Basishandbuch für Computeruntersuchungen für Windows

Kapitel 5: Angewandtes Szenariobeispiel

Veröffentlicht: 11. Jan 2007

Dieses Szenario stellt einen nicht autorisierten Zugriff auf firmeninterne vertrauliche Informationen in einem staatlichen Finanzinstitut, der Woodgrove Bank, dar. Das Szenario ist ebenso wie die darin erwähnten Personen und Unternehmen fiktiv.

Das Szenario wurde entworfen, um einen Überblick über Tools und Technologien zu geben, die zur Datensammlung und Untersuchung verwendet werden. Bei einer wirklichen Sicherheitsverletzung müssen Sie sich an die entsprechenden Geschäftsleitungs-, Rechts- und Strafverfolgungsstellen wenden und sich über die geeigneten Untersuchungsverfahren beraten lassen. Auch wenn die Autoren anerkennen, dass die Abbilderstellung eines verdächtigen Laufwerks für die Untersuchungsarbeit wichtig ist, sprengt es den Rahmen dieses Handbuchs und wird während der Datensammlungsphase des Szenarios nur kurz erwähnt.

Auf dieser Seite

Szenario
Bewerten der Situation
Sammeln von Beweisen für Zugriff auf vertrauliche Daten
Remotebeweissammlung
Lokale Beweissammlung
Analysieren der gesammelten Beweise
Erstellen eines Berichts über die Beweise
Konfiguration der Testumgebung im angewandten Szenario

Szenario

Ray Chow, Unternehmenssystemadministrator der Woodgrove National Bank, wurde darauf aufmerksam gemacht, dass jemand mit Informationen über Gehälter verschiedener Mitarbeiter prahlte. Chow erfuhr den Namen des Angestellten, der behauptete, die Gehälter der Mitarbeiter zu kennen: Mike Danseglio. Danseglio arbeitet in der Kreditabteilung und sollte keinen Zugriff auf Dateien der Personalabteilung haben.

In der Woodgrove National Bank gilt eine Richtlinie über die ordnungsgemäße Verwendung von Bankcomputern. Diese Richtlinie legt fest, dass bei der Verwendung von Firmencomputern, einschließlich E-Mail-Dienste und Zugriff auf Websites, kein Anspruch auf Datenschutz besteht. Die Richtlinie legt auch fest, dass ohne schriftliche Genehmigung des IT-Chefs keinerlei Programme auf Computer geladen werden dürfen, und dass jeder Versuch, Kennwörter zu umgehen oder nicht autorisierten Zugriff auf Bankdateien zu erhalten, einen Kündigungs- bzw. Strafverfolgungsgrund darstellt. Zudem erlaubt die Richtlinie dem IT-Personal, Netzwerküberwachungsgeräte, einschließlich Sniffer oder anderer Geräte zur Paketerfassung, zu installieren, um die Netzwerksicherheit aufrecht zu erhalten oder etwaige Missbräuche zu untersuchen.

Chow will sicher gehen, dass er anerkannte Computeruntersuchungsverfahren anwendet, um dieses Problem zu untersuchen und über seine Ergebnisse zu berichten. Chow glaubt, dass die betreffenden Informationen möglicherweise ursprünglich vom Dateiserver der Personalabteilung abgerufen wurden, und hat vor, das vierphasige Computeruntersuchungsmodell durchzuführen, das in der folgenden Abbildung gezeigt wird:

Abbildung 5.1. Übersicht über das Computeruntersuchungsmodell

Wichtig:

Weitere Informationen zum Emulieren dieses Szenarios und die weitere Verwendung der Tools finden Sie im Abschnitt „Konfiguration der Testumgebung im angewandten Szenario“ am Ende dieses Kapitels.

Bewerten der Situation

Chow trifft sich mit der Geschäftsleitung, um die Lage zu bewerten. Die Geschäftsleitung weist darauf hin, dass nicht autorisierter Zugriff auf vertrauliche Informationen von Gehaltslisten sowie deren Verbreitung einen Kündigungsgrund darstellen, aber gegen einen Angestellten wegen solcher Handlungen keine strafrechtliche Verfolgung eingeleitet wird.

Die Richtlinie der Woodgrove National Bank schreibt vor, dass sich die Geschäftsleitung mit der firmeninternen Rechtsabteilung berät, um örtliche Gesetze zu prüfen und festzustellen, ob andere Richtlinien die Untersuchungen unzulässiger Zugriffe von Angestellten auf eingeschränkte Computersysteme beeinflussen.

Die Rechtsabteilung der Woodgrove National Bank stellt Chow eine schriftliche Genehmigung aus, den Inhalt von Mike Danseglios Firmencomputer zu untersuchen. Das Rechtsteam und das Geschäftsleitungsteam möchten über das Untersuchungsergebnis informiert zu werden. Sie bitten Chow auch, weitere Schritte zu unternehmen, um vertrauliche Daten künftig wirksamer zu schützen, wenn er feststellt, dass ein Verstoß stattgefunden hat.

