documents» oder «Dokumente» ˃ My Virtual Machines » «Documents and Settings» oder «Dokumente und Einstellungen» ˃ VirtualBox 34©SUNWORKS Digicomp – Hacking Day `11S
  35. 35. » Registry ˃ Tool RegRipper um schnell Informationen zu finden » Ntuser.dat » Ntuser.log 35©SUNWORKS Digicomp – Hacking Day `11S
  36. 36. » In Netzwerkkomponenten » Im RAM » Auf Businesskritischen Mascheinen ˃ können nicht einfach ausgeschaltet werden » Auf Storage-Devices ˃ Bei einen 1TB Server wird das Erstellen des Images ein zeitliches Problem werden ˃ Wie sieht es dann bei 10TB aus und wie transportieren wir die Daten ins Labor? 36©SUNWORKS Digicomp – Hacking Day `11S
  37. 37. » Es werden die selben Produkte wie für die Analyse verwendet » Nur auf einem relativ “ruhigem” System ist eine solche Analyse realistisch » Win: dd if=.PhysicalDrive0 of=e:pd0.dd » Linux: dd if=/dev/hdc of=/mnt/images/hdc.dd 37©SUNWORKS Digicomp – Hacking Day `11S
  38. 38. » Registry Settings reg.exe » Microsoft Security IT rockxp » Event Logs psloglist, dumpevt » Dump IE-Settings index.dat » Devices devcon » Slack Space drivespy, Forensik Software » Virtueller Speicher System Scanner, X-Ways Forensics » Versteckte Partitionen Partition Logic 38©SUNWORKS Digicomp – Hacking Day `11S
  39. 39. » Systemzeit time/t » Eingeloggte Benutzer psloggedon, net sessions, Logonsessions » Offene Dateien net file command, psfile, openfiles » Netzwerkverbindungen netstat, » Prozessinformationen Tlist, Tasklist, Pslist, Listdlls, Handle, Openports » Promisdetect promisdetect, promqry 39©SUNWORKS Digicomp – Hacking Day `11S
  40. 40. » Windows ˃ Offene Files ˃ Offene Network Connections ˃ Registry Activity ˃ Open DLLs ˃ … » Unix ˃ Offene Files ˃ Offene Network Connections ˃ Zugriff auf korrespondierende EXE ˃ Environment Variablen ˃ … 40©SUNWORKS Digicomp – Hacking Day `11S
  41. 41. » Wenn virtuelle Maschine erstellt wird, wird Speicher alloziert. » Änderungen am physikalischen Speicher bewirkt ebenfalls eine Änderung der Virtuellen Maschinen und der Performance. » Limitierung des physikalischen Speichers, vermindert die Gefahr dass das Hostsystem «crashed». » Reservation von Speicher für virtuelle Maschinen schränkt Funktionalität ein erhöht aber die Sicherheit da der Speicherbereich bekannt ist. 41©SUNWORKS Digicomp – Hacking Day `11S
  42. 42. » VMWare teilt seinen virtuellen Maschinen Speicher zu » Direkter Zugriff der VM auf Speicher nicht möglich » Somit können nicht wesentlich mehr forensische Informationen gefunden werden wenn der VM mehr Speicher zugewiesen wird. 42©SUNWORKS Digicomp – Hacking Day `11S
  43. 43. » Auswertung des Speichers erfolgt über die .vmem-Datei. » Analyse kann über Open Source Tools wie dd, Volatility Framework, HBGary Responder, oder beliebige Kommerzielle Forensik Tools vorgenommen werden. 43©SUNWORKS Digicomp – Hacking Day `11S
  44. 44. » Ein Trusted Dump wurde erstellt, was nun? » Der Dump wird analysiert um relevante Informationen über Processe, Threads, Offene Dateien, Sockets, etc. zu bekommen » Erstens: analysieren der Lists/Tables der Kernel Structures » Zweitens: “carving” für interessante Objekte » Speicherinhalte dumpchk.exe » Prozesse Eprocess » Speicherprozess Parser Lsproc.pl 44©SUNWORKS Digicomp – Hacking Day `11S
