Analyse forensischer Toolsammlungen zur Rekonstruktion browserbasierter Tatbestände

Transkript

1 Analyse forensischer Toolsammlungen zur Rekonstruktion browserbasierter Tatbestände Bachelorarbeit von Sandy-Dorothea Hein Aufgabenstellung: Prof. Dr. Gabi Dreo Rodosek Betreuung: Dipl.-Wirt.-Inf. Mario Golling Dipl.-Inf. Frank Tietze Universität der Bundeswehr München Fakultät für Informatik Institut für Technische Informatik Neubiberg, den 30. Januar 2013

2 2

3 Erklärung nach 22(6) ABaMaPO Hiermit versichere ich, dass ich die vorliegende Arbeit selbständig und nur unter Verwendung der angegebenen Hilfsmittel und Quellen angefertigt habe. Sandy-Dorothea Hein

4 4

5 Zusammenfassung Diese Bachelorarbeit beschäftigt sich mit der IT-Forensik mit besonderem Fokus auf die Untersuchung und Bewertung forensischer Tool-Sammlungen. Dabei werden zunächst Grundlagen der IT-Forensik vermittelt und das Szenario vorgestellt. Anschließend werden Anforderungen an die IT-Forensik mit Bezug auf das gewählte Szenario definiert. Anhand dieser Anforderung werden aktive Toolkits für eine forensische Ermittlung im Bereich des Szenarios untersucht und beurteilt.

6

7 Abstract This bachelor thesis deals with computer forensics focussing on the investigation and evaluation of forensic toolkits. To begin with, basic principles of computer forensics are provided and the scenario is presented. Afterwards, computer forensic requirements concerning the chosen scenario are specified. Based on these requirements active toolkits are examined and evaluated referring to forensic investigations in the field of the scenario.

8

9 Danksagung An dieser Stelle möchte ich all denen danken, die durch ihre fachliche und persönliche Unterstützung zum Gelingen dieser Bachelorarbeit beigetragen haben. Allen voran gilt mein besonderer Dank Prof. Dr. Gabi Dreo Rodosek, als Begutachterin dieser Arbeit, sowie den Betreuern Dipl.-Wirt.-Inf. Mario Golling und Dipl.-Inf. Frank Tietze für ihre tatkräftige Unterstützung. Weiterhin danke ich Sergej Kottmeyer für das Korrekturlesen und für die guten Hinweise zu dieser Arbeit.

10

11 Inhaltsverzeichnis 1 Einführung Problemstellung Aufbau der Arbeit Grundlagen der IT-Forensik IT-Forensik Digitale Beweise Live-Forensik vs. Post-mortem-Analyse Vorgehensweise bei einer forensischen Untersuchung S-A-P Modell Der forensische Prozess laut BSI Datenquellen einer Browser-Session auf dem Nutzersystem Browser-Artefakte Browserspezifische Dienste Externe Browserkomponenten Szenario Beschreibung Gesamtüberblick Technische Details Forensische Betrachtung Vorgehensweise Datenquellen Anforderungsanalyse Allgemeine Anforderungen Such- und Filterfunktion Datenkorrelation Protokollierung Imageeinbindung I

12 Inhaltsverzeichnis 4.2 Szenariospezifische Anforderungen Browser-Artefakte Informationen und Veränderungen an zu Grunde liegenden Diensten Veränderungen von Konfigurationen Veränderter Programmablauf Stand der Wissenschaft und Technik Image-Erstellung mit dcfldd Sicherung der Integrität mit md5deep Analyse der Daten Forensische Workstation Auswahlkriterien OSForensics DFF - Digital Forensics Framework Autopsy SIFT - SANS Investigate Forensic Toolkit Backtrack CAINE - Computer Aided Investigative Environment Paladin TSK - The SleuthKit Zusammenfassung Ausblick 69 Literaturverzeichnis 73 Abbildungsverzeichnis 76 Tabellenverzeichnis 77 Glossar 79 II

13 1 Einfu hrung Aufgrund der wichtigen Rolle, die Computersysteme in unserer Gesellschaft in den letzten Jahren u bernommen haben, werden sie auch zunehmend zur Durchfu hrung von Straftaten genutzt. Einen guten Einblick in das Ausmaß bietet das Bundeslagebild 2011 zum Thema Cybercrime vom Bundeskriminalamt (BKA) [Bun11b]. Die vom BKA vero ffentlichte Entwicklung der gemeldeten Vorfa lle in den Jahren 2007 bis 2011 zeigen die Abbildungen 1.1 und 1.2. Dabei kam es in diesem Zeitraum zu einem quantitativen, vor allem aber auch zu einem qualitativen Anstieg im Bereich der Cyberkriminalita t. Dies betrifft Straftaten wie den Diebstahl digitaler Identita ten, Computersabotage, Phishing, digitale Erpressung und auch Angriffe auf mobile Endgera te Abbildung 1.1: Cybercrime im engeren Sinne [Bun11b] Diese Bachelorarbeit bescha ftigt sich mit dem Thema Analyse forensischer Tool sammlungen zur Rekonstruktion browserbasierter Tatbesta nde und analysiert Mo glichkeiten der Aufkla rung von Straftaten, die unter Nutzung eines Browsers begangen wurden. 1

14 1 Einführung 80,0 70,0 60,0 50,0 40,0 30,0 20,0 10,0 0,0 71,2 61,5 37,2 36,9 31, Abbildung 1.2: Schäden [Bun11b] 1.1 Problemstellung Der Cyberkriminalität entgegenwirkend gibt es zwar diverse Schutzmaßnahmen für Computersysteme, wie Intrusion Detection Systeme, Firewalls und Virenscanner, diese sind jedoch häufig fehlerbehaftet und lückenhaft. Als weiterer Faktor wird die Mobilität beim Nutzen von Computersystemen bedeutsamer. Jederzeit und von überall aus möchte der Nutzer Zugriff auf seine Daten und seine Programme haben, sowohl am eigenen PC, Smartphone oder Tablet als auch an fremden Computersystemen. Daher gibt es eine stetige Entwicklung von Diensten wie Mobile Computing und Cloud Computing, die diese Mobilität unterstützen sollen. In der Konsequenz dient der Webbrowser somit nicht mehr nur dem Durchstöbern von Webseiten, sondern auch der Integration von Anwendungen jeder Art. Dies macht ihn jedoch sowohl zu einem nützlichen Hilfsmittel zur Ausübung von Straftaten als auch zu einem attraktiven Angriffsziel. Aus diesem Grund besteht die Notwendigkeit, Browser besonders abzusichern. Da heutige Maßnahmen hier nachweislich zu kurz greifen, muss eine forensische Betrachtung im Schadensfall erfolgen. Diese wissenschaftliche Arbeit untersucht die Möglichkeiten, eine Browser-Session zu rekonstruieren und damit zur Aufklärung einer während der Nutzung eines Browsers vollzogenen Straftat beizutragen. Dabei bezeichnet der Begriff Session den Zeitraum in dem die Straftat ausgeführt wurde und alle damit verbundenen browserspezifischen Vorgänge. 2

15 1.2 Aufbau der Arbeit 1.2 Aufbau der Arbeit Die Bachelorarbeit ist in sechs Kapitel unterteilt. Nach dieser Einleitung werden zunächst notwendige Grundlagen für den Bereich der IT-Forensik vermittelt. Dazu gehören einerseits wichtige Begriffsdefinitionen, andererseits aber auch die Vorstellung zweier ausgewählter Vorgehensmodelle einer forensischen Untersuchung. Abschließend werden für die Rekonstruktion der Tatbestände einer Browser-Session potentielle Datenquellen samt ihrer Bedeutung erläutert. In dem darauf folgenden Kapitel wird das Szenario vorgestellt, welches die Grundlage für diese Bachelorarbeit bildet. Zusätzlich werden die ersten Schritte des Vorgehens eines forensischen Ermittlers anhand des Szenarios präsentiert und vorhandene Datenquellen eingegrenzt. Abgeleitet aus dem Szenario werden im Anschluss im vierten Kapitel Anforderungen an die forensische Untersuchung gestellt. Im fünften Kapitel wird mit Bezug zum Szenario der aktuelle Stand der Wissenschaft und Technik ermittelt. Dazu werden verschiedene gängige forensische Toolsammlungen auf ihre Funktionen und ihren Nutzen hin untersucht. Das letzte Kapitel bewertet die untersuchten Toolsammlungen hinsichtlich Erfüllung der aufgestellten Anforderungen und weist auf Entwicklungspotential hin. 3

16 1 Einführung 4

17 2 Grundlagen der IT-Forensik Dieses Kapitel widmet sich der Einführung in die Begriffswelt der IT-Forensik in Bezug auf die Auswertung von Tatbeständen während einer Browser-Session. Im ersten Teil werden grundlegende Begriffe der IT-Forensik und von Cybercrime definiert. Der zweite Teil enthält zwei Modelle zur Vorgehensweise bei einer forensischen Analyse. Abschließend werden Artefakte vorgestellt, die im Zuge einer Browser-Session erzeugt werden. 2.1 IT-Forensik Der Leitfaden IT-Forensik des Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert den Begriff IT-Forensik folgendermaßen: IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems. [Bun11a] Die IT-Forensik lässt sich in die zwei Spezialgebiete Computer-Forensik und Netz- Forensik einteilen [Eck11]. Im Rahmen der Computer-Forensik werden vor allem digitale Speichermedien analysiert, während bei der Netz-Forensik die Überwachung von Netzen und die Untersuchung von flüchtigen und dynamischen Daten in einem Netz, wie bspw. des -Verkehrs oder von Chat-Sitzungen im Vordergrund steht. Diese Arbeit fokussiert sich auf die Computer-Forensik. 2.2 Digitale Beweise Digitale Beweise sind Daten, die bei der Nutzung eines Computers gespeichert oder übermittelt werden und dabei eine Theorie über den Ablauf einer Straftat oder ein 5

18 2 Grundlagen der IT-Forensik Alibi bestätigen oder widerlegen können. Zudem können sie Hinweise auf das Tatmotiv geben. Locard s Exchange Principle, das digitale Austauschprinzip des französischen Mediziners Edmund Locard, gilt heutzutage als Grundprinzip der forensischen Wissenschaft und besagt: Jeder und alles am Tatort nimmt etwas mit und lässt etwas zurück. In der IT-Forensik trägt es den Titel das digitale Austauschprinzip, während sein Wortlaut entsprechend angepasst wurde: In jedem hinreichend komplexen digitalen System hinterlässt Datenverarbeitung notwendigerweise Spuren. [Cas11] 2.3 Live-Forensik vs. Post-mortem-Analyse In Bezug auf den Zeitpunkt der Untersuchung wird die IT-Forensik in die Live-Forensik und in die Post-mortem-Analyse eingeteilt [Bun11a]. Bei der Post-mortem-Analyse findet nach erstmaligem Herunterfahren des Systems eine Untersuchung des Datenträgers statt, was einen Verlust der flüchtigen Daten bewirkt. Der Fokus liegt bei der Post-mortem-Analyse auf der Untersuchung der nichtflüchtigen Daten auf u.a. umbenannte, gelöschte, versteckte und verschlüsselte Dateien. Die Live-Forensik hingegen beginnt ihre Untersuchung vor dem erstmaligen Herunterfahren nach dem Eintritt eines Vorfalls. Dadurch besteht die Möglichkeit, flüchtige Daten zu gewinnen und untersuchen zu können. Dies betrifft bspw. den Arbeitsspeicher, gestartete Prozesse und bestehende Netzverbindungen. Ein wichtiger Punkt spielt hierbei, dass im Zuge der Datensicherung diese verändert werden, was zu einer Anfechtung der Ergebnisse führen kann. 2.4 Vorgehensweise bei einer forensischen Untersuchung In diesem Abschnitt wird der Verlauf einer forensischen Untersuchung erläutert. Dabei wird auf das Secure-Analyse-Present (S-A-P) Modell und auf den forensischen Prozess laut BSI näher eingegangen. 6

19 2.4 Vorgehensweise bei einer forensischen Untersuchung S-A-P Modell Das S-A-P Modell ist ein Modell zur Beschreibung der Vorgehensweise bei einer forensischen Untersuchung. Es hebt sich von ähnlichen Modellen ab, da es simpler und verständlicher und trotzdem kompatibel zu den komplexeren Modellen ist. Zudem ist das S-A-P Modell auf die Verfolgung von Straftaten ausgerichtet [Bun11a]. Dieses Modell teilt den forensischen Ermittlungsprozess, wie aus Abbildung 2.1 ersichtlich wird, in drei Phasen ein: Secure (Sichern), Analyse (Analysieren) und Present (Präsentieren). Secure Identifizierung der Datenquellen Datensicherung nach Erstellung der Duplikate Analyse Vorbereitung Durchführung Interpretierung nach Komplettierung der Ergebnisse Present verständliche Dokumentation zielgruppenorientierte Präsentation bei Identifizierung neuer Datenquellen Abbildung 2.1: Phasen des S-A-P Modells Secure Die Sicherungsphase hat zwei wesentliche Ziele [Moh03]: Die Identifizierung potentieller Datenquellen und anschließend das korrekte Sichern aller Daten dieser Datenquellen. Hierbei muss die Datenerfassung sorgfältig durchgeführt werden, um die Integrität der Daten zu wahren [Ges11]. Als Grundlage dazu wird der Untersuchungsbereich sorgfältig abgesichert, sodass alle potentiellen Beweise vor Manipulation geschützt sind. Die Spurensicherung erfolgt ebenfalls sorgfältig, wobei die Sicherung stets nach dem Vier-Augen-Prinzip erfolgt und alle Tätigkeiten genauestens protokolliert werden. Bei der Identifizierung potentieller Datenquellen ist es von besonderer Wichtigkeit, dass der forensische Ermittler erkennt, welche Datenquellen relevant für den Vorfall sind. Übersieht er nämlich hierbei eine Datenquelle, kann dies die Aufklärung des Vorfalls gefährden. Im Zuge der gerichtsverwertbaren Sicherung der Daten dürfen die Originaldaten möglichst nicht verändert werden [Moh03]. Die Festplatte, auf der das Duplikat erstellt werden soll, muss zunächst unter Anwendung von so genannten Wipe Tools mit 7