Chows erste Aufgabe besteht darin, die von der Untersuchung betroffenen Computer zu ermitteln und ihre Hardwarekonfiguration zu dokumentieren. Nach Erledigung dieser Aufgabe zeichnet Chow ein logisches Diagramm der betroffenen Computer (siehe folgende Abbildung).

Abbildung 5.2. Logisches Diagramm der von der Untersuchung betroffenen Computer

Chow zieht dann verschiedene Optionen für die Durchführung der Untersuchung in Betracht. Da es sich bei einigen der zu erfassenden Informationen um flüchtige Daten handelt, beschließt Chow, die firmeninterne Computeruntersuchung mit der Analyse von Livedaten zu beginnen. Anschließend macht er ein Abbild von Mike Danseglios Laufwerk und untersucht die statischen Beweise.

Chow erstellt ein USB-Laufwerk, das die entsprechenden Untersuchungstools für eine Liveuntersuchung umfasst. (Der Abschnitt „Tools“ in Anhang: Ressourcen in diesem Handbuch beschreibt die Tools, auf die in diesem Kapitel verwiesen wird.)

Chows nächste Aufgabe besteht darin, die Festplatte des Verdächtigten so zu duplizieren, dass Beweise geschützt und gesichert werden, falls er Informationen findet, die ihn zwingen, den Fall zur Strafverfolgung anzuzeigen.

Chow vermerkt Elemente, die möglicherweise von Interesse sind, dokumentiert die im weiteren Verlauf der Untersuchung zur Identifizierung und Authentifizierung des gesammelten Beweismaterials notwendigen Informationen und erstellt ein Überwachungsprotokoll der Aktionen, die während der Untersuchung durchgeführt werden.

Sammeln von Beweisen für Zugriff auf vertrauliche Daten

Die Geschäftsleitung der Woodgrove National Bank ermächtigt Chow, die Verzeichnisstruktur auf dem Dateiserver der Personalabteilung (WNB-HQ-FS1) und die Gehaltslistendateien zu untersuchen, um festzustellen, ob ein nicht autorisierter Benutzer die Dateien gelesen hat. Chow könnte sofort zu Mike Danseglios Computer gehen und nach Beweisen suchen, oder er könnte beim Server beginnen und versuchen, in den Überwachungsprotokollen Beweise zu finden. Chow möchte außerdem wissen, welche Benutzerrechte Mike Danseglio für die Personalabteilungsordner hat.

Chow entscheidet sich zur Beweissammlung für die folgende, aus zwei Schritten bestehende Vorgehensweise:

1. Untersuchen des Dateiservers der Personalabteilung, um Beweise für nicht autorisierten Zugriff auf vertraulichen Dateien und Ordner zu suchen. Diese Untersuchung kann den Verdacht der Geschäftsleitung, dass Mike Danseglio auf diese Dateien ohne ordnungsgemäße Autorisierung zugegriffen hat, bestätigen oder auch nicht bestätigen.

2. Untersuchen des Inhalts von Mike Danseglios Laufwerk sowohl lokal als auch remote, um nach möglichen vertraulichen Daten zu suchen. Chow hat vor, eine Kombination aus systemeigenen Microsoft® Windows®-Tools (einschließlich Ipconfig, Systeminfo und Netstat) und Windows Sysinternals-Tools (einschließlich AccessChk, PsLoggedOn und PsFile) zu verwenden.

Chow befragt die Mitarbeiter der Personalabteilung und untersucht den Dateiserver. Er vermerkt, dass Gehaltslistendateien einmal im Monat in Tabellendateien zusammengefasst und in einem Ordner namens „HR\Internal\Payroll“ (Personalabteilung\Intern\Gehaltslisten) aufbewahrt werden. Nur leitende Mitarbeiter der Personalabteilung (Gruppe der „HR MGRS“) dürften Lese- und Schreibberechtigungen für diesen Ordner haben, und Mike Danseglio zählt nicht zu dieser Mitarbeitergruppe. Chow muss feststellen, ob jemanden die Möglichkeit hat, auf den Ordner der Personalabteilung zuzugreifen, der die Gehaltsinformationen der Bankangestellten enthält.

Chow zeigt die Ereignisprotokolle für den Dateiserver der Personalabteilung an. Zuvor hat er für den HR\Internal-Ordner die Überwachungsfunktion konfiguriert, um fehlgeschlagene und erfolgreiche Zugriffe nachverfolgen zu können. Chow vermerkt alle Schritte, die er durchführt, um das Sicherheitsereignisprotokoll zu öffnen und anzuzeigen.

Mehrere Einträge im Ereignisprotokoll treten deutlich hervor, wie z. B. der, der im folgenden Screenshot gezeigt wird. Einige Einträge zeigen an, dass ein Benutzerkonto „mdanseglio“ auf die Datei HR\Internal\Payroll\090806PR-A139.xls zugegriffen hat.

Abbildung 5.3. Einträge im Sicherheitsereignisprotokoll, die anzeigen, dass das Benutzerkonto „mdanseglio“ auf die Datei „090806PR-A139.xls“ im Ordner „HR\Internal\Payroll“ zugegriffen hat.

