Host und Software Forensik

Strafrechtlicher Ermittlungen zielen darauf ab gesetzeswidriges Verhalten aufzuklären und Täter vor Gericht zu bringen.

Unternehmensinterne Ermittlungen konzentrieren sich auf Internet Verstöße, z.B gegen Unternehmensinterne Richtlinien oder potenziell Illegales verhalten. Die Konsequenzen können disziplinarische oder zivilrechtlich sein. Kann in Strafrecht übergehen

Computergespeicherte Beweise sind Daten welche vom Benutzer erstellt wurden. Dies können Datenbanken, Bilder, Textdokumente,… sein

Computergenerierenden Beweise sind Daten welche vom Computer selbst erstellt werden. Dies können Metadaten, Protokolle, usw. Sein

Dateiloser Schadsoftware ist schwer zu entdecken da diese hauptsächlich im RAM agiert. Oft hinterlässt sie keine Spuren auf der Festplatte. Sie nutzt Legitime Prozesse und tools um sich zu tarnen.

Herkömmliche Schadsoftware hinterlässt Dateien auf der Festplatte und agiert typischerweise durch die Infektion von Systemdateien. Sie wird oft von Antiviren Programmen erkannt und hinterlässt spüren welche bei der Analyse und der Entdeckung helfen können.

Chain of Custody Lückenlose nachverfolgbarkeit werde das Beweismittel wann wie behandelt hat. Hilft der integrität

Authentifizierung es muss bewiesen werden, dass das Beweismittel echt ist und nicht verändert wurde.

Relevanz das Beweismittel muss relevant für die zu klärende Tatsache sein und darf keine unnötige Verwirrung stiften.

Steganography ist die Kunst Informationen unauffällig in anderen Dateien ( Bildern, Dokumenten) zu verstecken, sodass die Existenz der Nachricht nicht offensichtlich ist. Um damit umzugehen sollten Forensik er Tools zum erkennen einsetzten und verdächtige Dateien auf versteckte inhalte hin prüfen. Der Focus liegt auf der Analyse von Metadaten, Dateigröße und

Oxygen ist ein forensisches Tool das hauptsächlich zur Analyse von mobilen Geräten verwendet wird. Es kann Anrufprotokolle, Nachrichten, Kontakte und Standortdaten aus Smartphones extrahieren.

Autospy ist ein Open Source Forensik Tool für die Analyse von Festplatten und Dateisystemen. Es bietet eine ui für die Untersuchung von Datenträgerabbildern und hilft bei der Wiederherstellung von gelöschten Dateien, dem Auffinden von Metadaten und der Analyse von Protokolldateien.

Szenario: Ein multinationales Unternehmen stellt fest, dass seine Server kompromittiert wurden. Die Angreifer haben hochentwicktelte Verschlüsselungstechniken verwendet und ihre Aktivitäten verschleiert. Der Fall umfasst eine große Datenmenge und die betroffenen Server befinden sich in verschiedenen Ländern, was internationale Zuständigkeiten berührt.

In einem solchen Fall müssen Strafverfolgungsbehöhrden, Rechtsexperten und forensische Analysten zusammenarbeiten, um relevante Beweise zu sichern und die rechtlichen Rahmenbedingungen jedes betroffenen Landes einzuhalten. Komplexe Verschlüsselungstechniken machen die Beweissicherung und Analyse schwierig und die juristischen Aspekte variieren je nach Land.

Herausforderungen können durch frühzeitige Koordinierung und Bildung eines Expertenteams, das über rechtliche, technische und operative Kenntnisse verfügt, gemeistert werden. Internationale Rechtshilfeverträge (MLATs) und Kooperationen mit lokalen Behörden können dabei helfen, die grenzüberschreitenden Hindernisse zu überwinden.

Herausforderungen:

Zeitaufwand: Verzögerte Schadsoftware erschwert eine Zeitnahe Analyse.

Unklare Aktivität: Schadsoftware, die absichtlich langsam arbeitet, macht es schwierig, bestimmte Muster oder Ziele der Maleware zu identifizieren.

Verlschleierungstechniken: Viele Malware-Proben verwenden Anti-Forensik-Techniken wie Verschleierung oder Verschlüsselung, um ihre Aktivitäten zu verbergen.

Bewältigung:

Einsatz von Sandbox-Umgebungen: Schadsoftware kann in kontrollierten Umgebungen über längere Zeiträume beobachtet werden, um ihre Funktionsweise zu verstehen.