20 2 Grundlagen der IT-Forensik Löschfunktionen (engl. wipe functions) von alten Daten bereinigt werden. Anschließend wird eine exakte Kopie der Daten erstellt, wobei sowohl das Duplikat als auch das Original mittels Hashfunktionen verifiziert werden. Analyse Die Analyse-Phase besteht aus drei Abschnitten: Vorbereitung, Durchführung und Interpretierung [Ges11] [Moh03]. Vorbereitend wird eine Kopie der Master-Kopie erstellt, damit der forensische Ermittler auf die Master-Kopie zugreifen kann, falls während der Analyse die Daten auf der Kopie verändert werden sollten. Während der Durchführung der Analyse sucht der Ermittler nach für den Vorfall relevanten Daten und stellt Zusammenhänge zwischen den Daten her. Die relevanten Daten werden aus dem Datenbestand gefiltert und erneut dupliziert. Am Ende der Analyse-Phase bewertet der forensische Ermittler die Bedeutung der Daten in Bezug auf ihren Einfluss auf die Untersuchung. Dabei hinterfragt er seine Ergebnisse kritisch, um potentielle Lücken in seiner Argumentationskette zu erkennen und zu beheben. Present Am Schluss der forensischen Ermittlung steht die Präsentation der Ergebnisse [Ges11] [Moh03]. Zuerst dokumentiert der forensische Ermittler die Erkenntnisse so, dass sie auch für Laien verständlich und nachvollziehbar sind. Anschließend stellt er die Ergebnisse sicher, zielgruppenorientiert und ggf. mit entsprechend verständlicher Visualisierung vor. Dabei muss die Glaubwürdigkeit des Ermittlers und seiner durchgeführten Untersuchung gewahrt bleiben Der forensische Prozess laut BSI Der Leitfaden IT-Forensik des BSI [Bun11a] erweitert das S-A-P Modell in Bezug auf das Vorgehen bei forensischen Ermittlungen. Als Bundesbehörde, die offiziell für die IT-Sicherheit in Deutschland zuständig ist, dient sie als Wegweiser für forensische 8

21 2.4 Vorgehensweise bei einer forensischen Untersuchung Ermittlungen innerhalb Deutschlands. Der forensische Prozess des BSI teilt den Verlauf einer forensischen Untersuchung in sechs Abschnitte ein, die wiederum einen in sich geschlossenen Kreislauf bilden, wie die Abbildung 2.2 verdeutlicht. Dabei können die ersten drei Abschnitte der Secure-Phase, die Abschnitte vier und fünf der Analyse-Phase und der letzte Abschnitt der Present-Phase des S-A-P Modells zugeordnet werden. Im Folgenden werden die einzelnen Abschnitte kurz erläutert. Strategische Vorbereitung Operationale Vorbereitung Abschlussbericht Dokumentation Zusammenfassung der Erkenntnisse, Einordnung in CERT Datensammlung Bergung Datenanalyse Untersuchung Abbildung 2.2: Abschnitte des forensischen Prozesses Strategische Vorbereitung Der Begriff der strategischen Vorbereitung bezeichnet alle Maßnahmen, die der Betreiber einer IT-Anlage treffen kann, bevor es zum eigentlichen Eintritt eines Ereignisses kommt. Zu diesen Maßnahmen gehört bspw. das Aktivieren von Logdiensten, die beim Eintritt eines Vorfalls die Umstände um diesen protokollieren können. Operationale Vorbereitung Die operationale Vorbereitung wird nach dem Eintreten eines Ereignisses, aber vor der Datensammlung durchgeführt [Eck11] [Cas11]. Dabei werden potentielle Datenquellen 9

22 2 Grundlagen der IT-Forensik für eine forensische Untersuchung im Zusammenhang mit dem Vorfall identifiziert und anschließend zur Datensammlung genutzt. Jede Datenquelle muss auf der Basis einer rechtlichen Ermächtigungsgrundlage, die in der Strafprozessordnung festgehalten ist, rechtmäßig sichergestellt bzw. beschlagnahmt werden, um eine Zulässigkeit vor Gericht zu gewährleisten. Handelt es sich bei den sicherzustellenden Objekten um dienstliche Hardware, verkompliziert dies das Vorgehen. Zwar ist der Arbeitgeber prinzipiell der Besitzer dieser Datenquellen und ist somit rechtlich dazu befugt bspw. den dienstlichen Computer seiner Mitarbeiter selbst zu durchsuchen, er muss dabei aber gewisse Einschränkungen beachten. Bei falschem Umgang mit personenbezogenen und privaten Daten kann dies zu juristischen Konsequenzen führen, woraufhin der gesamte forensische Prozess für nichtig erklärt werden kann. Stimmt der Nutzer einer Untersuchung der dienstlichen Hardware zu, entfallen die datenschutzrechtlichen Aspekte. Datensammlung Ein entscheidender Grundsatz der IT-Forensik ist: never touch original [Eck11]. Dies bedeutet, dass das Originalsystem sicher zu verwahren ist und die forensischen Untersuchungen nicht an ihm durchzuführen sind. Daher ist der erste und sehr wichtige Schritt bei der Datensammlung das Erstellen von beweissicheren Kopien der Original- Datenquellen, so genannter Images. Wichtig hierbei ist die Sicherung der Integrität der Beweismittel zur Gewährleistung der gerichtlichen Verwertbarkeit, weswegen die zur Sicherung genutzten Datenträger mittels Wipe Tools gelöscht und alle erzeugten Images unter Verwendung kryptographischer Verfahren abgesichert werden müssen. Untersuchung Der Vorgehensabschnitt der Untersuchung dient der Filterung der Daten. Hierbei werden aus allen Daten diejenigen herausgefiltert, die zu dem entsprechenden Vorfall gehören könnten, indem bspw. nur spezielle Dateitypen extrahiert werden. Datenanalyse Alle nötigen forensischen Untersuchungen sollten nur an forensischen Duplikaten und auch dort nur im mit Leserechten durchgeführt werden, um einer Verfälschung der Untersuchungsergebnisse durch versehentliche Änderungen innerhalb der Datenbestände vorzubeugen. Durch den never touch original -Grundsatz ist auch die Möglichkeit 10

23 2.5 Datenquellen einer Browser-Session auf dem Nutzersystem einer separaten, unabhängigen Überprüfung stets gewährleistet. Im Rahmen der Datenanalyse werden die gefilterten Daten im Detail analysiert. Zeitliche und inhaltliche Zusammenhänge werden hierbei deutlich. Dokumentation Ein Kernprinzip der forensischen Untersuchung ist die ordnungsgemäße Dokumentation [Eck11] [Cas11]. Jeder einzelne Schritt sollte idealerweise von Hand zur Erleichterung der Authentizität unter Angabe des Namens des Ermittlers, dem Ort und der Uhrzeit auf Papier notiert werden. Zur Dokumentation der GUI eignen sich idealerweise Videoaufnahmen und Screenshots, wobei alle wichtigen Erkenntnisse und Ergebnisse zusätzlich schriftlich festzuhalten sind. Die Dokumentation innerhalb des forensischen Prozesses dient der Zusammenfassung der Einzelergebnisse und gliedert sich wiederum in zwei Abschnitte: Die prozessbegleitende und die abschließende Dokumentation. Die prozessbegleitende Dokumentation findet parallel zur Durchführung der anderen Phasen statt. Dabei werden sowohl die Ergebnisse als auch der Verlauf bis zu diesen Ergebnissen u.a. unter Angabe des Namens, der Versionsnummer des genutzten Programms und der Aufrufe innerhalb des Programms genauestens protokolliert. Im Zuge der abschließenden Dokumentation wird aus den bis dahin gesammelten Daten ein Gesamtbild erstellt. Dabei werden sowohl die gewonnenen Informationen zusammengefasst, als auch Hintergründe zur Durchführung der Untersuchung detailliert erläutert. Ziel der Dokumentation ist neben der Präsentation der Ergebnisse auch, das Vorgehen bei der forensischen Analyse für Dritte nachvollziehbar zu machen, sodass diese auch die Integrität der Ergebnisse beurteilen können. 2.5 Datenquellen einer Browser-Session auf dem Nutzersystem Nahezu jede Tätigkeit, die ein Nutzer bei der Nutzung seines Browser durchführt, hinterlässt Spuren auf dem Computer. Dieses Kapitel beschreibt die Artefakte, die während einer Browser-Session auf dem Nutzersystem hinterlassen werden. Zudem wird die Bedeutung browserspezifischer Dienste und externer Komponenten in diesem Rahmen erläutert. Abhängig von dem Betriebssystem und dem genutzten Browser werden Browseraktivitäten auf eine andere Art und Weise gespeichert. Diese Bachelorarbeit betrachtet dabei den Internet Explorer 8 unter Microsoft Windows 7 Professional 64bit. 11

24 2 Grundlagen der IT-Forensik Browser-Artefakte Generell gilt, dass manchmal Weiterleitungen oder Werbeanzeigen zu einer Webseite führen, die der Nutzer nicht besuchen wollte. Somit ist dem Nutzer nicht immer eine Absicht zu unterstellen. Im Folgenden wird auf zeitbehaftete Daten, gering zeitbehaftete Daten und Downloads eingegangen. Zu den zeitbehafteten Daten gehören in diesem Zusammenhangen all die Daten, die sich von Browser-Session zu Browser-Session ändern. Gering zeitbehaftete Daten wiederum ändern sich nur selten. Zeitbehaftete Daten ˆ Für den Fall, dass der Browser während der Nutzung abstürzt, speichert dieser diverse Wiederherstellungsdaten der Browser-Session ab. Dazu gehören geöffnete Fenster, Tabs und Popups, die Position der Fenster ebenso wie die Scrollposition der jeweiligen Tabs. Beim Internet Explorer 8 werden diese Daten unter C:\Users\USER\AppData\Local\Microsoft\Internet_ Explorer\Recovery\LastActive gesichert. In diesem Ordner befinden sich zwei verschiedene Arten von.dat-dateien: Die Hauptdatei namens RecoveryStore. {GUID}.dat, wobei GUID (Globally Unique Identifier) eine ID ist, die für jeden Nutzer und für jeden Computer unterschiedlich ist. Für jedes geöffnete Fenster und jeden geöffneten Tab erstellt der Internet Explorer eine eigene.dat-datei zur Sicherung der Details und Daten der Webseite unter {GUID}.dat. Hierbei ändert sich die GUID für jede Browser-Session. ˆ Beim ersten Besuch einer Webseite speichert der Browser in seinem Cache die URL der Webseite und alle mit ihr verbundenen Elemente, wie z.b. Bilder und Texte zwischen. Diese Daten werden auch als Temporary Internet Files bezeichnet. Bei einem weiteren Besuch dieser Webseite zu einem späteren Zeitpunkt greift der Browser auf die Cache-Dateien zu und kann somit regelmäßig besuchte Seiten schneller laden. Einige Browser speichern ebenfalls die Anzahl der Seitenzugriffe ab. Der Internet Explorer 8 sichert diese Daten unter C:\Users\ USER\AppData\Local\Temp\Temporary_Internet_Files\Content.IE5. In diesem Ordner legt er eine Datei namens index.dat an, in der er die Cache-Daten hinterlegt. ˆ Browser legen einen Verlauf über alle besuchten Webseiten mit Zeitstempel an. Das Speicherverzeichnis dieser Daten befindet sich beim Internet Explorer 12

25 2.5 Datenquellen einer Browser-Session auf dem Nutzersystem 8 unter C:\Users\AppData\Local\Local\Temp\History\History.IE5. Auch in der Registry unter HKEY_CURRENT_USER\Software\Microsoft\Internet_ Explorer\TypedURLs lassen sich die URLs, die in das Adressfeld eingegeben wurden auflisten. Dabei ist url1 die zuletzt eingegebene URL. Das Hive des Nutzerregistry-Datei ist unter C:\Users\USER\ntuser.dat gespeichert. ˆ Windows protokolliert alle Ereignisse unter Angabe von Datum, Uhrzeit, Ereignisquelle und Art des Ereignisses in Logdateien. Ereignisquellen können hierbei Anwendungen, das System oder die Systemsicherheit sein. Das Ereignisprotokoll des Internet Explorers befindet sich unter C:\Windows\System32\winevt\Logs\ Internet_Explorer.evtx. ˆ Baut der Benutzer eine https/ssl-verbindung mit einer Webseite auf, wird das Zertifikat der Webseite auf Echtheit überprüft und anschließend ein Sitzungsschlüssel übertragen [Bar12] [Cas11]. Mit diesem kann eine symmetrische Datenverschlüsselung erfolgen. Trotz intensiver Quellenrecherche konnte kein Hinweis auf einen Speicherort des Sitzungsschlüssels auf Windows 7 gefunden werden. Es ist jedoch davon auszugehen, dass dieser nicht für eine Post Mortem Analyse auswertbar auf der Festplatte hinterlegt wird, da dies nicht im Sinne seiner Funktion ist. Gering zeitbehaftete Daten ˆ Einige Webseiten verfolgen die Interessen und die Besuche von Webseiten eines Nutzers, indem sie einen so genannten Cookie im Browser hinterlegen. Amazon nutzt z.b. den Cookie zur Identifizierung der Interessen des Nutzers durch Beobachtung getätigter Einkäufe und anschließender Platzierung passender Werbung. Unter Windows 7 werden Cookies unter C:\Users\USER\AppData\ Roaming\Microsoft\Windows\Cookies gespeichert. Zusätzlich enthält die Datei index.dat Cookie-Informationen. ˆ Webseiten, die der Nutzer häufiger besuchen möchte oder als interessant einstuft, kann er als Lesezeichen unter seinen Favoriten abspeichern. Dazu speichert der Browser auch, wann zuletzt auf dieses Lesezeichen zugegriffen wurde. Die Lesezeichen des Internet Explorers 8 befinden sich unter C:\Users\Favoriten. ˆ Um nicht bei jedem Besuch einer Webseite die verlangten Anmeldedaten wiederholt eingeben zu müssen, lassen sich Logindaten nach einma- 13