Zunächst erstellt Chow auf dem USB-Laufwerk neue Ordner mit den Bezeichnungen „evidence“ und „tools“. Um die Integrität der vom ihm erstellten Beweisdateien sicherzustellen, führt Chow eine kryptografische MD-5-Hash-Funktion an allen Dateien durch, die er von Danseglios Computer in den Beweisordner kopiert.

Kryptografische MD-5-Hashes werden erstellt, indem der Benutzer mithilfe eines Algorithmus einen eindeutigen 128-Bit-„Fingerabdruck“ der Inhalte einer Datei erstellt. Sollte also jemand die Integrität der von Chow gesammelten Daten bezweifelt (um z. B. anzudeuten, dass die Datei möglicherweise zu einem späteren Zeitpunkt bearbeitet wurde), kann Chow den ursprünglichen MD-5-Prüfsummenwert zum Vergleich und zur Prüfung zur Verfügung stellen.

Chow exportiert den Protokollsatz zu einem USB-Laufwerk mit der Bezeichnung „HR01“. Er verwendet dasselbe USB-Laufwerk für seine komplette Beweissammlung.

Hinweis:

Durch das Verbinden eines USB-Laufwerks mit einem Windows-basierten Computer wird der Datei Setupapi.log ein Eintrag hinzugefügt und der folgende Registrierungsschlüssel geändert: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Storage\RemovableMedia

Chow beschließt, durch Ausführen des Tools Windows Sysinternals AccessChk auf dem Server festzustellen, welche Berechtigungen dem Ordner „HR\Internal“ zugewiesen sind. Dieses Tool zeigt, welche Zugriffsberechtigungen für Dateien, Registrierungsschlüssel oder Windows-Dienste ein bestimmter Benutzer oder eine bestimmte Gruppe hat. Chow führt das Tool von seinem USB-Laufwerk aus, das als Laufwerk F: angezeigt wird, indem er in einer Eingabeaufforderung Folgendes eingibt:

f:\tools>accesschk mdanseglio c:\hr\internal

Hinweis:

Das Tool „Sysinternals AccessChk“ erfordert einen Installationsvorgang und hinterlässt im folgenden Registrierungsschlüssel auf dem lokalen Laufwerk einen Eintrag: HKEY_CURRENT_USER\Software\Sysinternals\AccessChk

Chow vermerkt, dass das Benutzerkonto „mdanseglio“ Lese- und Schreibberechtigungen für die Unterordner „Benefits“ (Vergünstigungen), „Payroll“ and „Reviews“ (Überprüfungen) unter „HR\Internal“ hat (siehe nachfolgender Screenshot).

Abbildung 5.4. Ergebnisse von AccessChk, die anzeigen, dass das Benutzerkonto „mdanseglio“ Lese- und Schreibberechtigungen für die HR\Internal-Unterordner hat

Chow vermutet, dass Fehler in der Konfiguration des Personalabteilungsservers Mike Danseglio den Zugriff auf den HR\Internal-Ordner ermöglicht haben. Chow untersucht ein paar Minuten lang Mike Danseglios Benutzerrechte und stellt fest, dass er Mitglied einer Gruppe namens „branch01mgrs“ ist. Diese Gruppe hat Lese-und Schreibberechtigungen für die HR\Internal-Ordner.

Chow will wissen, ob Mike Danseglio derzeit bei Servern auf dem Netzwerk angemeldet ist. Er verwendet PsLoggedOn, ein Tool, das sowohl lokal angemeldete Benutzer als auch Benutzer anzeigt, die durch Ressourcen entweder bei einem lokalen Computer oder einem Remotecomputer angemeldet sind. Chow schließt seinen USB-Stick an seinen Computer an und gibt in der Eingabeaufforderung Folgendes ein:

f:\tools>psloggedon mdanseglio

Die im folgenden Screenshot gezeigten Ergebnisse zeigen, dass Mike Danseglio derzeit bei WNB-HQ-FS1 angemeldet ist.

Abbildung 5.5. Ergebnisse von Psloggedon, die anzeigen, dass das Benutzerkonto „mdanseglio“ bei WNB-HQ-FS1 angemeldet ist

Chow entfernt Mike Danseglio aus der Gruppe „branch01mgrs“ und überprüft erneut seine Benutzerrechte für den HR\Internal-Ordner.

Nach einer weiteren Prüfung der Sicherheitsereignisprotokolle und der Ergebnisse von AccessChk, um mögliche weitere fehlerhafte Berechtigungskonfigurationen für den HR\Internal-Ordner zu finden, beginnt Chow, mithilfe von Remoteuntersuchungsmethoden den Inhalt von Mike Danseglios Computer zu untersuchen.

Remotebeweissammlung

Chow beschließt, von einem Remotestandort aus Informationen von Mike Danseglios Computer zu beschaffen, bevor er versucht, die Informationen lokal zu erfassen, und er kommt an einem Wochenende ins Büro, um eine gerichtlich verwertbare Kopie von Danseglios Festplatte zu machen. In einer realen Situation könnte Chow seine gesamte forensische Untersuchung an einem Festplattenabbild vom Computer des Verdächtigten durchführen. Das vorliegende Szenario beschreibt jedoch die Verwendung von Tools und Verfahren zum lokalen und remoten Sammeln flüchtiger Beweise.