Verhaltensanalysen: Statt nur die Software zu analysieren, kann man das Verhalten der Malware über einen längeren Zeitraum überwachen, um auf subtile Hinweise zu reagieren.

Einsatz spezieller Tools: Reverse Engineering und spezialisierte Forensik-Tools können helfen, verschleierte oder langsam agierende Malware zu enttarnen.

Unmittelbare Beweise sind Beweise, die direkt eine Tatsache belegen, wie z.B. ein Augenzeuge, der den Täter sieht. Sie beweisen den Sachverhalt direkt ohne Interpretation.

Indizienbeweise sind Beweise, die indirekt eine Tatsache unterstützen. Es handelt sich um Hinweise, aus denen eine Tatsache abgeleitet werden kann, wie z.B. Fingerabdrücke oder DNA-Spuren.

Privatspähre des Verdächtigen: Der Zugriff auf persönliche Daten und Kommunikation muss abgewogen werden.

Manipulation von Beweisen: Der Forensiker darf Beweise nicht verändern oder absichtlich interpretieren , um ein gewünschtes Ergebnis zu erziehlen

Unzureichende Dokumentation: Lückenhafte Protokollierung kann zur Ungültigkeit der Beweise führen

Interessenkonflikte: Ein Forensiker darf nicht parteiisch oder von externen Interessenten beeinflusst werden.

Rechtliche Herausforderungen:

Jurisdiktion: Da Cloud Server oft über mehrere Länder verteilt sind, kann es schwierig sein, die rechtlichen Rahmenbedingungen und Durchsuchungsbefehle korrekt anzuwenden.

Datenzugriffsrechte: Es kann kompliziert sein, sicherzustellen, dass forensische Ermittler das Recht haben, auf die benötigten Daten in der Cloud zuzugreifen, insbesondere wenn Dritte die Daten hosten.

Technische Herausforderungen:

Datenvolatilität: In Cloud Umgebungen können Daten schnell gelöscht werden oder verschoben werden, was den Zugriff und die Sicherung erschwert.

Multi-Tenancy: In der Cloud teilen sich oft mehrere Kunden densleben physischen Server. Das sorgt für Herausforderungen bei der Isolierung von Beweismitteln, ohne andere Kunden zu beeinträchtigen.

Korrelation mit bekannten Bedrohungen: Echte IOCs korreliern oft mit bekannten Angriffsmustern, während falsche positive Ergebnisse auf Fehlinterpretationen oder harmlose Aktivitäten zurückzuführen sind.

Verhaltensanalyse: Durch die Analyse des Systemverhaltens kann festgestellt werden, ob die IOC-Meldungen auf verdächtige Aktivitäten zurückzuführen sind oder auf übliche, legale Systemprozesse.

Wichtigkeit der Unterscheidung:

Ressourcenmanagement: Eine Fokussierung auf echte Bedrohungen ermöglicht es dem Incident Response Team, seine Ressourcen gezielt einzusetzen.

Vermeidung unnötiger Unterbrechungen: Durch die Identifizierung von false positives können unnötige Systemabschaltungen und Reaktionsmaßnahmen vermieden werden. Das Team stumpft nicht ab.

Herausforderungen und Überlegungen:

Dynamische Bedrohungen: Hochentwickelte Bedrohungsakteure ändern ihre Taktiken regelmäßig. Unternehmen müssen sicherstellen, dass ihre MITRE ATTCK Zuordnungen kontinuierlich aktualisiert werden, um neue Bedrohungen zu berücksichtigen.

Datenqualität: Die Zuordnung von Bedrohungsaktivitäten zu MITRE ATTCK- Taktiken erfordert qualitativ hochwertige Daten. Schlechte oder unvollständige Daten können zu falschen Annahmen führen.

Ressourcenknappheit: Nicht jedes Unternehmen hat die Ressourcen, um die Taktiken fortschrittlicher Bedrohungsakteuere in Echtzeit zu analysieren. Dies erfordert spezialisierte Teams und Technologien

Falsch positive Zuordnungen: Die ständige Weiterentwicklung von Bedrohungstaktiken kann zu fehleinschätzungen führen, wenn eine Bedrohung fälschlicherweise einer bekannten Taktik zugeordnet wird. Es ist wichtig, hier sorgfältig zu arbeiten, um Ressourcen nicht zu verschwenden.