26 2 Grundlagen der IT-Forensik liger Eingabe auch im Browser speichern. Beim Internet Explorer werden folgende Informationen zu jedem gespeicherten Passwort mitgeliefert [Nir11] [Nir13]: Die URL, der Passworttyp (AutoVervollständigen, passwortgeschützte Webseite/http-Authentifizierung, File Transport Protocol), der Speicherort (Registry, Credentials-Datei, Protected Storage) und den zugehörigen Nutzernamen. Der Internet Explorer speichert Passwörter an zwei verschiedenen Orten. Kennwörter des Typs AutoVervollständigen werden in der Registry unter HKEY\_CURRENT\_USER\Software\Microsoft\InternetExplorer\ IntelliForms\Storage2 hinterlegt. Erfordert eine gesperrte Webseite eine Anmeldung über Popup handelt es sich um eine HTTP-Authentifizierung. Diese gesicherten Kennwörter befinden sich in Credentials-Dateien unter C:\Users\ AppData\Local\Microsoft\Credentials. ˆ Mithilfe von AutoVervollständigen lassen sich neben Passwörtern auch andere eingegebenen Formulardaten speichern [Win13]. Somit können häufig ausgefüllte Webformularfelder wie (Nutzer-)Name, ( -)Adresse und Kennwörter automatisch vom Browser ausgefüllt werden. Die Funktion AutoVervollständigen ist beim Start vom Internet Explorer automatisch aktiviert. Downloads Browser können eine Historie getätigter Downloads erstellen. Dabei wird protokolliert, welche Dateien wann von welcher Webseite heruntergeladen wurden und, ob der Download abgebrochen oder abgeschlossen wurde. Der Internet Explorer hat zusätzlich zum eigentlich Verlauf keinen Downloadverlauf. Konfiguration In den Einstellungen eines Browser kann u.a. das Speicherverhalten unter Angabe der zu speichernden Daten und ggf. des Speicherortes genauer definiert werden. Die Konfiguration des Internet Explorers wird unter C:\Users\USER\AppData\Roaming\ Microsoft\InternetExplorer\UserData und in der Registry unter HKEY_CURRENT_ USER\Software\Microsoft\InternetExplorer\Main hinterlegt [Bar12]. 14

27 2.5 Datenquellen einer Browser-Session auf dem Nutzersystem Browserspezifische Dienste Domain Name System (DNS) Der DNS-Dienst dient der Zuordnung von IP-Adressen zu Domainnamen und gestaltet dadurch das Aufrufen von Webseiten komfortabler. Durch Veränderung bestimmter Konfigurationen besteht die Möglichkeit der Einarbeitung einer automatischen Weiterleitung zu einer falschen Webseite. Solche Zuordnungen lassen sich z.b. in der Hosts- Datei unter C:\Windows\System32\drivers\etc\hosts vornehmen. TCP/IP Stack Der TCP/IP Stack ist eine Sammlung von Internetprotokollen mit integrierten Anweisungen [Sup13]. Das TCP/IP-Referenzmodell beschreibt die Kommunikation von Internetprotokollen mithilfe vier aufeinander aufbauender Schichten [SK11]: Die Netzzugang-Schicht, die Internet-Schicht, die Transport-Schicht und die Anwendungen-Schicht. Der Internet Explorer wird der Anwendungen-Schicht zugeordnet und kommuniziert mit den drei darunterliegenden Schichten, die somit potentielle Fehlerquellen innerhalb einer Browser-Session sind. Standort Mithilfe der IP-Adresse des Nutzersystems besteht die Möglichkeit, Rückschlüsse auf den Standort des Nutzers zu ziehen, sofern er diesen nicht unter Verwendung von Proxy-Programmen verschleiert Externe Browserkomponenten Plugins Ein Plugin ist laut Gabler Wirtschaftslexikon ein Zusatzprogramm, welches über eine vordefinierte Schnittstelle in ein Basisprogramm eingebunden wird und dessen Funktionsumfang erweitert. [Kol13] Es dient zur Verarbeitung von Daten auf Webseiten, die nicht in browsertypischen Dateiformaten wie HTML oder JavaScript vorliegen. Beispiele hierfür sind PDFs und Flash. 15

28 2 Grundlagen der IT-Forensik Erweiterungen Erweiterungen oder auch Add-Ons bezeichnen laut Gabler Wirtschaftslexikon eine Funktionserweiterung bestehender Hard- oder Software. [Sie13] Dabei werden Browser um Funktionen wie Aktienticker oder Symbolleisten erweitert, um den Nutzen einer Webseite zu verbessern und ggf. Multimedia- oder interaktive Inhalte bereitzustellen [Win13]. Es gibt jedoch auch Add-Ons, die dazu führen, dass unerwünschte Inhalte, wie bspw. Werbepopups angezeigt werden oder sogar, dass der Computer nicht mehr reagiert. 16

29 3 Szenario Das in diesem Kapitel beschriebene Szenario dient der Herleitung verschiedener Kriterien und Anforderungen für die forensische Untersuchung, auf die in Kapitel 4 näher eingegangen wird. 3.1 Beschreibung Gesamtüberblick Hochfahren mit Bootdisk 1 Eingabe des Hashwerts des Passworts 3 Entschlüsseln des Hashwerts des Passworts 4 Opfersystem 2 Angreifer 5 Angreifersystem Auslesen des Hashwerts des Passworts Erhalten des Passworts Abbildung 3.1: Gesamtüberblick Teil 1 Das Szenario beschreibt einen Kreditkartenbetrug innerhalb einer kleinen Firma. Das Opfer ist Administrator und alleiniger Nutzer seines Firmencomputers. Der Angreifer, der ebenfalls in der Firma tätig ist, erlangt während der Abwesenheit des Opfers Zugang zu dessen Rechner. Wie Abbildung 3.1 zeigt, startet der Angreifer mithilfe einer Boot-CD das Opfersystem und liest den Hashwert des Passwortes des Benutzerkontos aus. An seinem eigenen privaten Rechner entschlüsselt er diesen. Mit dem daraus 17

30 3 Szenario gewonnen Passwort meldet er sich, wie auf Abbildung 3.2 dargestellt, auf dem lokalen Opferbenutzerkonto und anschließend auf dem Opfer-Account des Onlineshops Amazon an. Dort führt er mittels der dort gespeicherten Kreditkartendaten einen Kaufvorgang durch. Das Opfer bemerkt erst nach dem Herunterfahren seines Systems, dass durch einen Fremdzugriff ein Kaufvorgang über sein Konto vollzogen wurde und wendet sich an einen externen IT-Security-Auditor zur Aufklärung des Vorfalls Technische Details Das Betriebssystem des Opfersystems entspricht der Standardinstallation von Microsoft Windows 7 Professional 64bit. Bei dem genutzten Browser handelt es sich um den Internet Explorer 8 mit standardmäßigen Grundeinstellungen u.a. in Bezug auf das Speichern der Browserdaten. Während der gesamten Zeit, zu der der Angreifer auf dem Amazon-Account eingeloggt ist besteht eine https-verbindung zu der Amazon- Website. Neben der standardmäßigen Installation von Windows 7 wurden keine weiteren Sicherheitsmaßnahmen, wie z.b. Festplattenverschlüsselung auf Seiten des Opfersystems aktiviert. Ferner verfügt die Firma auch nicht über besondere netzbasierte Sicherheitsmechanismen, wie bspw. Intrusion Detection/Prevention Systeme oder eine Aufzeichnung des Netzverkehrs in Form von Flows oder Traces. Die technischen Daten des Szenarios sind auf Abbildung 3.3 anschaulich zusammengefasst. 3.2 Forensische Betrachtung Vorgehensweise Der IT-Security-Auditor richtet sein Vorgehen nach dem forensischen Prozess laut BSI aus. Da das Opfer alleiniger Nutzer des betroffenen Rechners ist und selbst den Wunsch nach Ermittlung geäußert hat, sind datenschutzrechtliche Aspekte für den IT-Security-Auditor irrelevant. Beim Eintreffen an dem Opfersystem ist dieses bereits heruntergefahren, weswegen nur noch eine Post Mortem Analyse möglich ist. Zum Unterbinden von Schreibprozessen auf die Festplatte installiert der Ermittler einen Hardware-Writer-Blocker. Dann fährt er den Opferrechner mittels einer bootfähigen CD hoch. In diesem Fall nutzt er die Linux-Toolsammlung Clonezilla Live i486 und sichert die komplette Festplatte mit Partclone dd unter Einbindung eines MD5-Hashes. Daraufhin bindet der IT-Security-Auditor je nach Toolanforderung das 18

31 3.2 Forensische Betrachtung Angreifer Legende: Firmen-LAN /24 Opfersystem Switch Datenquellen: -Browser-Artefakte -Arbeitsspeicher -Netzverbindungen - Datenquellen: -Konfiguration -Log-Files - Fokus dieser Arbeit Internet Telekom Router mit Firewall ISP a Datenquellen: -Konfiguration -Log-Files -Flows -Traces - weitere Datenquellen ISP b ISP c Amazon-Server weitere Datenquellen Kreditkarten-Server weitere Datenquellen Abbildung 3.2: Gesamtüberblick Teil 2 19

32 3 Szenario Firmen-LAN /24 Angreifer Opfersystem Switch https Administrator, Windows 7 Professional 64bit, Internet Explorer 8 Internet Telekom Router mit Firewall ISP a ISP b ISP c Amazon-Server Kreditkarten-Server Abbildung 3.3: Technische Details 20

33 3.2 Forensische Betrachtung Image als Wechselfestplatte im ReadOnly-Modus oder als dd Image in die forensische Workstation ein Datenquellen Potentielle Datenquellen sind der Amazon- und der Kreditkarten-Server, diverse Netzkomponenten und das Opfersystem selbst. Da der IT-Security-Auditor kein polizeilicher Ermittler ist, hat er keinen Zugriff auf Daten des Amazon- und Kreditkarten- Servers. Da die Netzkomponenten der Firma keine Aufzeichnungsfunktionen haben, kann der Ermittler auch diese Datenquelle nicht nutzen. Somit ist seine einzige Datenquelle das Opfersystem. Diese Quelle bietet im Zuge der Post Mortem Analyse nur nicht flüchtige Daten. Zu diesen gehören die in Kapitel beschriebenen browserspezifische Dienst, externe Komponenten und Browser-Artefakte, wie Cookies, Cache, Windows Temporary Files, Log-Files und Login-Daten. 21

34 3 Szenario 22

35 4 Anforderungsanalyse In diesem Kapitel werden die Anforderungen an die forensischen Tools basierend auf dem gegebenen Szenario aus Kapitel 3 festgelegt. Dabei wird zwischen allgemeinen und für das Szenario spezifischen Anforderungen unterschieden. 4.1 Allgemeine Anforderungen Such- und Filterfunktion Zur Eingrenzung der relevanten Daten soll der forensische Ermittler die Daten unter Eingabe einfacher oder zusammengesetzter Suchbegriffe durchsuchen können. Darüber hinaus soll er auf eine Filterfunktion zurückgreifen können, um die Anzeige der Daten nach geeigneten Kategorien einzuschränken Datenkorrelation Die Abläufe in dem betroffenen Zeitfenster müssen reproduziert werden. Um ein Gesamtbild zu erstellen, müssen Tools den forensischen Ermittler dabei unterstützen, Zusammenhänge zwischen Daten unterschiedlicher Datenquellen herzustellen Protokollierung Der Prozess der forensischen Analyse muss protokolliert werden. Dabei sollte das forensische Tool eine Funktion besitzen, um sowohl die Eingaben z.b. verwendeter Parameter oder Suchbegriffe des forensischen Ermittlers als auch das Ergebnis genau anzugeben. 23

36 4 Anforderungsanalyse Imageeinbindung Abhängig vom genutzten Tool zur Image-Erstellung werden unterschiedliche Dateitypen erstellt. Das forensische Tool soll verschiedene Image-Dateitypen erkennen und das entsprechende Image zur Untersuchung einbinden und forensisch auswerten können. 4.2 Szenariospezifische Anforderungen Browser-Artefakte Wie in Kapitel 2.5 beschrieben, hinterlässt ein Browser eine Vielzahl von Spuren auf der Festplatte des Computers. Diese Artefakte dienen als äußerst brauchbare Quelle zur Rekonstruktion einer Browser-Session. Zeitbehaftete Daten ˆ Zur Rekonstruktion einer Browser-Session gehört die genaue Wiederherstellung der Darstellung der geöffneten Fenster, Tabs und Popups mit ihrer jeweiligen Position auf dem Desktop sowie der dazugehörigen Scrollposition zu einem bestimmten Zeitpunkt. Diese Informationen muss das verwendete Tool aus den vom Browser gespeicherten Daten lesen können. ˆ Damit der forensische Ermittler die Verbindungen des Browser zu Webseiten oder Eingaben innerhalb des Browsers zu einem gewählten Zeitpunkt rekonstruieren kann, greift er auf die Auswertung des Verlaufs, der Temporary Internet Files und der Log-Files zurück. Zusätzlich soll das forensische Tool den Ermittler beim Auffinden und Entschlüsseln eines SSL-Keys unterstützen, falls die Analyse Hinweise auf eine https/ssl-verbindung zu einer Webseite liefert. Gering zeitbehaftete Daten Ebenso wie die zeitbehafteten Daten, sind auch Formular- und Anmeldedaten (einschließlich der Passwörter), Cookies und Favoriten relevant für die Erstellung eines korrekten Gesamtbildes einer Browser-Session, weshalb auch diese Daten gesammelt ausgegeben werden sollen. 24