Chow verwendet ein mit seinem eigenen Computer verbundenes USB-Laufwerk, das zahlreiche Tools enthält. Das USB-Laufwerk speichert alle von ihm gesammelten Beweise sowie einen Textdateiensatz aller von ihm eingegebenen Befehle.

Chow verwendet das folgende einfache Verfahren, das es ihm ermöglicht, die Zeit anzuzeigen, zu der seine Untersuchung beginnt, über das Netzwerk Beweise von Mike Danseglios Computer zu sammeln, all seine Untersuchungsschritte aufzuzeichnen und ein MD5-Hash der gesammelten Beweise zu erstellen.

Wichtig:

Einige Sysinternals-Tools, einschließlich PsExec, PsFile und PsLogList, werden von der Standardkonfiguration der Windows-Firewall gesperrt. Um mit diesem angewandten Beispiel fortzufahren und diese Tools zu verwenden, um zu untersuchen, welche Informationen über das Netzwerk erfasst werden können, müssen Sie in der Windows-Firewall auf die Registerkarte Ausnahmen klicken und Datei- und Druckerfreigabe aktivieren. Sie sind jedoch NICHT gezwungen, etwas freizugeben.

Auf Zielcomputern, auf denen die Windows-Firewall aktiviert und die Datei- und Druckerfreigabe deaktiviert ist (die Standardeinstellung), müssen die Tools „Systeminfo“, „Ipconfig“, „Arp“, „Netstat“, „Schtasks“, „PsFile“, „PsList“ und „PsLogList“ direkt auf dem Zielcomputer ausgeführt werden. Führen Sie in einem solchen Fall jedes dieser Tools direkt auf dem Zielsystem aus, und leiten Sie die Ergebnisse in die Datei evidence2.txt weiter, die im Abschnitt „Lokale Beweissammlung“ weiter unten in diesem Kapitel erstellt wird.

1. Zugreifen auf das USB-Laufwerk

   Chow greift auf das USB-Laufwerk und den Ordner „tools“ zu, der seine Befehlszeilentools (einschließlich der Tools „PsExec“ und „File Checksum Integrity Validator, FCIV“) enthält.

               j:
               cd tools
   
   

2. Vermerken von Datum und Uhrzeit des Untersuchungsbeginns

   Chow leitet die Ergebnisse der Datums- und Zeitbefehle weiter, um die Startzeit seiner Untersuchung in einer neuen Datei mdevidence.txt aufzuzeichnen, die im Ordner „evidence“ auf seinem USB-Laufwerk erstellt wird. (Die Systemzeit auf Mike Danseglios Computer erfasst Chow in Schritt 3.) Außerdem sucht Chow nach etwaigen Unstimmigkeiten zwischen BIOS-Datum/BIOS-Zeit und tatsächlichem Datum/tatsächlicher Zeit.

               date /t > j:\evidence\mdevidence.txt
               time /t >> j:\evidence\mdevidence.txt
   
   

3. Erfassen grundlegender Informationen über den Zielcomputer

   Chow führt eine Reihe systemeigener Windows-Befehle aus, um Informationen über Danseglios Computer zu erhalten.

               j:
               cd tools
               psexec \\hqloan164 systeminfo >> j:\evidence\mdevidence.txt
               psexec \\hqloan164 ipconfig /all >> j:\evidence\mdevidence.txt
               psexec \\hqloan164 arp -a >> j:\evidence\mdevidence.txt
               psexec \\hqloan164 netstat -b >> j:\evidence\mdevidence.txt
               psexec \\hqloan164 schtasks >> j:\evidence\mdevidence.txt
   
   

   Hinweis:

   PsExec sammelt Informationen von einem Remotestandort aus und nutzt dazu Dienste, die bereits auf dem Zielcomputer vorhanden sind, wie z. B. Cmd und Ipconfig. PsExec kann auch verwendet werden, um Dienste über das Netzwerk zu laden und dann auf dem Zielcomputer auszuführen. Chow will keine Anwendungen auf Danseglios Computer installieren. Er führt nur Dienste aus, die vom Windows XP-Betriebssystem auf Danseglios Computer unterstützt werden.

4. Ausführen von Remotetools, die lokale Anwendungsprogrammierschnittstellen (APIs) verwenden

   Chow führt jetzt mehrere Tools aus, um festzustellen, ob andere Computer gerade Dateien auf Danseglios Computer geöffnet haben, um die Prozesse zu bestimmen, die auf dem Computer gerade ausgeführt werden, und um von dem Computer die System- und Sicherheitsereignisprotokolle zu erhalten.

               psfile \\hqloan164 >> j:\evidence\mdevidence.txt
               pslist -t \\hqloan164 >> j:\evidence\mdevidence.txt
               psloglist -s \\hqloan164 >> j:\evidence\mdevidence.txt
               psloglist -s sec \\hqloan164 >> j:\evidence\mdevidence.txt
   
   

   • PsFile zeigt Dateien an, die von einem Remotestandort aus geöffnet wurden. Dieses Tool verwendet remote Windows-APIs und muss nicht auf dem Zielcomputer geladen werden.