  45. 45. 45©SUNWORKS Digicomp – Hacking Day `11S
  46. 46. » Folgende Komponenten werden überprüft: ˃ Windows Registry ˃ Auslagerungsdatei ˃ Hibernation-Datei ˃ Papierkorb ˃ Druck-Dateien ˃ Dateisystem Internals ˃ File Carving ˃ Slack Space 46©SUNWORKS Digicomp – Hacking Day `11S
  47. 47. » Daten ˃ Dateien ˃ Ordner » Metadaten ˃ Zeitstempel (Ändern, Zugriff, Erstellen, Löschen) ˃ Owner ˃ Sicherheitsbeschreibung » Strukturen ˃ Superblock/Master File Table/File Access Table ˃ Inodes/Clusters ˃ Daten 47©SUNWORKS Digicomp – Hacking Day `11S
  48. 48. » Daten-Wiederherstellung verlangt Wissen über die Dateisystem-Internals » Disk Layout » Was wurde wann gelöscht? » Verschiedene Dateisysteme sind heute vorhanden ˃ DOS / Windows: FAT, FAT16, FAT32, NTFS ˃ Unix: ext2, ext3, Reiser, JFS, … more ˃ Mac: MFS, HFS, HFS+ 48©SUNWORKS Digicomp – Hacking Day `11S
  49. 49. » Volatile Daten können einfach modifiziert werden oder verloren gehen » Folgende Volatilen Daten können analysiert werden: ˃ Systemzeit ˃ Eingeloggte User ˃ Offene Dateien ˃ Netzwerk-Informationen, Netzwerk-Verbindungen, Netzwerkstatus ˃ Prozess Informationen, Prozess Memory ˃ Service / Treiber Informationen ˃ Verbundene Netzlaufwerke, Freigaben ˃ … 49©SUNWORKS Digicomp – Hacking Day `11S
  50. 50. » Nicht Volatile Daten werden verwendet für den Secondary Storage und bestehen über eine lange Zeitdauer. ˃ Versteckte Dateien, ADS Streams ˃ Slack Space, nicht allozierte Cluster ˃ Auslagerungsdatei ˃ Index Dat Files ˃ Metadaten ˃ Nicht verwendete Partitionen, versteckte Partitionen ˃ Registry Einstellungen ˃ … 50©SUNWORKS Digicomp – Hacking Day `11S
  51. 51. » Mit einer Live-Analyse werden viele Infos verfügbar. » Für die „kompletten“ Daten ist aber eine Post Mortem Analyse sinnvoller. » Post Mortem Analyse ProDiscover » Benutzer Aktivität NTUSER.DAT: Lastwrite 51©SUNWORKS Digicomp – Hacking Day `11S
  52. 52. » Mit einer Live-Analyse werden viele Infos verfügbar. » Für die „kompletten“ Daten ist aber eine Post Mortem Analyse sinnvoller. » Post Mortem Analyse ProDiscover » Benutzer Aktivität NTUSER.DAT: Lastwrite 52©SUNWORKS Digicomp – Hacking Day `11S
  53. 53. 53©SUNWORKS Digicomp – Hacking Day `11S
  54. 54. Einfache Tools Integrierte Tools » Viele einfachen Tools » Open Source reichen für kleine ˃ Sleuth-Kit Investigations ˃ Coroners Toolkit ˃ F.I.R.E » Mit integrierten Tools ˃ Helix können ˃ Autopsy Sie auch Images erstellen ˃ CAINE » Hex-Editoren reichen » Kommerzielle teilweise ˃ Encase (in jedem Gericht schon für Detailinfos akzeptiert) ˃ Gargoyle Investigator ˃ Forensic Tool Kit 54©SUNWORKS Digicomp – Hacking Day `11S
  55. 55. » Helix basiert auf einer Knoppix Live Linux CD » Direkter Boot in die Linux-Umgebung möglich » Kernels, excellente Hardwareerkennung, und viele Applikationen können verwendet werden » Helix hat eine speziellen Windows Autorun Side für Incident Response and Forensics » Helix ist fokussiert auf Incident Response and Forensics Tools 55©SUNWORKS Digicomp – Hacking Day `11S