37 4.2 Szenariospezifische Anforderungen Downloads Eine Historie der sowohl unvollständigen als auch abgeschlossenen Downloads muss ebenfalls zur vollständigen Rekonstruktion der Browser-Session einsehbar sein Informationen und Veränderungen an zu Grunde liegenden Diensten ˆ Die Konfigurationen des Domain Name System (DNS)-Dienstes können Veränderungen aufweisen, sodass es bei einer Namensauflösung zu falschen Weiterleitungen kommt. Entsprechende Datenquellen müssen diesbezüglich untersucht werden können. ˆ Auch Netzwerkprotokolle wie das TCP/IP-Protokoll müssen auf Veränderungen überprüft werden können. Zudem kann der Standort des Nutzers während der Browser-Session aufschlussreich sein, weswegen eine Auswertung dessen z.b. mithilfe der IP-Adresse durchführbar sein muss Veränderungen von Konfigurationen Die Konfigurationen des Browsers oder der externen Komponenten (z.b. ActiveX Steuerelemente, Plugins, Erweiterungen) können verändert werden. Dies betrifft sowohl die allgemeinen Einstellungen als auch Webseiten-spezifische. Veränderungen an diesen können u.u. zu Sicherheitslücken führen. U.a. in der Registry lassen sich die Konfigurationen des Browsers und der Komponenten überprüfen. Das forensische Tool muss die zugehörigen Datenquellen auffinden und auswerten können Veränderter Programmablauf Sowohl beim Browser selbst als auch bei externen Komponenten, wie Plugins oder Erweiterungen, kann Schadfunktionalität in die gegebene Software einprogrammiert werden, was wiederum u.a. zu Sicherheitslücken innerhalb des Systems führen kann. Zudem besteht die Möglichkeit, dass neue, nicht standardmäßige Komponenten zu dem Browser hinzugefügt werden. 25

38 4 Anforderungsanalyse 26

39 5 Stand der Wissenschaft und Technik Auf Grundlage des Szenarios aus Kapitel 3 wird eine forensische Untersuchung des Opfersystems zur Auswertung der Browser-Session durchgeführt. In diesem Kapitel werden ausgewählte Forensik-Tools zur Rekonstruktion browserbasierter Tatbestände untersucht und jeweils anhand der Anforderungen aus Kapitel 4 beurteilt. 5.1 Image-Erstellung mit dcfldd Zur Erstellung forensischer Duplikationen werden so genannte Image Tools verwendet. Laut [Heb12] ist dazu das Tool dcfldd am besten geeignet. Dieses Programm vereint und erweitert die Funktionen von dd und dc3dd [HKD11]. Die Duplizierung des Datenträgers erfolgt bitweise und dadurch sehr genau. Lediglich bei Linux Kernel Versionen bis 2.4 wird bei einer ungeraden Anzahl an Sektoren der letzte Sektor nicht kopiert. Dcfldd enthält Hashfunktionen, wie MD5, SHA-1, SHA-256 und SHA-512, die zur Sicherung der Integrität dienen. Zusätzlich können sowohl vor, während als auch nach der Transferphase der Daten Hashwerte berechnet werden. Dabei wird eine manuell zu aktivierende Protokolldatei angelegt, die die Berechnungen und potentiell auftretende Fehler enthält. Trotz der Verifikationsfunktion zur Integritätsprüfung gewährleistet dcfldd nicht die Sicherung der Authentizität. Das Tool dcfldd bietet eine Erweiterung der Ausgabeformate des Images. Ergänzend zu dem bisherigen Rohimage bei dd können auch spezielle Formate, wie z.b..aff erstellt werden, die somit die Möglichkeit der zusätzlichen Speicherung von Metadaten geben. Weiterhin lässt sich mit dcfldd die forensische Duplikation in mehrere kleinere Teile aufsplitten. 27

40 5 Stand der Wissenschaft und Technik 5.2 Sicherung der Integrität mit md5deep Das Tool md5deep ist sowohl für Windows als auch für Linux Betriebssysteme verfügbar [Heb12]. Es bietet die Hashfunktionen MD5, SHA-1, SHA-256, Tiger und Whirlpool, wobei der Algorithmus von MD5 laut [Bun11a] nicht mehr als sicher eingestuft werden kann. Md5deep bietet die Möglichkeit der Berechnung rekursiver Hashwerte. Dies bedeutet, dass für jede Datei in jedem Ordner ein eigener Hashwert berechnet wird. Die Überprüfung der Hashwerte ist mittels Hashdatenbanken durch das Tool selbst möglich. Dies ist sinnvoll, da dadurch bekannte und verdächtige Dateien gefiltert werden können und somit die Datenmenge eingegrenzt wird. Bei der Nutzung von md5deep muss beachtet werden, dass es flüchtige Daten verändert. Somit muss die Berechnung durch einen entsprechenden Schreibblocker abgesichert werden. 5.3 Analyse der Daten Forensische Workstation Eine Übersicht über den Aufbau der forensischen Workstation liefert die Abbildung 5.1. Die forensische Analyse findet auf einem virtuellen Server statt. Über eine Windows- Maschine wird Zugriff auf einzelne virtuelle Maschinen erlangt, die sich in einem separaten Netz befinden und dort parallel ausgeführt werden. Auf jeder virtuellen Maschine befindet sich eines der ausgewählten Toolkits entweder auf Basis eines vollständig gepatchten Windows 7 64bit Betriebssystems oder auf Linux. Um die Auswertung auch ohne Probleme auf nicht-virtualisierte Maschinen bzw. auf virtuelle Maschinen, die nicht mit dem VMWare Hypervisor ESXi virtualisiert werden, übertragen zu können, wurden für die Analyse keine speziellen VMWare-Images herangezogen, sondern jeweils eigentständige Installationen mithilfe der.iso-images durchgeführt. Sofern das entsprechende Toolkit eine Windows-Distribution bereitstellt, wurde diese bevorzugt ausgewählt, da in dem Szenario davon auszugehen ist, dass der IT-Security-Auditor kein professioneller forensischer Ermittler ist und somit weniger Erfahrungen mit Linux hat. Zusätzlich wurde eine virtuelle Maschine namens Share aufgesetzt, die sowohl Zugriff auf das Netz der forensischen Workstation als auch auf das Internet hat. Diese Maschine ermöglicht eine kontrollierte Kommunikation unter den virtuellen Maschinen selbst und zwischen den virtuellen Maschinen und dem Internet. Je nach Bedarf der einzelnen Tools sind in die virtuellen Maschinen eine virtuelle Festplatte mit dem 28

41 Analyse der Daten VM-Manager Virtuelle Maschinen Datenkomponente Netzkomponente Intranet /24 virtueller Switch /16 Netzkomponente Internet virtueller Switch OSForensics DFF Autopsy SIFT Backtrack CAINE Paladin The Sleuth Kit Share Win7 Win7 Win7 Linux Linux Linux Linux Win7 WinSrv2003 readonly virtuelle Platte dd Image Legende: vsphere Client Windows Server 2008 Abbildung 5.1: Forensische Workstation entpackten dd-image der forensischen Duplikation und/oder eine virtuelle Festplatte mit der entsprechenden.vmdk-datei des Opfersystems eingebunden Auswahlkriterien Bei der Auswahl geeigneter Toolkits werden nur aktive Projekte in Betracht gezogen, die zur Post-mortem-Analyse dienen und, die Windows 7 analysieren können, da dies dem Betriebssystem des zu untersuchenden Systems entspricht. Ein weiteres bedeutsames Auswahlkriterium ist die Lizenz der Toolsammlung. Da die Funktionsweise von Open Source Tools durch den öffentlich zugänglichen Quelltext besser analysiert werden kann, werden in dieser Arbeit nur Toolsammlungen mit dieser Lizenz betrachtet. Ein weiterer Vorteil von Open Source Tools ist die Tatsache, dass der jeweilige Quelltext an eigene Bedürfnisse angepasst werden kann. Zudem sind die implementierten Funktionen durch den öffentlich zugänglichen Quellcode einfacher zu verifizieren und daher sind auch die Beweise, wie [Sof04] bestätigt, einfacher anzuerkennen. Auch die Marktdurchdringung und die daraus resultierende stetige Weiterentwicklung der Toolsammlung bringen Vorteile mit sich. Die endgültige Auswahl der Tools wurde anhand der Popularität der Toolkits getroffen. Der Dienst Google Analytics [Goo13] veröffentlicht regelmäßig Statistiken zu den Klicks auf bestimmte Links. Hierzu hat Forensic Control [For13] auf Grundlage der entsprechenden Links von Toolsammlungen eine 29

42 5 Stand der Wissenschaft und Technik Tabelle 5.1: Popularität von Toolsammlungen im Jahr 2012 Platz Name URL Aufrufe 1 OSForensics DFF Autopsy SIFT Backtrack CAInE Paladin The SleuthKit Rangliste erstellt. Tabelle 5.1 fasst die Ergebnisse zusammen. In den folgenden Abschnitten werden die ausgewählten Toolkits daraufhin untersucht, inwiefern sie die Post-mortem-Analyse zur Rekonstruktion browserbasierter Tatbestände unterstützen. Daher werden auch nur die Werkzeuge vorgestellt, die sich auf das gegebene Szenario anwenden lassen. Während des kompletten Analyseprozesses haben die virtuellen Maschinen keine Internetverbindung, um bspw. Packete nachinstallieren zu können. Somit ergibt sich der Steuer- und Funktionsumfang der einzelnen Toolsammlungen aus den von der Standardinstallation mitgelieferten Modulen. Die Anforderungsanalyse für die einzelnen Toolkits wird mit Hilfe dreier Bewertungsstufen durchgeführt. Der jeweiligen Anforderung ist ein + zugeordnet für den Fall, dass die Toolsammlung diese erfüllt. Bei Nichterfüllung der Anforderung findet sich in der Tabelle ein - wieder. Erfüllt die Toolsammlung jedoch nur Teilaspekte der Anforderungen, ist dies mit einem o gekennzeichnet. Zusätzliche Erklärungen sind bei Bedarf innerhalb der Tabelle vermerkt OSForensics Die forensische Toolsammlung OSForensics [Pas13] ist eine Windows-Anwendung der Firma Passmark Software, die sich sowohl für die Live-Forensik als auch für die Postmortem-Analyse eignet. Die aktuelle Version ist seit dem 03. Oktober 2012 die Version 1.2 (Build 1003). Einbindung der forensischen Duplikation Die.VMDK-Datei der forensischen Duplikation des zu untersuchenden Systems ist einer zusätzlichen virtuellen Festplatte zugewiesen, die wiederum unabhängig und nicht 30

43 5.3 Analyse der Daten dauerhaft in die virtuelle Maschine von OSForensics eingebunden ist. Dies entspricht einer Einbindung im Read-Only-Modus. Casemanagement Zu Beginn der forensischen Untersuchung erstellt der Ermittler in OSForensics einen neuen Fall. Bei der Erstellung können Angaben zu Name, Ermittler, Organisation, Kontaktdaten, Zeitzone und Speicherverzeichnis gemacht werden. Zusätzlich wird zwischen einer Analyse auf der derzeitigen Maschine und einer externen Maschine unterschieden. Anschließend wird dem Fall die forensische Duplikation des zu untersuchenden Systems zugewiesen. OSForensics unterstützt neben der Angabe eines Laufwerks und eines Netzwerkverzeichnisses folgende Image-Dateiformate: ˆ Raw Images.IMG,.DD, ˆ Raw CD/DVD Images.ISO,.BIN, ˆ Split Raw Images.000,.001, ˆ Advanced Forensic Format.AFF,.AFD,.AFM, ˆ VMWare Images.VMDK, ˆ EnCase Images.E01 und ˆ SMART Images.S01. Anschließend kann das Image zur Index-Erstellung durchsucht werden. Dies beschleunigt bspw. Suchfunktionen und Zeitstrahlerstellungen im weiteren Verlauf der Analyse. Bei der Indizierung können die einzubeziehenden Daten manuell eingegeben oder aus den folgenden Kategorien individuell zusammengestellt werden: ˆ s, ˆ Anhänge, ˆ Office- und PDF-Dokumente, ˆ Zip-Dateien, ˆ Bilder, 31