   • PsList zeigt Informationen zu laufenden Prozessen und Threads auf einem Computer an. Dieses Tool verwendet remote Windows-APIs und muss nicht auf dem Zielcomputer geladen werden.

   • PsLogList speichert standardmäßig den Inhalt des Ereignisprotokolls des Computers. Es ist kein zusätzlicher Parameter notwendig. Chow führt diesen Befehl mit dem Parameter sec aus, um das Sicherheitsereignisprotokoll zu erhalten.

5. Erstellen eines Datensatzes aller Aufgaben

   Windows überwacht automatisch alle Befehle, die an einer Eingabeaufforderung ausgeführt werden. Chow verwendet den Doskey-Befehl, um diesen Datensatz aufzuzeichnen, und leitet die Verlaufsinformationen in eine Datei mit dem Namen mdevidence-doskey.txt weiter.

   doskey /h > j:\evidence\mdevidence-doskey.txt
   

6. Durchführen einer MD5-Prüfsumme an den Beweisdateien

   Chow verwendet das FCIV-Tool, um für die Beweisdateien eine MD5-Prüfsumme zu erstellen.

   fciv j:\evidence\mdevidence.txt >> j:\evidence\md5mdevidence.txt
   

Hinweis:

Anzeigebeschränkungen führen möglicherweise dazu, dass der vorhergehende Befehl in mehreren Zeilen angezeigt wird. Er muss an der Eingabeaufforderung als eine einzige Zeile eingegeben werden.

Das FCIV-Tool berechnet und überprüft kryptografische Hashwerte. Dieses Tool ist über den Microsoft Knowledge Base-Artikel 841290 verfügbar.

Chow will von einem Remotestandort aus die Ordner auf Mike Danseglios Computer überprüfen. Zu diesem Zweck verwendet er PsExec, um eine Eingabeaufforderung auf Danseglios Computer zu öffnen. An der Eingabeaufforderung gibt Chow folgende Befehle ein:

        psexec \\hqloan164 cmd
        cd c:\documents and settings\mdanseglio\my documents
        dir /s
      

Obwohl alle Benutzer verpflichtet sind, ihre Dokumente auf dem Netzwerkserver aufzubewahren, stellt Chow fest, dass Mike Danseglio einen persönlichen Ordner auf seinem Computer hat. Dieser Ordner enthält eine Tabelle und einen Unterordner „xxxpixset“.

Nach Prüfung der Ordner auf Danseglios Computer von einem Remotestandort aus ist Chow nun bereit, über seine Ergebnisse zu berichten und eine lokale Untersuchung an Danseglios Computer durchzuführen.

Jill Shrader, die Leiterin der Personalabteilung, ruft Chow auf seinem Handy an und erkundigt sich nach dem Stand seiner Untersuchungen. Chow erklärt, dass er folgende Informationen gesammelt hat:

• Mike Danseglios Benutzerkonto verfügte über Lese-und Schreibberechtigungen für den HR\Internal-Ordner, weil er irrtümlich der Gruppe „branch01mgrs“ hinzugefügt worden war, die Berechtigungen für diesen Ordner und seine Unterordner besitzt.

• Danseglios Computer hat einen persönlichen Ordner auf seiner Festplatte, der mindestens eine Tabelle enthält.

• Danseglios Computer enthält zwei nicht autorisierte Programme, die ihn in die Lage versetzen, den Netzwerkverkehr zu überwachen und das Netzwerk nach Diensten und Computern zu durchsuchen.

• Auf der Festplatte von Danseglios Computer befindet sich eine große Sammlung von Bilddateien, von denen Chow vermutet, dass es sich um pornografische Bilder handelt.

Lokale Beweissammlung

Im Idealfall werden Computeruntersuchungen auf Festplattenabbildern durchgeführt. Im vorliegenden Beispiel jedoch führt Chow eine Reihe von Tools direkt auf Mike Danseglios Computer aus. Diese Tools werden von einem USB-Laufwerk ausgeführt und erfordern keine Installation auf dem lokalen Computer. Wie jedoch an früherer Stelle in diesem Kapitel erwähnt, hinterlässt das Anschließen des USB-Laufwerks einen Eintrag in der Registrierung.

Wichtig:

Wenn auf Mike Danseglios Computer die Windows Firewall aktiviert und die Datei- und Druckerfreigabe deaktiviert wäre, würde Chow die Tools „Systeminfo“, „Ipconfig“, „Arp“, „Netstat“, „Schtasks“, „PsFile“, „PsList“ und „PsLogList“ lokal auf Danseglios Computer ausführen. Chow würde die Befehle eingeben, die im Abschnitt „Remotebeweissammlung“ weiter oben in diesem Kapitel aufgelistet sind, aber den Verweis auf „\\hqloan164“ vor der Weiterleitung der Ergebnisse in die Datei evidence2.txt entfernen, die er in diesem Abschnitt erstellt.