Vorteil: - Unveränderte Datensicherung: Das Rohformat speichert eine exakte Kopie der Originaldaten ohne jegliche Modifikation

Universelle Kompatibilität: Da es keine properitären Formate verwendet, ist das Rohformat mit vielen Tools kompatibel

Nachteile: - Größe: Rohdaten sind oft sehr groß, da diese unkomprimiert sind. Dies erhöht Speicheranforderungen

Fehlende Metadaten: Im Gegensatz zu anderen Formaten fehlen im Rohformat Informationen über die Datenqelle und Prüfsummen, die die Integrität der Kopie sicherstellen.

Ja ohne Salt ist es deutlich einfacher und schneller in Passwort zu knacken. Es kann über Rainbowtables oder Wörterbuchattacken erraten werden.

Rechtsprinzipien: Sind allgemeine, rechtliche Regeln , die Sicherstellen, dass Beweise vor Gericht zulässig sind. Dazu gehören Grundsätze wie die Wahrung der Beweismittelkette (Chain of Custody), Authentifizierung und Verhältnismäßigkeit.

Technische Standards: Diese bezeiehn sich auf die Methode und die Technologie, die verwendet werden, um digitale Beweismittel zu sammeln, zu analysieren und zu präsentieren. Beispiele sind Forensische Tools wie EnCase oder FTK, die den Anforderungen an Integrität und Genauigkeit genügen müssen, um die Beweismittel nicht zu verändern.

Während Rechtsprinzipien den juristischen Tahmen vorgeben, sorgen technische Standards für die korrekte Durchführung von Erhebungen und Analysen, um die Integrität und Zulässigkeit der Beweise sicherzustellen.

Beim Auslesen des Rams geht es darum flüchtige Daten zu sichern welche sich im Arbeitsspeicher des Computers befinden. Da dieser Speicher flüchtig ist und bei einem Neustart des Systems geleert wird, ist eine zeitkritische Sicherung notwendig.

Volatility oder FTK Imager ermöglichen das auslesen und die Analyse.

Es können sich Passwörter, Schadsoftware IoCs im RAM befinden welche wichtig sind

Wahrheit und Struktur (verständliche Sprache, auch für nicht Experten)

Nachvollziehbarkeit und Dokumentation (Chain of Custody muss gewährt sein)

Technische Genauigkeit( Protokolldaten, Zeitstempel und Metadaten)

Berücksichtigung rechtlicher Anforderungen (Federal rules of Evidence)

Objektivität und Neutralität (subjektive Meinung müssen gekennzeichnet werden)

Verständliche Darstellung technischer Details (Diagramme, Screenshots)

Verbesserungsmöglichkeiten:

Diagramme, Flussdiagramme, Grafiken verbessern die Veratändlichkeit.

Zusammenarbeit mit anderen Ermittlern (Prüfen lassen)

Fortlaufende Schulungen für Verbesserung der Berichterstattung

Vermeiden von Fachjargon

ISO/IEC 27001 UND 27002:

Standards für Informationssicherheits-Managementsystem (ISMS) das auch Empfehlungen zur Netzwerkforensik umfasst. Sie legt fest, wie Organisationen ihre Netzwerksicherheit und forensische Analysen strukturieren und durchführen sollten.

NIST SP 800-86: Das National Institute of Standards and technology (NIST stellt mit dieser Publikation ein Handbuch für die Netzwerkforensik bereit, das beschreibt, wie man forensische Beweise aus Netzwerken extrahiert und analysiert. Es bietet detaillierte Anleitungen für Entwickler.

PCAP: Der standard zu Erfassung von Netzwerkpaketen ist eine wichtige Grundlage der Netzwerkforensik. Die PCAP Dateiformate und die zugehörigen Analysewerkzeuge ermöglichen eine detaillierte Analyse des Netzwerkverkehrs

FEM Forensic Evidence Management: Es gibt eine Vielzahl von Standards und Framework für das managemt von Beweismitteln. Dabei geht es um die Sammlung und den Schutz von digitalen beweisen, um ihre integrität sicherzustellen

IETF Internet Engineering Task Force: entwickelt verschiedene RFCs die Protokolle und Standards für das Internet und Netzwerke definieren, die auch für die forensische Analyse wichtig sind. Z.B. format für syslogprotokolle

SANS Institute: SANS bietet ebenfalls viele Ressourcen und Schulungen zu Netzwerkforensik und Cybersecurity. Sie helfen Fachleuten die notwendigen Fähigkeiten zu erlernen.

Pflege der standards:

ISO werden von International Organization for standardization grfplefr. Entwickeln neue Standards

NIST wird durch Experten und Behörden im Bereich Cybersecurity und Forensik in den USA gepflegt und aktualisiert

IETF besteht aus globalen Experten und arbeitet an Verbesserungen von Internetprotokollen