44 5 Stand der Wissenschaft und Technik ˆ Klartext-Dateien, ˆ Web- und XML-Dateien, ˆ nicht zugewiesene Sektoren, ˆ andere unterstützte Dateitypen und ˆ unbekannten Dateien. Des Weiteren können alle Dateien mittels SHA1-, SHA256- und MD5-Hashs verifiziert werden. Daten-Management Nach der erfolgreichen Indizierung kann mit der Funktion Search Within Files der Index nach einzelen oder zusammengesetzten Suchbegriffen durchsucht werden. Zudem können Keyword-Listen genutzt und eine Zeitspanne und maximale Trefferanzahl angegeben werden. Sollen alle Dateien aufgelistet werden, muss das Suchfeld leer bleiben. Die Ergebnisse werden nach den vorher ausgewählten Kategorien gefiltert ausgegeben und können bspw. nach dem Zeitstempel sortiert werden. Neben dem Dateinamen zeigt OSForensics einen Ausschnitt des Inhalts an, in dem der Suchtreffer gelb hervorgehoben wird. Zusätzlich zum Zeitstempel der Datei, wird auch die Anzahl der Treffer innerhalb der Datei angegeben. Dateien können in einer Datei-, Hex/String- und Textansicht betrachtet und ihre Metadaten, wie Dateipfad, Dateityp, Größe und Zeitstempel eingesehen werden. Neben der internen Dateibetrachtung, lassen sich alle Dateien auch mit einem externen Programm öffnen. Eine relevante Datei kann zu dem Fall oder unter Angabe einer Farbe zu den Bookmarks hinzugefügt werden. Durch das Auswählen mehrerer Suchtreffer, kann der Er- mittler diese Liste als.txt-,.html- oder.csv-datei exportieren. Zu jeder Suche wird ein individueller Zeitstrahl der Treffer erstellt, der als Säulendiagramm in einer Jahres-, Monats-, Tages- und Stundenansicht betrachtet werden kann. Mit Recent Activity wird unter der Auswahl eines Zeitfensters sowohl ein Zeitstrahl als auch eine Dateiliste der letzten Aktivitäten angezeigt. 32

45 5.3 Analyse der Daten Mit dem Modul Registry Viewer durchsucht OSForensics das eingebundene Image nach Registry-Dateien, in denen nach Dateiöffnung einzelne Keys aufgerufen werden können. Weiterhin kann der forensische Ermittler u.a. im Browser gespeicherte Zugangsdaten mit dem Website Passwords -Modul auslesen. Abschlussbericht OSForensics kann drei verschiedene Berichtarten als.html-datei generieren: Einen Fallbericht, einen Fallbericht ohne Javascript und einen Chain of Custody -Bericht. Der Fallbericht enthält neben dem Fall- und Ermittlernamen exportierte Dateien, Anhänge, Notizen, s und die farblich markierten Bookmarks. Der Bericht der Chain of Custody stellt eine Vorlage bereit. Ergebnisse OSForensics liefert einen Treffer bei der Suche nach der -Adresse des Opfers, wie auf Abbildung 5.2 zu erkennen ist. Abbildung 5.2: OSForensics: Ergebnis für die Suche nach der Opfer- -Adresse Beim Öffnen der display[1].html im Internet Explorer erscheint eine Kaufbestätigung von Amazon. Bei der Suche nach dem Titel des gekauften Buches, gelangt der Ermittler zu der view-upsell[1].html, die den Amazon-Einkaufswagen darstellt (siehe Abbildung 5.3) Wie Abbildung 5.4 demonstriert, findet der IT-Security-Auditor unter der Kategorie Bilder mehrfach Treffer in den Temporary Internet Files, die mit dem gekauften Artikel übereinstimmen. Die Abbildung 5.5 zeigt den Zeitstrahl für alle Dateien mit einem Zeitstempel vom Januar

46 5 Stand der Wissenschaft und Technik Abbildung 5.3: OSForensics: Ausschnitt aus dem Einkaufswagen Quelldatei: Opfersystem:\Users\Sandy\AppData\Local\Microsoft\Windows\ TemporaryInternetFiles\Low\Content.IE5\S6OU8I07\view-upsell[1].html Die Datei Opfersystem:\users\Sandy\NTUSER.DAT liefert mit dem Registry Viewer nützliche Informationen zur Browser-Session mit dem Internet Explorer. Unter dem Key Software\Microsoft\InternetExplorer\TypedURLs befinden sich alle in die Adresszeile eingegeben URLs. Wie die Abbildung 5.6 zeigt, führten die letzten drei URL-Eingaben in die Adresszeile des Internet Explorers zu ebay und Amazon. Das Website Passwords -Modul zeigt, auf welchen Webseiten eine Anmeldevorgang vollzogen wurde. Jedoch liefert er, wie Abbildung 5.7 belegt, keine Treffer, da der Nutzer die Passwörter nicht im Browser gespeichert hat. Bewertung Diese Toolsammlung kann eine große Anzahl forensischer Aufgaben im Zuge der Postmortem-Analyse durchführen. Vor allem das Auslesen von Passwörtern und das automatische Erkennen der Registry-Hives stellt eine Bereicherung für die forensische Analyse dar. Die Suchfunktion von OSForensics liefert nicht immer alle Treffer. Bspw. findet das Search within Files -Modul nur einen Treffer der -Adresse des Opfers im gesamten Image, wobei nach manueller Durchsicht mehrere Übereinstimmungen gefunden werden. Diese Unzuverlässigkeit erschwert das Finden potentiell relevanter 34

47 5.3 Analyse der Daten Abbildung 5.4: OSForensics: Bilder des gekauften Artikels im Cache Abbildung 5.5: OSForensics: Zeitstrahl aller Dateien mit einem Zeitstempel vom Januar 2013 Dateien, die nicht einer Kategorie zugeordnet sind. Die Tabelle 5.2 fasst die Bewertung von OSForensics nach seiner Erfüllung der für diese Bachelorarbeit relevanten Anforderungen zusammen DFF - Digital Forensics Framework Das Digital Forensics Framework [Arx13] der Firma ArxSys analysiert Laufwerke, Dateisysteme, Benutzer- und Anwendungsdaten, indem es vor allem nach Metadaten, gelöschten und versteckten Dateien sucht. DFF wird für die Betriebssysteme Windows und Linux entwickelt. Für diese Untersuchung wurde die Windows-Installationsdatei 35

48 5 Stand der Wissenschaft und Technik Abbildung 5.6: OSForensics: Registry-Einträge Abschnitt Software\Microsoft\InternetExplorer\TypedURLs der Version Release with dependencies genutzt. Der forensische Ermittler hat die Möglichkeit sowohl mit einer Shell oder einer GUI zu arbeiten. Einbindung der forensischen Duplikation Wie bereits bei OSForensics wird eine zusätzliche virtuelle Festplatte mit der.vmdk- Datei in die virtuelle DFF -Maschine eingebunden. Die Einbindung erfolgt ebenfalls unabhängig und nicht dauerhaft. Da die Toolsammlung jedoch die virtuelle Festplatte nicht erfolgreich als Image einlesen kann, wird eine zusätzliche virtuelle Festplatte mit dem entpackten dd-image eingebunden. Unterstützte Image-Dateitypen sind neben den Rohdatentypen,.EWF, wozu auch der EnCase-Dateityp.E01 gehört und.aff. Daten-Management Nach dem Hinzufügen des Images, wird dieses unter Logical Files angezeigt. Jedem Ordner und jeder Datei werden Name, Typ, Größe und Attribute zugewiesen. Auf einzelne Ordner und Dateien können Module ausgeführt werden. Durch Doppelklick auf eine Datei oder einen Ordner wendet DFF das geeignetste Modul an. Die gleiche Wirkung hat die Option Open. Unter Relevant module schlägt DFF Module zur Anwendung vor. Mit Open with kann aus den vorhandenen Modulen ausgewählt werden. Die Option Extract stellt eine Exportierungsfunktion bereit. Abbildung 5.7: OSForensics: Auslesen der Browser-Passwörter 36

49 5.3 Analyse der Daten OSForensics Tabelle 5.2: Anforderungsanalyse von OSForensics Anforderungen Bewertung Bemerkung Allgemeine Anforderungen Imageeinbindung +.IMG,.DD,.ISO,.BIN,.001,.AFF,.AFD,.AFM,.VMDK,.E01,.S01 Such-/Filterfunktion + Datenkorrelation - Protokollierung o Fall-, Ermittlername, exportierte Dateien, Anhänge, Notizen, s, Bookmarks Szenariospezifische Anforderungen Browser-Artefakte Darstellung - Verlauf - Cache o Navigation zu Cache-Ordner und Betrachten der Dateien HTTPS/SSL - Passwörter o gespeicherte Browser-Passwörter Cookies - Favoriten o Anzeige der Dateien im Favoriten-Ordner Formulardaten - Downloads - Informationen/Veränderungen zu Grunde liegender Dienste DNS/Namensauflösung o Betrachten der hosts-datei TCP/IP Protocol Stack - Veränderung der Konfigurationen Browser - Komponenten - Veränderter Programmablauf Browser - Komponenten - Als Betrachter stehen dem Ermittler eine Hexadezimal-, Text-, Web- und Bildansicht zur Verfügung. Die Hexadezimalansicht beinhaltet einen ASCII-Betrachter und eine Suchfunktion. Der IT-Security-Auditor wendet auf Empfehlung von DFF das NTFS-Modul auf das dd Image an. Daraufhin ist die Verzeichnisstruktur des Opfersystems einsehbar. Durch diese muss der forensische Ermittler sich zu Dateien navigieren, auf die er Module anwenden möchte. Ergebnisse und Beurteilung Während der Analyse wird der Ermittler nur wenig von den Modulen DFFs unterstützt. Die Bedienung ist nutzerunfreundlich und nur selten zielführend. Nach der Anwendung des winreg-moduls auf die Datei Opfersystem:\users\Sandy\NTUSER.DAT, kann der forensische Ermittler durch das Registry-Hive navigieren. Jedoch können die Inhalte der Keys nicht lesbar betrachtet werden. Abbildung 5.8 zeigt dies exemplarisch für den Key Software\Microsoft\InternetExplorer\TypedURLs. 37

50 5 Stand der Wissenschaft und Technik Abbildung 5.8: DFF: Registry-Einträge Abschnitt Software\Microsoft\InternetExplorer\TypedURLs Zusätzlich ist bspw. der Content.IE5-Ordner mit den Temporären Internetdaten innerhalb der gegebene Verzeichnisstruktur nicht auffindbar. Ein weiterer negativer Aspekt bietet die Tatsache, dass bei einem Neustart des Programmes alle zuvor getätigten Schritte zurückgesetzt sind und der forensische Ermittler wieder bei der Einbindung des Images beginnen muss. Auch das Ergebnis der Anforderungsanalyse, das in Tabelle 5.3 festgehalten ist, weist auf die Mängel des Digital Forensics Frameworks hin. Für die Analyse einer Browser- Session ist DFF nach dieser Tooluntersuchung ungeeignet Autopsy Bei Autopsy [Car13a] handelt es sich um eine grafische Erweiterung des Toolkits The SleuthKit unter der Entwicklng von Brian Carrier. Bis zur Version 2 wurde Autopsy sowohl für Windows als auch für Linux entwickelt. Die Version 3 verschafft der Toolsammlung ein komplett neues Erscheinungsbild und ist nur noch als Windows- Installationsdatei erhältlich. Auf der vollständig gepatchten Windows 7 Maschine wird die Installation der seit dem 08. Januar 2013 veröffentlichten Version mit der.msi-datei durchgeführt. Einbindung der forensischen Duplikation Der virtuellen Maschine wird wie bei den zuvor untersuchten Toolsammlungen eine zusätzliche virtuelle Festplatte unabhängig, nicht dauerhaft und mit einer entsprechenden Zuordnung der.vmdk-datei des Opfersystemimages hinzugefügt. 38

51 5.3 Analyse der Daten DFF Tabelle 5.3: Anforderungsanalyse von DFF Anforderungen Bewertung Bemerkung Allgemeine Anforderungen Imageeinbindung +.IMG,.DD,.AFF,.E01,.S01, (zusätzlich Laufwerk?) Such-/Filterfunktion o Datenkorrelation - Protokollierung - Szenariospezifische Anforderungen Browser-Artefakte Darstellung - Verlauf - Cache - HTTPS/SSL - Passwörter - Cookies - Favoriten - Formulardaten - Downloads - Informationen/Veränderungen zu Grunde liegender Dienste DNS/Namensauflösung - TCP/IP Protocol Stack - Veränderung der Konfigurationen Browser - Komponenten - Veränderter Programmablauf Browser - Komponenten - Case-Management Zu Beginn der Untersuchung lässt sich ein Fall unter Angabe von Name, Speicherverzeichnis, Fallnummer und Ermittlername erstellen. Neben einer lokalen Festplatte können Image-Dateien in Rohdatenformaten oder dem Dateiformat.E01 von EnCase eingebunden werden. Zudem hat der forensische Ermittler die Möglichkeit, mehrere forensische Duplikationen zu einem Fall hinzuzufügen. Nach der Imageeinbindung in das Programm, können die Module ˆ Recent Activity, ˆ Hash Lookup, ˆ EXIF Image Parser, ˆ Keyword Search und ˆ Thunderbird Parser auf das Image angewendet werden Zusätzlich können bei den Modulen erweiterte Einstellungen, wie das Auswählen vorgefertigter oder das Erstellen eigener Keyword-Listen und das Hinzufügen von Hash- 39