Chow hat vor, folgende Aufgaben auf Danseglios Computer durchzuführen:

• Durchsuchen des Laufwerks nach Beweisen für vertrauliche Dateien

• Beschaffen von Kopien verdächtiger Dateien

• Untersuchen der Dateien

Chow meldet sich über das Administratorkonto auf Danseglios Computer an, um auf Danseglios persönlichen Ordner zuzugreifen. Chow schließt das USB-Laufwerk für die Beweissammlung an Danseglios Computer an und wendet dann das folgende einfache Verfahren an:

1. Zugreifen auf Mike Danseglios persönlichen Ordner

   Chow greift mit folgenden Befehlen auf Danseglios persönlichen Ordner zu.

               c:
               cd "documents and settings\mdanseglio\my documents\personal"
   
   

2. Vermerken von Datum und Uhrzeit des Beginns der Untersuchung

   Chow leitet die Ergebnisse der Datums- und Zeitbefehle weiter, um die Startzeit seiner Untersuchung aufzuzeichnen. Er leitet die Ergebnisse in eine neue Datei mdevidence2.txt weiter, die im Ordner „evidence“ auf dem USB-Laufwerk erstellt wird.

               date /t > f:\evidence\mdevidence2.txt
               time /t >> f:\evidence\mdevidence2.txt
   
   

   Hinweis:

   Das USB-Laufwerk erscheint als Laufwerk F: auf Danseglios Computer.

3. Sammeln von Verzeichnisstrukturinformationen

   Chow verwendet den Dir-Befehl, um den Inhalt von Danseglios persönlichem Ordner zu untersuchen. Zuerst leitet Chow die Ergebnisse zum Bildschirm weiter, um sie anzuzeigen, und bemerkt eine Tabellendatei und den Ordner „xxxpixset“. Dann leitet er die Ergebnisse des Dir-Befehls mithilfe dreier verschiedener Parameter in die Beweisdatei weiter: „tc“ zur Anzeige der Erstellungszeit, „ta“ zur Anzeige des Zeitpunkts des letzten Zugriffs und „tw“ zur Anzeige des Zeitpunkts des letzten Schreibzugriffs.

               dir /ta >> f:\evidence\mdevidence2.txt
               dir /tc >> f:\evidence\mdevidence2.txt
               dir /tw >> f:\evidence\mdevidence2.txt
   
   

4. Zugreifen auf das USB-Laufwerk

   Chow greift auf das USB-Laufwerk und den Ordner „tools“ zu, der seine Befehlszeilentools enthält.

               f:
               cd tools
   
   

5. Erfassen von Mike Danseglios Dateiinformationen

   Chow verwendet das Dienstprogramm „Du“, um den Inhalt von Mike Danseglios Ordner „Eigene Dateien“ sowie etwaiger Unterordner zu untersuchen. Er verwendet den Parameter „–l 5“, um bis zu einer Tiefe von fünf Ordnern zu suchen. Chow untersucht zunächst die Ergebnisse auf dem Bildschirm (siehe folgender Screenshot), bevor er den Beweis in die Datei mdevidence2.txt weiterleitet.

               du –l 5
               du –l 5 >> f:\evidence\mdevidence2.txt
   
   

   

   Abbildung 5.6. Ergebnisse der Ausführung des Dienstprogramms „Du“

6. Kopieren verdächtiger Dateien in den Ordner „evidence_files“

   Obwohl Chow ein Abbild von Mikes Danseglios ganzem Laufwerk erstellt hat, beschließt er, die Dateien aus dessen persönlichem Ordner in einen neuen Ordner mit dem Namen evidence_files zu kopieren, den er auf dem USB-Laufwerk erstellt. Er wird den Ordner und die Dateien im Analyseverfahren untersuchen.

   Hinweis:

   Chow hat während des Abbilderstellungsprozesses eine Kopie der ursprünglichen Datei erstellt. Er kann an der ursprünglichen Datei, die er auf dem Livelaufwerk gefunden hat, ein Hash durchführen, wenn er diese Datei mit ihrer Kopie auf seinem USB-Laufwerk vergleichen möchte.

   Chow verwendet den Befehl „Xcopy“ mit dem Parameter „s“, um Unterordner zu kopieren, mit dem Parameter „e“, um Unterordner auch dann zu kopieren, wenn sie leer sind, mit dem Parameter „k“, um das Attribut „Schreibgeschützt“ auf den Zieldateien beizubehalten, wenn es auf den Quelldateien vorhanden ist, und mit dem Parameter „v“, um jede Datei beim Schreiben in die Zieldatei zu prüfen, um sicherzustellen, dass die Ziel- und Quelldateien identisch sind.

               f:
               md evidence_files
               c:
               cd \documents and settings\mdanseglio\my documents\personal
               xcopy *.* f:\evidence_files /s /e /k /v
   
   

7. Untersuchen des Papierkorbinhalts

   Chow prüft schnell den Inhalt des Papierkorbs auf Mike Danseglios Computer, der zahlreiche gelöschte Dateien enthält (siehe folgende Abbildung). Chow weiß, dass im Abbilderstellungsprozess des Laufwerks eine Kopie dieser Dateien erstellt wurde und er somit die Dateien später prüfen kann, falls er das möchte. Nachdem er den Inhalt des Papierkorbs vermerkt hat, kann Chow nun die Beweise prüfen, die er von einem Remotestandort aus und lokal gesammelt hat.