  56. 56. » Helix läuft in zwei verschiedenen Modes ˃ Windows and Linux » Im Windows Mode läuft es als Standard Windows Application und wird verwendet um Informationen von einem “live” System zu sammeln 56©SUNWORKS Digicomp – Hacking Day `11S
  57. 57. » CAINE (Computer Aided Investigative Environment) ist eine italienische GNU/Linux Live Distribution für IT Forensics. CAINE bietet eine komplexe Forensics Umgebung mit integrierten Tools und einem benutzerfreundlichen GUI » Folgende Komponenten sind beim Gebrauch von CAINE wichtig: ˃ Eine Umgebung welche den Benutzer durch alle 4 Phasen führt ˃ Eine halbautomatische Erstellung der Schlussreports 57©SUNWORKS Digicomp – Hacking Day `11S
  58. 58. Folgende Komponenten sind in Accessdata vorhanden: » Password Recovery Toolkit ˃ Password Recovery für bekannte Applikationen » Distributed Network Attack ˃ Password Recovery für geschützte Dateien » Registry Viewer ˃ Lässt bekannte Registry Einträge sichtbar machen und generiert Reports » Wipe Drive ˃ Überschreibt Daten eines Computers 58©SUNWORKS Digicomp – Hacking Day `11S
  59. 59. » Der FTK ermöglicht eine umfassende Forensische Analyse mit expliziter Case- Sicherheit » Er enthält Index- und Suchfunktionen, eine umfassende Datei-Recovery und Grafikanalyse » Vorteile: ˃ Integrierte Lösung ˃ Integrierte Oracle Datenbank und erweiterte Suche ˃ Sehr performant ˃ Intuitives Benutzerinterface 59©SUNWORKS Digicomp – Hacking Day `11S
  60. 60. » „DIE“ Forensicslösung » Wird vom Gros der Gerichte anerkannt » Auch in grossen Umgebungen einsetzbar » Analysiert mehrere Plattformen » Auch für grosse Volumes einsetzbar » Transferiert Evidence-Files direkt zum Law- Enforcement » Netzwerklösung möglich 60©SUNWORKS Digicomp – Hacking Day `11S
  61. 61. Open Source Tools Kommerzielle Tools » Kostenlos herunter- » Zum Teil teure Produkte zuladen und zu » Case immer integraler verwenden Bestandteil » Einfach im Gebrauch » Sicherheit eingebaut » Für einfache Analysen » Komplexer im ideal Gebrauch » Optimale Report- generierung » Gerichtbar 61©SUNWORKS Digicomp – Hacking Day `11S
  62. 62. Forensische Analyse mit Helix und Forensic Tool Kit 62©SUNWORKS Digicomp – Hacking Day `11S
  63. 63. » Fazit ˃ Forensics ist eine sehr vielfältige Aufgabe ˃ Grösste Gefahr einer optimalen Analyse sind die sich verändernden Dateien und der Verbund der virtuellen Umgebung ˃ Zu analysierende Host- und Gastsysteme müssen bekannt sein » Deshalb ˃ Virtualisierungs- System- und Forensics-Spezialisten sind für eine Investigation virtueller Umgebungen notwendig ˃ Professionelle Tools sind zweckmässig Für Fragen stehen wir gerne zur Verfügung: Phone:+41 56 249 44 11 Mail: info@sunworks.ch 63©SUNWORKS Digicomp – Hacking Day `11S
  64. 64. Juerg Fischer Security Analyst Sunworks GmbH, Ennetbaden Microsoft Certified Trainer, EC-Council Certified Instructor©SUNWORKS Schweizerische Post - Endjahrestagung 2009

×