52 5 Stand der Wissenschaft und Technik datenbanken, vorgenommen werden. Das Einlesen des Images und das Anwenden der Module dauert mehrere Stunden. Daten-Management Nach dem Anwenden der Module auf das Image werden erste Ergebnisse nach ˆ Dateitypen (Bilder, Video, Audio, Dokumente), ˆ zuletzt benutzten Dateien der letzten sieben Tage, ˆ Kategorien (Lesezeichen, Cookies, Browserverlauf, Downloads, aktuelle Dokumente, installierte Programme, hinzugefügte Geräte, Suchmaschinenabfragen, EXIF Metadaten), ˆ Keyword-Treffern der ausgewählten Listen, ˆ Hashset-Treffern und ˆ -Nachrichten sortiert angezeigt. Zudem ist eine Ordnerstruktur mit Dateileichen und nicht zugeordneten Dateien einsehbar. Des Weiteren kann das Image mit Hilfe von Hashwertdatenbanken und Suchfunktionen analysiert werden. Dabei werden Suchfunktionen mit einfachen oder zusammengesetzten Wörtern, regulären Ausdrücken und Keyword-Listen unterstützt. Erfolgreiche Suchergebnisse werden unter Keyword Hits abgespeichert. Ebenso kann nach Dateien mit dem gleichen MD5-Hash gesucht werden. Die Detailansicht lässt sich nach den entsprechenden Spalten (z.b. Zeitstempel, URL, Domain) auf- und absteigend sortieren. Dateien können intern in einer Hex-, String-, Ergebnis-, Text- und ggf. Medienansicht betrachtet werden. Ergänzend können sie auch mit einem externen Programm geöffnet werden, z.b. mit dem Editor bei.txt-dateien, mit dem Internet Explorer bei.html- Dateien und mit dem Eventmananger bei.evtx-dateien. Der forensische Ermittler kann für den Fall relevante Dateien sowohl extrahieren, als auch auch über die Funktion Bookmark File oder Bookmark Result unter Angabe eines Kommentars in dem Bookmark-Ordner verlinken. 40

53 5.3 Analyse der Daten Abschlussbericht Ist der forensische Ermittler am Ende der Fallanalyse angelangt, kann er diesen in Autopsy schließen und einen Report als.html-datei, Excel-Tabelle oder Body File generieren. In diesem befinden sich neben der Zusammenfassung der Fall- und Imageinformationen die hinterlegten Bookmarks inkl. Dateiname, Dateipfad und Kommentaren. Ergebnisse Autopsy liest alle vom Internet Explorer hinterlegten Lesezeichen, Cookies und den gesamten Verlauf aus index.dat aus. Darunter befinden sich, wie auf Abbildung 5.9 erkennbar ist, auch entsprechende Einträge einer https-verbindung zu Amazon. Abbildung 5.9: Autopsy: Ausschnitt der Auswertung des Verlaufs Quelldatei: F:\Users\Sandy\AppData\Local\Microsoft\Windows\ TemporaryInternetFiles\Low\Content.IE5\index.dat Zudem gibt es drei Cookies mit der Domain von Amazon, deren Inhalt in Textform durchgescrollt werden kann. Die Abbildung 5.10 zeigt einen Ausschnitt des Inhalts eines dieser Cookies. Bei der Keyword-Suche nach der -Adresse des Opfers werden zwei Treffer erzielt. Ein Treffer liefert die Wiederherstellungsdatei der Browser-Session im Last Active- Ordner. Nach manueller Durchsicht der Datei findet der forensische Ermittler nicht nur Informationen zu geöffneten Seiten und getätigten Suchen während der Sitzung, sondern auch eingebene Zugangsdaten einer fehlgeschlagenen Anmeldung bei Amazon im Klartext, wie Abbildung 5.11 belegt. In der Verlauf-.HTML-Datei display[1].html findet Autopsy einen zweiten Treffer zur -Adresse. Beim Öffnen der Datei im Internet Explorer wird die Bestätigungsseite für einen getätigten Einkauf unter der besagten -Adresse angezeigt. Einen Ausschnitt dieser Seite zeigt Abbildung

54 5 Stand der Wissenschaft und Technik Abbildung 5.10: Autopsy: Ausschnitt aus der Cookie-Analyse Quelldatei: F:\Users\Sandy\AppData\Roaming\Microsoft\Windows\Cookies\Low\ Abbildung 5.11: Autopsy: Zugangsdaten einer fehlgeschlagenen Anmeldung zu Amazon Quelldatei: F:\Users\Sandy\AppData\Local\Microsoft\InternetExplorer\Recovery\ LastActive\{B98537CA-58C6-11E2-B C2910B459}.dat Einige.HTML-Dateien wie continue[1].html lassen sich nicht erfolgreich im Internet Explorer öffnen. Nach erneuter manueller Durchsicht der besagten Datei trifft der IT- Security-Auditor auf Informationen zu dem gekauften Artikel, dem Preis, der Lieferund Rechnungsadresse (siehe Abbildung 5.13) und auf die letzten zwei Stellen einer Kontonummer (siehe Abbildung 5.14). Beurteilung Autopsy gibt die Daten eines zu untersuchenden Systems sortiert aus und lässt sie nach langer Einlesezeit schnell durchsuchen. Die Stichwortsuche ist wie es bereits bei OS- Forensics der Fall war, stellenweise unzuverlässig und liefert somit lediglich Hinweise darauf, welche Dateien für den Fall relevant sein könnten. Beispielsweise findet Autopsy bei der Keyword-Suche zu Internet Explorer die Logdatei Internet_Explorer.evtx nicht. Somit müssen potentiell informative Dateien manuell durchsucht werden, um weitere Informationen erlangen zu können. Zudem muss der Ermittler für eine erfolgreiche Analyse Kenntnisse über mögliche Datenquellen und ihre Pfade haben, um diese manuell zu suchen und auszuwerten. Besonders hervorzuheben ist der Aspekt, 42

55 5.3 Analyse der Daten Abbildung 5.12: Autopsy: Ausschnitt aus dem Einkaufswagen Quelldatei: F:\Users\Sandy\AppData\Local\Microsoft\Windows\ TemporaryInternetFiles\Low\Content.IE5\BYO5TPM7\display[1].html Autopsy Tabelle 5.4: Anforderungsanalyse von Autopsy Anforderungen Bewertung Bemerkung Allgemeine Anforderungen Imageeinbindung +.IMG,.DD,.E01, (zusätzlich Laufwerk) Such-/Filterfunktion + Datenkorrelation - Protokollierung o Fallname, Informationen zu Image, Bookmarks (inkl. Dateiname, Dateipfad, Kommentare) Szenariospezifische Anforderungen Browser-Artefakte Darstellung - Verlauf + Cache o Navigation zu Cache-Ordner und Betrachten der Dateien möglich HTTPS/SSL - Passwörter - Cookies + Favoriten + Formulardaten - Downloads + Informationen/Veränderungen zu Grunde liegender Dienste DNS/Namensauflösung o Betrachten der hosts-datei TCP/IP Protocol Stack - Veränderung der Konfigurationen Browser - Komponenten - Veränderter Programmablauf Browser - Komponenten - 43

56 5 Stand der Wissenschaft und Technik Abbildung 5.13: Autopsy: Amazon-Lieferadresse Quelldatei: F:\Users\Sandy\AppData\Local\Microsoft\Windows\ TemporaryInternetFiles\Low\Content.IE5\BYO5TPM7\continue[1].html Abbildung 5.14: Autopsy: In Amazon hinterlegte Kontonummer Quelldatei: F:\Users\Sandy\AppData\Local\Microsoft\Windows\ TemporaryInternetFiles\Low\Content.IE5\BYO5TPM7\continue[1].html dass Autopsy in einer Endbewertung eine gute Unterstützung der forensischen Analyse einer Browser-Session darstellt, wie Tabelle 5.4 zu entnehmen ist SIFT - SANS Investigate Forensic Toolkit Das SANS Investigate Forensic Toolkit [SAN13] der Firma SANS ist eine vorkonfigurierte Toolsammlung diverser Werkzeuge für forensische Untersuchungen. SIFT ist für Linux entwickelt und kann direkt als VMWare Image, als Live-Distribution oder als.iso-installationsdatei bezogen werden. Auf der virtuellen Linux-Maschine wurde die.iso-datei der aktuellen Version 2.14 zur Installation verwendet. Einbindung der forensischen Duplikation Einige Tools dieser Sammlung können nur eine virtuelle Festplatte einlesen. Andere Tools wiederum benötigen eine Image-Datei der Typen Expert Witness Format des Image-Tools EnCase (.E01), Advanced Forensic Format (.AFF), das zusätzliche Metadaten speichern kann, oder Rohimage-Typen des Image-Tools dd (.DD oder.img). Aus diesem Grund wird der virtuellen SIFT -Maschine jeweils eine virtuelle Festplatte mit dem entpackten dd Image und der.vmdk-datei der forensischen Duplikation im Read-Only-Modus hinzugefügt. Autopsy Forensic Browser SIFT stellt zur forensischen Analyse den Autopsy Forensic Browser [Car13a] mit der Version 2.24 bereit. Dieser ist wie sein Nachfolger aus Kapitel eine grafische Erweiterung zu The SleuthKit, hat jedoch eine abweichende grafische Oberfläche. Die 44

57 5.3 Analyse der Daten Analyse erfolgt in einem Browser, wobei Ermittler die forensischen Duplikationen auf einem Server speichern können. Dadurch kann die Analyse mit mehreren Ermittlern an entfernten Computern erfolgen. Dabei muss bei der Anlegung des Falls neben den Angaben zu Fallname, Name des zu untersuchenden Systems, Zeitzone und Zeitabweichung ein Host bestimmt werden. Die Einbindung der forensischen Duplikation erfolgt nur über eine Image-Datei im Rohdatenformat des Image Tools dd oder im En- Case-Format.E01. Zudem können auch geteilte Images hinzugefügt werden. Weitere Angaben bzgl. ˆ Typ des Images (Festplatte oder Partition) ˆ Importier-Methode (symbolic link, copy oder move) ˆ Verifizierung des Images mittels MD5-Hash (ignorieren, berechnen oder eigene Eingabe) und ˆ den zu untersuchenden Partitionen inkl. Dateisystem haben zu erfolgen. Die aus dem Szenario zu untersuchende Duplikation wird als Partition unter Verlinkung und mit einer MD5-Hashwertberechnung eingebunden. Der Autopsy Forensic Browser arbeitet vor allem mit Dateisystemstrukturen. Somit können Details über die Master File Table (MFT) inklusive ihrer Cluster und Sektoren aufgerufen werden. Die Datenträgeranalyse erfolgt in fünf aufeinander folgenden Schritten: Über File Analyse lässt sich die Ordnerstruktur der forensischen Duplikation aufrufen und es kann nach Dateinamen und gelöschten Dateien gesucht werden. Die Inhalte der Suchtreffer können in einer ASCII-, Hex-, und ASCII Strings-Ansicht betrachtet werden. Der forensische Ermittler kann relevante Dateien exportieren und mit Notizen versehen. Wird eine Notiz hinzugefügt, erstellt der Autopsy Forensic Browser einen Bericht mit allgemeinen Informationen, wie Dateiname, Hashwerte, Zeitstempel der Generierung und Ermittler, mit Metadaten (Position in der MFT, Attribute) und mit dem entsprechenden Inhalt. Hat der Ermittler diesen Schritt zumindest vorübergehend abgeschlossen, folgt die Keyword Search. In diesem Abschnitt kann nach einzelnen und zusammengesetzten Suchbegriffen und regulären Ausdrücken auf Basis der grep-suchfunktion innerhalb des Images gesucht werden. Diese Suchfunktion hat Einschränkungen und ist laut 45

58 5 Stand der Wissenschaft und Technik [Car13b] somit nicht zuverlässig. Die Suche ist wegen des nicht indizierten Images besonders zeitaufwendig. Treffer werden nach Clustern mit einer Angabe zum Quellverzeichnis aufgelistet. Ein Cluster kann ebenso wie eine Datei exportiert werden. Auch das Hinzufügen von Notizen mit automatischer Berichterstellung ist möglich. Nach diesem Schritt gelangt der Ermittler zu File Type Sortings. Hier werden die Dateien des zu untersuchenden Systems nach den Kategorien ˆ Archiv, ˆ Audio, ˆ Komprimierung, ˆ Krypto, ˆ Daten, ˆ Disk, ˆ Dokumente, ˆ ausführbare Dateien, ˆ Bilder, ˆ System, ˆ Text, ˆ Unbekannt, ˆ Video und ˆ Extension Mismatches sortiert ausgegeben. Das Ergebnis lässt sich in Textform ohne Verlinkungen als.html-datei speichern. Im anschließenden Meta Data Mode besteht die Möglichkeit, nach einem konkreten MFT-Eintrag zu suchen oder sich die Allocation-Liste anzeigen zu lassen. Jeder MFT-Eintrag gibt an, welche Datei ihm zugeordnet ist. Hierbei können ebenfalls die Inhalte angezeigt, die Datei als Cluster exportiert und eine Notiz mit Berichterzeugung hinzugefügt werden. 46

59 5.3 Analyse der Daten Zuletzt kann eine Suche nach Clustern unter Date Unit Mode erfolgen. Dabei stehen die gleichen Informationen und Funktionen zur Verfügung wie im Schritt zuvor. Nach der Analyse kann eine File Activity Timeline erstellt werden. Dazu wird eine Datendatei unter Generierung eines MD5-Hashes erzeugt, aus der nach der Auswahl eines Zeitfensters ein in Monate gegliedert Zeitstrahl erstellt wird. In der Analyse- Phase erstellte Notizen können hier eingesehen werden. Zudem hinterlegt der Autopsy Forensic Browser diesen Zeitstrahl in Tabellenform auf der virtuellen Maschine. Unter Image Integrity werden alle gehashten Daten mit einer Validierungsfunktion angezeigt, während unter Hash Database Manager eingebundene Hashdatenbanken eingesehen werden können. Der Event Sequencer listet alle Events inkl. zugehöriger Notizen auf. Ein Event kann mit einem individuellen Zeitstempel versehen und unter Quellenangabe, wie z.b. Firewall, Log oder Person, hinzugefügt werden. Der Autopsy Forensic Browser dient in erster Linie der Datenbetrachtung, während es ihm nicht gelingt, den Ermittler bei der professionellen Suche und forensischen Auswertung v.a. in Bezug auf das gegebene Szenario ausreichend zu unterstützen. Neben der teils unzuverlässigen Suchfunktion, liegt der Großteil der gegebenen Informationen nur in reiner Textform ohne jegliche Verlinkung oder Bewertung vor. Lediglich die Verifizierungsunterstützung durch Hashwerte, das Case-Management und die Kategoriezuweisung der Dateitypen stellen eine für den Ermittler Bereicherung dar. bulk extractor Der bulk extractor [GAE + 13], der unter der Leitung von Simson Garfinkel entwickelt wird, ist ein C++ Konsolenprogramm zum Durchsuchen eines Images, einer Datei oder eines Dateiverzeichnisses. Der Unterschied zwischen diesem und anderen Forensiktools ist, dass dieser sich durch seine Schnelligkeit und Gründlichkeit von ihnen abhebt. Der bulk extractor extrahiert nützliche Informationen, ohne dabei das Dateisystem oder Dateisystemstrukturen zu analysieren. Dadurch kann er verschiedene Teile des zu untersuchenden Systems parallel verarbeiten. Dabei teilt das Programm den Datenträger in 16MB Abschnitte ein und verarbeitet parallel pro verfügbaren Prozessorkern einen davon. 47