   

   Abbildung 5.7. Mehrere im Papierkorb enthaltene Bilddateien

Analysieren der gesammelten Beweise

Chow hat zwei Beweisdateien: mdevidence.txt und mdevidence2.txt. Er hat auch eine Kopie von Mike Danseglios persönlichem Ordner. Chow wendet auf seinem eigenen Computer folgendes Verfahren an, um die in diesen Dateien enthaltenen Informationen zu analysieren.

1. Analysieren der Prozessinformationen

   Chow prüft die Datei mdevidence.txt. Die Ergebnisse von PsList sind sehr interessant, da sie anzeigen, dass Mike Danseglio einige nicht autorisierte Anwendungen – einschließlich Wireshark und nMapWin – ausführt (siehe nachfolgender Screenshot).

   Chow weiß, dass es nicht ungewöhnlich ist, bei der Durchführung einer Untersuchung auf einem verdächtigen Computer Verstöße zu finden, die nicht miteinander im Zusammenhang stehen. Ihm ist auch klar, dass nicht alle Anwendungen leicht zu erkennen sind (wie die, die in diesem Szenario aufgelistet wurden), und dass sie möglicherweise auch ohne Danseglios Wissen installiert wurden.

   

   Abbildung 5.8. Ergebnisse der PsList-Ausführung auf Mike Danseglios Computer

2. Zugreifen auf das USB-Laufwerk

   Chow greift auf das USB-Laufwerk und den Ordner „tools“ zu, der seine Befehlszeilentools enthält.

               j:
               cd tools
   
   

3. Suchen nach verdächtigen Zeichenfolgen in der Tabellendatei

   Chow sucht in seinen Kopien der Dateien aus Danseglios persönlichem Ordner nach der Zeichenfolge „confidential“ (vertraulich). Zu diesem Zweck verwendet er den Befehl „Find“ mit dem Parameter „l“ (dieser Parameter ignoriert beim Suchen nach der Zeichenfolge die Groß- und Kleinschreibung der Zeichen) und mit dem Parameter „c“(dieser Parameter liefert die Anzahl der Zeilen, in denen die Zeichenfolge enthalten ist).

   Zuerst leitet Chow die Ergebnisse auf den Bildschirm. Dort wird angezeigt, dass die Datei 090806PR-A139.xls einen Treffer enthält (siehe nachfolgender Screenshot). Daher führt Chow den Befehl ein zweites Mal aus, um die Ergebnisse in eine Datei mdevidence-review.txt zu leiten.

               j:
               cd \evidence_files
               find /i /c "confidential" *.*
               find /i /c "confidential" *.* > j:\evidence\mdevidence-review.txt
   
   

   Hinweis:

   Anzeigebeschränkungen führen möglicherweise dazu, dass der vorhergehende Befehl in mehreren Zeilen angezeigt wird. Er muss an der Eingabeaufforderung als eine einzige Zeile eingegeben werden.

   

   Abbildung 5.9. Bei der Suche nach „confidential“ in der Datei „090806PR-A139.xls“ gefundene Ergebnisse

4. Chow kopiert zunächst 090806PR-A139.xls in den Ordner „evidence_files“ und listet dann mithilfe des Zeichenfolgentools die ASCII- und Unicodezeichenfolgen auf, die in der Tabellendatei enthalten sind.

   strings j:\evidence_files\090806PR-A139.xls
   

   Die Ergebnisse zeigen an, dass die Tabellendatei Gehaltslisteninformationen enthält (siehe nachfolgender Screenshot). Chow führt das Zeichenfolgentool erneut aus und leitet die Ergebnisse in seine Datei mdevidence-review.txt weiter.

   strings j:\evidence_files\090806PR-A139.XLS >> j:\evidence\mdevidence-review.txt
   

   Hinweis:

   Anzeigebeschränkungen führen möglicherweise dazu, dass der vorhergehende Befehl in mehreren Zeilen angezeigt wird. Er muss an der Eingabeaufforderung als eine einzige Zeile eingegeben werden.

   

   Abbildung 5.10. Ergebnisse der Ausführung des Zeichenfolgendienstprogramms an der Tabellendatei

   Chow ist ziemlich sicher, dass er auf Mike Danseglios Computer eine nicht autorisierte Kopie einer Gehaltslistendatei der Personalabteilung gefunden hat.

Erstellen eines Berichts über die Beweise

Chow analysiert die Beweise, bringt sie zueinander in Beziehung und fasst dann die Ergebnisse in einem Bericht zusammen. Ein Beispielbericht findet sich in den Materialien zu diesem Handbuch, auf die im Arbeitsblattabschnitt in Anhang: Ressourcen verwiesen wird. Chows Bericht enthält auch Empfehlungen, wie sich vertrauliche Daten vor künftigen Verstößen sichern lassen. Chow führt an den Beweisdateien auch eine Datenintegritätsprüfung durch und speichert die Dateien dann ordnungsgemäß zusammen mit dem Abschlussbericht durch Brennen auf CD.

