Digitale Forensik. Spurensuche mittels Sleuthkit und Autopsy. Michael Hirschbichler

Transkript

1 Digitale Forensik Spurensuche mittels Sleuthkit und Autopsy

2 Einleitung Firewalls und Intrusion Detection Systeme (IDS) entdecken Angriffe Immer wieder Lücken Administrator muß Spuren suchen und sichern Er betätigt sich als Gerichtsmediziner ( Forensiker )

3 Tools zur Spurensuche (ohne Anspruch auf Vollständigkeit) Unix-Systeme Smart for Linux (komerziell) The Coroners Toolkit ( TCT, OpenSource) Sleuthkit (OpenSource) Win32 Systeme Foundstone Forensic ToolKit F.I.R.E....

4 Fragen nach einem Einbruch Wie erfolgte der Einbruch? Warum wehrte die Firewall den Angriff nicht ab? Warum erkannte das IDS den Einbruch nicht, oder erst so spät? Welche Rechner sind betroffen? Welche Informationen sind auf dem Rechner modifiziert worden? Welche Absichten verfolgte der Einbrecher?

5 Quellen für die Antworten Studium der Firewall- und der IDS- Logs Sind die Daten vertrauenswürdig? Sind genügend Daten vorhanden? Forensische Analyse des betroffenen Systems Vorgehensweise kompliziert und von vielen Faktoren abhängig

6 Ziel der forensischen Ermittlungen Vorgänge und ihre zeitliche Abfolge Alle Aktionen, die zum Einbruch führten Aktionen, die der Einbrecher danach auf dem Rechner durchführte

7 Analyse reproduzierbar durchführen Um die Auswertung der Ergebnisse nachvollziehbar zu gestalten, ist folgende Reihung notwendig 1. Secure and isolate the scene 2. Record the scene 3. Conduct a systematic search for evidence Richard E. Saferstein, Criminlistics: An Introduction to Forensic Science : Prentice Hall

8 Die Szenerie aufzeichnen Zuerst Sichern der flüchtigen Daten Arbeitsspeicher Kernelmeldungen Uhrzeit/Datum Laufende Prozesse Offene Dateien Netzwerkkonfiguration Netzwerkverbindungen

9 Die Szenerie aufzeichnen Dann Sichern der nicht-flüchtigen Daten Dateisysteme Swap

10 Einfaches Backup genügt nicht Die Kopie des Dateisystems muß identisch mit dem Originalsystem sein dd (für Unix und Win32) ermöglicht 1:1 Kopie einer Platte netcat dient zur Sicherung von Dateien über ein Netzwerk ( cryptcat verschlüsselt zusätzlich) Server: nc -l -p 3000 > host_hda.dd Client: dd if=/dev/hda nc Server 3000

11 Einfaches Backup genügt nicht Die Unix-Programme Sleuthkit und Autopsy können nur mit Partitionen hantieren Zerteilen des Images in mehrere Partitionen oder Ggf. Einbinden des Images mittels Loopback-Device

12 Analyse mittels Sleuthkit Sleuthkit ist das Standard- OpenSource-Tool für Unix-artige Betriebssysteme Nachfolger von TCT ( The Coroner s Toolkit ) Grafische Aufsatz namens Authopsy (ein Webinterface)

13 Sleuthkit -Werkzeuge vier Gruppen Informationen über Dateisysteme Zugriff auf Daten, die in Dateien gespeichert sind Zum Anzeigen von Metadaten in den Inodes Arbeiten auf der Dateiebene, erstellen von Dateilisten und suchen nach Files

14 Praxis: Wiederbelebung gelöschter Files ils zeigt die Inode-Informationen eines Dateisystems #ils -f linux-ext2 -r Partition.dd class host device start_time ils moses honeypot.hda5.dd st_ino st_alloc st_uid st_gid st_mtime st_atime st_ctime st_dtime st_mode st_nlink st_size st_block0 st_block1 1 a f

15 Praxis: Wiederbelebung gelöschter Files fls erzeugt Dateilisten aus gelöschten Inodes #fls -f linux-ext2 Partition.dd d/d 11: lost+found r/r 12: kernel.h r/r 13: System.map r/r 14: module-info

16 Praxis: Wiederbelebung gelöschter Files icat gibt den Inhalt der mit ils gefunden gelöschten Inodes aus: #icat -f linux-ext2 Partition.dd 2243! SH2 mpn_submul_1 -- Multiply a limb vector with a limb and subtract! the result from a second limb vector. Loop: dmulu.l r3,r7 sts macl,r1

17 Praxis: Wiederbelebung gelöschter Files mactime verarbeitet die Daten von ils und fls weiter und generiert ein Logbuch der Änderungen im Dateisystem #fls -f linux-ext2 m / -r Partition.dd > body #ils f linux-ext2 m Partition.dd >> body #mactime b body Sun Nov :57: m.c d/drwxr-xr-x /usr/i386- redhat-linux Sun Nov :58: m.c d/drwxr-xr-x / usr/libexec Sun Nov :59:49 0..c -rw-r--r <Partition.dd-dead-22185>

18 Grafische Oberfläche - Autopsy Autopsy fasst die ganzen Schritte des Sleuthkits in einer übersichtlichen Oberfläche zusammen

19 Autopsy neues Projekt

20 Autopsy einen Host hinzufügen

21 Autopsy Einbinden der Partitionsabbilder

22 Autopsy - Erzeugen einer Timeline -Ansicht

23 Autopsy - Auswahl der zu indizierenden Partitionen

24 Autopsy - Einschränkung des Zeitraumes

25 Autopsy - Ansicht der Timeline

26 Autopsy Auswahl einer Partition

27 Autopsy - Detailansicht der zu bearbeitenden Partition

28 Autopsy - Analyse der (Cr H) acker -Tools

29 Fazit: Grundkenntnisse im OS müssen vorhanden sein Übersichtliches Suchen und Dokumentieren verdächtiger Dateien OpenSource-Software erleichtert Nachvollziehbarkeit der Tools

30 Quellen forensik.html