60 5 Stand der Wissenschaft und Technik Die Gründlichkeit des bulk extractors ergibt sich aus der automatischen Erkennung, Dekomprimierung und rekursiven Wiederverarbeitung der komprimierten Daten verschiedener Komprimierungsalgorithmen. Somit findet er v.a. in den nicht zugewiesenen Bereichen eines Dateisystems komprimierte Daten, was vielen gängigen forensischen Tools nicht gelingt [Wik13]. Die Ergebnisse werden in so genannten Feature Files gespeichert, die mit automatisierten Tools untersucht und weiterverarbeitet werden können. Diese Feature Files werden in Form von Histogramm-Textdateien erstellt und ordnen die gescannten Daten je nach Textstruktur Kategorien wie potentielle Kreditkartennummern, Adressen, IPv6-Adressen, Telefonnummern und URLs zu. Auch wenn der Scannprozess durch die parallele Verarbeitung beschleunigt wird, benötigt der bulk extractor mehrere Stunden zum Scannen des vorliegenden dd Images. DFF - Digital Forensics Framework Das Digital Forensics Framework [Arx13] ist eine Toolsammlung zur Durchführung einer forensischen Analyse der Firma ArxSys. Auf seine Funktionen wird in Kapitel eingegangen. Galleta Bei dem Konsolentool Galleta [McA13a] der Firma McAfee handelt es sich um ein Analysetool, das speziell zur Verarbeitung von Cookies des Internet Explorers entwickelt wurde. Dabei kann es auf den Plattformen Windows, Mac OS X, Linux und BSD ausgeführt werden. Die aktuelle Version von Galleta ist die Version 1.0. Ordnet der forensische Ermittler diesem Tool eine Cookie-Textdatei zu, erstellt Galleta ein Spreadsheet dieser Datei, wie exemplarisch in Abbildung 5.15 zu sehen ist. Dabei ist dies eine Bereicherung für den Ermittler, da durch die Überführung der Daten in eine Tabelle die Übersicht verbessert wird, was der individuellen Verwertbarkeit dient. Jedoch sollte vor der Nutzung von Galleta bekannt sein, welche Cookies für den Fall relevant sind. Dies lässt sich häufig anhand des Dateinamens erkennen, da dieser den Domainnamen der besuchten Webseite enthält. 48

61 5.3 Analyse der Daten Abbildung 5.15: Galleta: Spreadsheet Quelldatei: F:\Users\Sandy\AppData\Roaming\Microsoft\Windows\Cookies\Low\ Pasco Das Tool Pasco [McA13b] mit der Versionsnummer 1.0, das ebenfalls von McAfee für die Betriebssysteme Windows, Mac OS X, Linux und BSD entwickelt wird, ist ein forensisches Analysetool mit dem Fokus auf der Verarbeitung der Internetaktivität des Internet Explorers anhand der index.dat. Dazu wird dem Konsolentool eine der index.dat Dateien des Internet Explorers zugeordnet, woraufhin es ein Spreadsheet mit den Inhalten dieser erstellt. Die Abbildung 5.16 zeigt das Spreadsheet des URL-Verlaufs aus dem Szenario dieser Arbeit. Darauf ist zu sehen, dass in der Type-Spalte zwischen URLs und Weiterleitungen, die mit REDR gekennzeichnet sind, unterschieden wird. Pasco erleichtert dem Ermittler die Rekonstruktion des Browser- oder Cookieverlaufs. Weiterhin ermöglicht es ihm, die Inhalte nach Belieben zu sortieren und zu filtern oder anderweitig weiterzuverarbeiten. PTK Forensics Das in SIFT integrierte PTK Forensics 2.0 [DFL13] ist ein Computerforensik- Framework der Firma DFLabs. Es bietet als Browseranwendung eine grafische Oberfläche zu den Kommandozeilentools aus TSK, enthält jedoch noch zusätzliche Module. Mit PTK Forensics können sowohl mehrere Ermittler gleichzeitig den gleichen Fall, als auch ein Ermittler mehrere Fälle parallel bearbeiten. Dabei werden alle generierten Berichte und Bookmarks eines Ermittlers gesondert in der Datenbank gespeichert. 49

62 5 Stand der Wissenschaft und Technik Abbildung 5.16: Pasco: Spreadsheet Quelldatei: F: \Users\Sandy\AppData\Local\TemporaryInternetFiles\Low\Content.IE5\index.dat Ein neuer Fall wird unter Angabe von Name und Beschreibung angelegt. Diesem können anschließend im Image Management forensische Duplikationen und im Investigator Management Ermittler zugewiesen werden. Zu den lesbaren Image-Dateitypen gehören neben den von dd, EnCase und Safeback erstellten Images,.AFF und eine 100% Kopie, was einer bitweisen Duplizierung entspricht. Zusätzliche Angaben zu Name, Zeit der Sicherstellung, Name des Sicherstellers, Staat, Stadt, Adresse, Postleitzahl, Beschreibung, Dateisystem und Zeitzone können erfolgen. Der Ermittler wählt ein der Importier-Methoden symbolic link oder copy aus und verifiziert anschließend die Integrität mittles MD5 und SHA-1 Hashwerterzeugung. Das Einbinden des dd-images ist erfolglos, weswegen keine weitere Analyse mit PTK Forensics erfolgen kann (siehe Abbildung 5.17). PyFlag PyFlag 0.87-pre1 ist ebenfalls ein Webbrowser-basiertes Tool zur forensischen Analyse und zur Logdatei-Analyse, dessen Entwicklung seit dem 24. Juli 2012 eingestellt ist. Seine Funktionen basieren zu einem großen Teil auf den Modulen von The SleuthKit. PyFlag stellt Tools zu Live-Forensik und Post-mortem-Analyse bereit. Zu Beginn der forensischen Analyse wird mit PyFlag ein Fall angelegt. Diesem kann 50

63 5.3 Analyse der Daten Abbildung 5.17: PTK: Erfolglose Einbindung des Images entweder ein Laufwerk oder eine Logdatei zugeordnet werden. Nach der Zuweisung des zu untersuchenden Systems wird dieses in einer Verzeichnisstruktur angezeigt. Mit View File Timeline wird ein Zeitstrahl aller Dateien aufgelistet. Dieser lässt sich nach Datum auf- und absteigend sortieren und mit der Filterfunktion durchsuchen. Dabei kann ausgewählt werden, welche Spalte in die Suche mit einbezogen werden soll. Zudem kann die Tabelle nach den Werten einer Spalte gruppiert werden. Eine Tabelle lässt sich als.html- oder.csv-datei speichern. PyFlag verfügt zudem über eine Browser-Verlauf-Anzeige, die auch den Internet Explorer unterstützt. Für den Fall relevante Dateien können mit Kommentaren versehen, einer Kategorie zugeordnet und gesammelt aufgerufen werden. Diese befinden sich auch in dem abschließenden Fallbericht. TSK - The SleuthKit Das Toolkit TSK bietet diverse Kommandozeilentools zur Analyse einer Image-Datei. Die Windows-Version wird in Kapitel?? vorgestellt und auf seine Funktionen hin untersucht und bewertet. Yaru Mit dem in SIFT integrierten Tool Yaru 1.14 kann der forensische Ermittler nach Hinzufügen eines Registry Hives, durch diesen navigieren. Somit findet 51

64 5 Stand der Wissenschaft und Technik Abbildung 5.18: Yaru: Registry-Einträge Abschnitt Software\Microsoft\Internet_Explorer\TypedURLs SIFT Tabelle 5.5: Anforderungsanalyse von SIFT Anforderungen Bewertung Bemerkung Allgemeine Anforderungen Imageeinbindung o teilweise.e01,.aff,.dd,.img; teilweise Laufwerk Such-/Filterfunktion + Autopsy Forensic Browser, bulk_extractor, TSK, PyFlag Datenkorrelation - Protokollierung o teilweise ( Autopsy Forensic Browser, PyFlag) Szenariospezifische Anforderungen Browser-Artefakte Darstellung - Verlauf + Pasco, bulk_extractor, TSK, PyFlag, Yaru Cache o Bilder bei Autopsy Forensic Browser, Navigation zu Cache-Ordner und Betrachten der Dateien HTTPS/SSL - Passwörter - Cookies + Galleta Favoriten o Anzeige der Dateien im Favoriten-Ordner Formulardaten - Downloads - Informationen/Veränderungen zu Grunde liegender Dienste DNS/Namensauflösung o Betrachten der hosts-datei TCP/IP Protocol Stack - Veränderung der Konfigurationen Browser - Komponenten - Veränderter Programmablauf Browser - Komponenten - der IT-Security-Auditor in dem Hive \users\sandy\ntuser.dat unter Software\ Microsoft\Internet_Explorer\TypedURLs die letzten drei in die Internet Explorer Adresszeile eingegebenen URLs (siehe Abbildung 5.18) Beurteilung SIFT liefert Tools für diverse Analysezwecke, die entweder über den Programmordner oder die Konsole aufgerufen werden können. Zu dem breiten Spektrum bereitgestellter Tools gehören auch solche, die die Analyse einer Browser-Session unterstützen. Inwiefern SIFT damit die gestellten Anforderungen erfüllt, ist Tabelle 5.5 zu entnehmen. Die Toolsammlung bietet keine Möglichkeit einen Abschlussbericht zu erstellen, in den alle Protokolle der einzelnen Untersuchungen aufgenommen werden können. 52

65 5.3 Analyse der Daten Backtrack Die Linux-Toolsammlung Backtrack [Bac13] der gleichnamigen Firma dient in erster Linie zur Überprüfung der Gesamtsicherheit eines Netzes als auch seiner einzelnen Rechner, liefert aber auch Angrifftools für diesen Bereich. Zusätzlich stellt es seit der Version 4.0 zunehmend forensische Analysetools bereit. Die seit dem 13. August 2012 aktuelle Version 5.0 R3 wird sowohl als VMWare Image als auch als.iso- Installationsdatei zum Download angeboten. Die Linux-Distribution wird unter Verwendung der.iso-datei auf der virtuellen Maschine installiert. Einbindung der forensische Duplikation Die innerhalb von Backtrack eingebundenen Tools benötigen beim Hinzufügen der forensischen Duplikation in einigen Fällen eine Image-Datei und in anderen eine in die virtuelle Maschine integriertes Laufwerk. Daher wird auch in die Backtrack-Maschine zusätzlich zu der virtuellen Festplatte mit der zugewiesenen.vmdk-datei, eine virtuelle Festplatte mit dem entpackten dd-image mit Leserechten eingebunden. Autopsy Forensic Browser Innerhalb der Backtrack Toolsammlung kann der IT-Security-Auditor zur forensischen Analyse des Opfersystems auf den Autopsy Forensic Browser [Car13a] mit der Versionsnummer 2.24 zurückgreifen. Dieser wird in Kapitel vorgestellt und bewertet. bulk extractor Mit dem bulk extractor lässt sich ein Image, eine Datei oder ein Dateiverzeichnis indizieren und Daten nach diversen Kategorien sortieren. Eine detaillierter Beschreibung dieses Tools ist in Kapitel zu finden. evtparse Das Konsolentool evtparse liest Logdateien aus Windows aus. Wie Abbildung 5.19 entommen werden kann, ist es nicht für Windows 7 und somit auch nicht für die Analyse des Opfersystems geeignet. 53

66 5 Stand der Wissenschaft und Technik Abbildung 5.19: evtparse: Betriebssystemvoraussetzung Abbildung 5.20: grep: Ausschnitt der Treffer zur Suche nach -Adresse des Opfers find Mit dem Tool find, das zu den Findutils der Firma GNU Operating System gehört, kann innerhalb einer Verzeichnisstruktur nach Dateien gesucht werden. Galleta Galleta 1.0 [McA13a] ist ein Konsolentool der Firma McAfee zur Aufbereitung von Internet Explorer Cookies. Die Funktionen des Tools werden in Kapitel erläutert. grep Das Tool grep durchsucht eine ausgewählte Datei oder Dateien eines Ordners nach einem Keyword. Bei Treffern wird standardmäßig neben dem Dateipfad der Inhalt der Zeile ausgegeben, in der das Keyword gefunden wurde. Ein Beispiel hierfür ist auf Abbildung 5.20 zu sehen. Pasco Pasco 1.0 [McA13b] der Firma McAfee ist ein Tool zur Verlaufsaufbereitung des Internet Explorers. Auf die Funktionen dieses Konsolentools wird in Kapitel näher eingegangen. PTK Forensics PTK Forensics [DFL13] ist ein Analysetool der Firma DFLabs auf Basis der Toolsammlung TSK. In Kapitel wird PTK Forensics vorgestellt. 54

67 5.3 Analyse der Daten TSK - The SleuthKit Backtrack enthält die Version von The SleuthKit [Car13c]. In Kapitel?? wird diese Toolsammlung mit ihren Funktionen genau betrachtet. Beurteilung Backtrack eignet sich aufgrund der großen Anzahl an Monitoringtools vorwiegend zur Live-Netzwerk-Anaylse. Zusätzlich enthält es ein Sammlung von Angrifftools. In den erst seit Version 5 vorhandenen Bereich der forensischen Analyse wurden, mit Blick auf die Analyse einer Browser-Session und der vorhandenen Tools anderer in dieser Arbeit untersuchten Toolsammlungen, die wichtigsten Werkzeuge mit einbezogen. Zudem ist hervorzuheben, dass neben den Tools mit einer grafischen Oberfläche auch alle Konsolentools aus dem Programmordner aufrufbar sind. Somit hat der forensische Ermittler nur eine Anlaufstelle und direkt eine komplette Übersicht über alle Tools. Wie schon bei SIFT, fehlt auch bei Backtrack die Möglichkeit, Protokolle einzelner Tools zu einem Abschlussbericht zusammenzufassen. In der Tabelle 5.6 werden die Funktionen von Backtrack anhand der gestellten Anforderungen bewertet CAINE - Computer Aided Investigative Environment Die Linux-Live-Distribution Computer Aided Investigative Environment [Bas13] von Nanni Bassetti bietet eine Sammlung von Softwaretools an. Ein Großteil der Tools hat eine grafische Oberfläche, wodurch die Arbeit des Ermittlers intuitiver und leichter werden soll. Zudem lässt sich sowohl eine Post-mortem-Analyse als auch eine Live- Analyse unter Verwendung der Live-CD an einem zu untersuchenden System durchführen. Die aktuelle Version ist die Version 3.0, die als.iso-datei am 03. Oktober 2012 veröffentlicht wurde. Einbindung der forensischen Duplikation Die von CAINE bereitgestellten Tools können teilweise nur Image-Dateien und teilweise nur virtuelle Festplatten als forensische Duplikation einlesen. Somit erfolgt ebenso 55

68 5 Stand der Wissenschaft und Technik Backtrack Tabelle 5.6: Anforderungsanalyse von Backtrack Anforderungen Bewertung Bemerkung Allgemeine Anforderungen Imageeinbindung o teilweise.e01,.aff,.dd,.img; teilweise Laufwerk Such-/Filterfunktion + Autopsy Forensic Browser, find, grep, bulk_extractor, TSK Datenkorrelation - Protokollierung o teilweise (Autopsy Forensic Browser) Szenariospezifische Anforderungen Browser-Artefakte Darstellung - Verlauf + Pasco, bulk_extractor, TSK Cache o Bilder bei Autopsy Forensic Browser, Navigation zu Cache-Ordner und Betrachten der Dateien HTTPS/SSL - Passwörter - Cookies + Galleta Favoriten o Anzeige der Dateien im Favoriten-Ordner Formulardaten - Downloads - Informationen/Veränderungen zu Grunde liegender Dienste DNS/Namensauflösung o Betrachten der hosts-datei TCP/IP Protocol Stack - Veränderung der Konfigurationen Browser - Komponenten - Veränderter Programmablauf Browser - Komponenten - wie bei den Linux-Distributionen SIFT und Backtrack auch auf der CAINE-Maschine die Read-Only-Einbindung einer virtuellen Festplatte mit dem entpackten dd-image, sowie einer zusätzlichen Festplatte, der die.vmdk-datei des forensisch duplizierten Opfersystems zugeordnet ist. Autopsy Forensic Browser Das CAINE Interface stellt im Zuge der forensischen Analyse den Autopsy Forensic Browser 2.24 bereit, dessen Funktionen in Kapitel?? ausführlich beschrieben werden. Der Autopsy Forensic Browser arbeitet mit dem dd-image. FKLook Das Skript FKLook von Nanni Bassetti durchsucht unter Einbindung einer lokalen Festplatte Dateien nach einem Keyword. Alle Dateien, die einen Treffer erzielen, werden exportiert. Durchsucht werden lediglich Dateien, die auf der Pfadebene sind. Zu- 56

69 5.3 Analyse der Daten dem darf der zu durchsuchende Pfad keine Leerzeichen enthalten, da das Tool dann nicht erfolgreich ausgeführt werden kann, wie auf Abbildung 5.21 zu erkennen ist. Abbildung 5.21: FKLook: Fehler bei Leerzeichen in Pfad FRED - Forensic Registry Editor Der Forensic Registry Editor der Version 0.1.0beta4 dient zum Öffnen und anschließenden Durchsuchen eines Registry Hives, wozu FRED auf die eingebundene lokale Festplatte zugreift. Beim Öffnen von \media\platte\users\sandy\ntuser.dat zeigt FRED zum Key Software\Microsoft\Internet_Explorer\TypedURLs die letzten drei ins Adressfeld des Browsers eingegebenen URLs an, die wie Abbildung 5.22 zeigt zu ebay und Amazon geführt haben. Abbildung 5.22: FRED: Registry-Einträge Abschnitt: Software\Microsoft\Internet_Explorer\TypedURLs Galleta Über das Linux-Terminal kann der forensische Ermittler das Analysetool Galleta 1.0 [McA13a] der Firma McAfee zur Verarbeitung von Internet Explorer Cookies nutzen. Dieses Tool wird in Kapitel vorgestellt. 57

70 5 Stand der Wissenschaft und Technik Abbildung 5.23: GrokEVT: Fehler bei grokevt-builddb Abbildung 5.24: log2timeline: Fehler bei Programmausführung GrokEVT GrokEVT ist eine Skriptsammlung zum Lesen von Windows Logdateien. Nach dem Mount-Prozess der Festplatte mit der.vmdk-datei muss GrokEVT konfiguriert werden. Dazu wird unter \usr\local\etc\grokevt\systems ein Ordner mit dem Namen des Opfersystems angelegt, in dem Konfigurationsdateien erstellt werden. Diese geben den Pfad zu dem Laufwerk, dem System Root und der System Registry der zu untersuchenden forensischen Duplikation an. Anschließend wird mit grokevt-builddb der Speicherpfad angelegt. Während dieses Prozesses kommt es wie auf Abbildung 5.23 zu erkennen ist, zu einem Fehler, da das Modul pyregfi fehlt. log2timeline Bei dem Konsolentool log2timeline handelt es sich um ein Werkzeug zur Zeitstrahlerstellung. Dazu muss auf den direkten Speicherpfad des Windows Log-Ordners oder einer konkreten Logdatei verwiesen werden. Bei der Ausführung des Aufrufs kommt es zu einer Fehlermeldung, da es zu einem Problem beim Laden der Input-Module kommt. Abbildung 5.24 demonstriert dies. NBTempo NBTempo ist ein GUI Bash-Skript zur Erstellung von Zeitstrahlen des Entwicklers Nanni Bassetti, das sowohl eine Image-Datei als auch eine Festplatte untersuchen kann. Die aktuelle Version hat die Versionsnummer

71 5.3 Analyse der Daten Abbildung 5.25: NBTempo: Ausschnitt aus der Report-Tabelle Zu Beginn wählt der Ermittler ein forensisches Duplikat als Image-Datei oder Laufwerk aus. Nach Angabe des Zielverzeichnisses, der Zeitzone, der Zeitverzögerung der Daten auf dem Opfersystem und der zu untersuchenden Zeitspanne, liefert NBTempo sehr zügig Ergebnisse. Dabei werden die Dateien data.txt, times.txt und report.csv erstellt. Die Datei data.txt erstellt eine Übersicht über das Imageverzeichnis, die ausgewählte Zeitspanne, Zeitzone und Zeitverzögerung. In times.txt werden die Ergebnisse im Rohformat und daher für viele weiterverarbeitende Tools lesbar gesichert, während das Spreadsheet report.csv den Zeitstrahl tabellarisch und mit Spaltenbenennung auf die Bedürfnisse des Ermittlers bezogen darstellt. Dieser Zeitstrahl kann anschließend von dem Ermittler sortiert, gefiltert und weiterverarbeitet werden. NBTempo unterstützt den forensischen Ermittler bei der Rekonstruktion des Computerverlaufs. So kann der IT-Security-Auditor dem Verlauf entnehmen, welche Dateien parallel zur Browser-Session angelegt oder ausgeführt wurden, wie auf Abbildung 5.25 ausschnittsweise dargestellt ist. Diese Dateien können Hinweise auf weitere Datenquellen liefern. Pasco Das von McAfee entwickelte Analysetool Pasco 1.0 [McA13b] dient zur Weiterverarbeitung von index.dat Dateien des Internet Explorers. Seine Funktion wird in Kapitel beschrieben. 59

72 5 Stand der Wissenschaft und Technik Abbildung 5.26: RegLookup: Fehlermeldung beim Öffnen des Hives Quelldatei: \media\platte\users\sandy\ntuser.dat RegLookup Mit dem Kommandozeilentool RegLookup werden Windows Registry-Dateien analysiert. Das Öffnen des Registry Hives \media\platte\users\sandy\ntuser.dat ist nicht erfolgreich. Abbildung 5.26 zeigt die Fehlermeldung, dass das Hive nicht geöffnet werden kann. TSK - The SleuthKit Zu den in CAINE zugänglichen Tools gehört auch die Toolsammlung The Sleuth- Kit [Car13c] der Version Dieses Konsolentoolkit arbeitet nur mit einer Image- Datei und wird in Kapitel?? detailliert untersucht. Beurteilung CAINE bietet eine Sammlung diverser Kommandozeilen- und GUI-Tools. Es gibt zunächst drei Anlaufpunkte, um auf die Tools zuzugreifen. Einige Tools lassen sich nur über die Kommandozeile öffnen, andere befinden sich nur im Programm-Ordner und die wichtigsten Tools werden zudem im CAINE Interface bereitgestellt. Es gibt kein zentrales Casemanagement, zu dem alle Ergebnisse hinzugefügt werden können. Jedoch kann der forensische Ermittler über das Interface manuell einen Abschlussbericht erstellen. Dabei stehen ihm die Optionen RTF, HTML und Persönlicher Bericht zur Verfügung. Beim Starten des CAINE Interfaces kann nicht aus vorhandenen Fällen einer ausgewählt werden. Der Ermittler muss bei jedem Neustart den Fall- und Ermittlernamen erneut eingeben. Eine zusammenfassende Bewertung kann der Tabelle 5.7 entnommen werden Paladin Die forensische Toolsuite Paladin [Sum13] wird von der Firma Sumuri entwickelt. Dabei handelt es sich um eine Linux-Distribution, die primär für eine forensisch einwand- 60

73 5.3 Analyse der Daten CAINE Tabelle 5.7: Anforderungsanalyse von CAINE Anforderungen Bewertung Bemerkung Allgemeine Anforderungen Imageeinbindung o teilweise.e01,.aff,.dd,.img; teilweise Laufwerk Such-/Filterfunktion + Autopsy Forensic Browser, TSK Datenkorrelation - Protokollierung o teilweise (Autopsy Forensic Browser) Szenariospezifische Anforderungen Browser-Artefakte Darstellung - Verlauf + Pasco, FRED, NBTempo, TSK Cache o Bilder bei Autopsy Forensic Browser, Navigation zu Cache-Ordner und Betrachten der Dateien möglich HTTPS/SSL - Passwörter - Cookies + Galleta Favoriten o Anzeige der Dateien im Favoriten- Ordner Formulardaten - Downloads - Informationen/Veränderungen zu Grunde liegender Dienste DNS/Namensauflösung o Betrachten der hosts-datei TCP/IP Protocol Stack - Veränderung der Konfigurationen Browser - Komponenten - Veränderter Programmablauf Browser - Komponenten - freie Image-Erzeugung entwickelt wurde, die aber laut eigenen Angaben auch Tools wie Autopsy und DFF bereitstellt. Die aktuelle Version trägt die Versionsnummer 3.0. Einbindung der forensischen Duplikation Auf der virtuellen Maschine von Paladin ist eine zusätzliche virtuelle Festplatte unabhängig und nicht dauerhaft eingebunden, was dem Read-Only-Modus gleichkommt. Dieser Festplatte ist die.vmdk-datei des Images des Opfersystems zugewiesen. Paladin versagt bei der forensischen Untersuchung im entscheidenden Moment, da aufgrund der fehlenden Möglichkeit ein Zielverzeichnis auszuwählen das Festplatten- Image nicht eingebunden werden kann. Dies verdeutlicht Abbildung Beurteilung Da wegen der Probleme beim Einbinden des Images Paladin nicht zur Analyse der forensischen Duplikation verwendet werden kann, ist es auch nicht möglich dieses Tool 61

74 5 Stand der Wissenschaft und Technik Abbildung 5.27: Paladin: Problem bei Imageinbindung auf die Erfüllung der Anforderungen hin zu untersuchen und zu bewerten. Lediglich die fehlende Lesbarkeit von Image-Dateien ist in Tabelle 5.8 vermerkt TSK - The SleuthKit The SleuthKit [Car13c] ist eine forensische Werkzeugsammlung des Entwicklers Brian Carrier. Die Nutzung von TSK beschränkt sich auf Kommandozeilentools. TSK wird für Windows- und Linux-Betriebssysteme entwickelt. Die aktuelle und auf der virtuellen Maschine installierte Version vom 13. November 2012 ist die Windows- Installationsdatei der Version Einbindung der forensischen Duplikation Da TSK nur Image-Dateien bei der forensischen Analyse unterstützt, wird dieser Windows-Maschine das entpackte dd-image durch eine zusätzlich eingebundene virtuelle Festplatte hinzugefügt. TSK unterstützt zur Einbindung der forensischen Duplikation eine Image-Datei im 62