Chows Bericht enthält folgende Informationen:

• Zweck des Berichts Der Bericht soll die Geschäftsleitung der Woodgrove Bank über den Vorfall in Kenntnis setzen und erklären, wie die Ergebnisse der Untersuchung verwendet werden können, um zukünftige Sicherheitsverletzungen zu verhindern.

• Autor des Berichts Chow stellt sich vor, nennt seinen Titel und erklärt, dass er die Verantwortung für die technische Leitung trägt.

• Zusammenfassung des Vorfalls Dieser Abschnitt führt den Anfangsverdacht und die geschäftlichen Auswirkungen des Vorfalls auf.

• Beweise Dieser Abschnitt enthält die Liste der ausgeführten Prozesse, das auf Mike Danseglios Computer gefundene persönliche Verzeichnis, die eindeutigen Bilder, die gefunden wurden, die Liste der nicht genehmigten Anwendungen, die ausführt wurden, sowie den Speicherort einer vertraulichen Datei mit Gehaltslisteninformationen.

• Analyse Dieser Abschnitt enthält die Ergebnisse der lokalen Untersuchungen und der Remoteuntersuchungen, die beweisen, dass sexuell eindeutige Bilder heruntergeladen wurden, dass Berechtigungen falsch konfiguriert waren und dass auf eine vertrauliche Datei mit Gehaltslisteninformationen zugegriffen wurde.

• Schlussbemerkung Dieser Abschnitt fasst das Ergebnis der Untersuchung zusammen und enthält Empfehlungen, wie ähnliche Vorfälle in Zukunft vermieden werden können.

• Unterstützende Dokumente Dieser Abschnitt enthält Netzwerkdiagramme und eine Liste der Computeruntersuchungsverfahren und -technologien, die in der Untersuchung angewendet werden.

Nach Vorlage seines Berichts wartet Chow auf die Genehmigung, zusätzliche Untersuchungsschritte durchzuführen oder von der Geschäftsleitung gewünschte andere Maßnahmen zu ergreifen.

Hinweis:

Jede Untersuchung kann unterschiedlich sein. Verwenden Sie Tools, die für die erforderliche Aufgabe geeignet sind und Ihnen bei der Beschaffung der gesuchten Informationen helfen. Es ist aber immer empfehlenswert, mehr Beweise zu sammeln, als Sie möglicherweise brauchen.

Konfiguration der Testumgebung im angewandten Szenario

Um dieses angewandte Szenario in einer Testumgebung zu emulieren, müssen Sie folgende Schritte durchführen:

1. Bereitstellen von Computern und Erstellen einer Active Directory®-Verzeichnisdienstdomäne

2. Erstellen von Benutzern und Gruppen in Active Directory

3. Erstellen von Ordnern und Dateien auf bestimmten Computern

4. Zuweisen von Freigaben und Berechtigungen

5. Konfigurieren der Überwachungsfunktion

Bereitstellen von Computern und Erstellen einer Domäne

In der folgenden Tabelle sind die erforderlichen Computer und Betriebssysteme aufgelistet:

Tabelle 5.1. In der angewandten Szenariotestumgebung verwendete Computer und Betriebssysteme

Führen Sie nach Installation des Betriebssystems auf jedem Computer Dcpromo auf WNB-HQ-DC aus, um Active Directory und DNS zu installieren.

Erstellen von Benutzern und Gruppen

In der folgenden Tabelle werden die Gruppen und Benutzer aufgeführt, die im Verwaltungsprogramm „Active Directory Benutzer- und -Computer“ in MMC (Microsoft Management Console) definiert werden müssen.

Tabelle 5.2. In der angewandten Szenariotestumgebung genannte Gruppen und Benutzer

Auf dem Dateiserver WNB-HQ-FS1 wird die Domänen-Admins-Gruppe als Mitglied der lokalen Administratorengruppe hinzugefügt.

Erstellen von Ordnern und Dateien

In der folgenden Tabelle werden die Gerätenamen, Verzeichnisstrukturen und die darin enthaltenen Dateien aufgelistet, die Sie benötigen:

Tabelle 5.3. In der angewandten Szenariotestumgebung verwendete Geräte, Ordner und Dateien

Zuweisen von Freigaben und Berechtigungen

Die folgende Tabelle listet die Dateiordner und Freigabeberechtigungen auf, die für den Dateiserver WNB-HQ-FS1 notwendig sind:

Tabelle 5.4. Ordner und Freigabeberechtigungen in der angewandten Szenariotestumgebung

Konfigurieren der Überwachungsfunktion

Auf dem Domänencontroller WNB-HQ-DC wird die Richtlinie zur Überwachung des Objektzugriffs konfiguriert, um sowohl Erfolge als auch Fehlschläge zu überwachen. Diese Konfiguration wird über die MMC-Konsolen „Sicherheitsrichtlinie für Domänen“ und „Sicherheitsrichtlinie für Domänencontroller“ vorgenommen.

Auf dem Dateiserver WNB-HQ-FS1 wird die Überwachung für die Domänenbenutzergruppe im Ordner „HR\Internal“ konfiguriert. Um diese Konfiguration durchzuführen, klicken Sie mit der rechten Maustaste auf den Ordner, und wählen Sie Eigenschaften, Sicherheit, Erweitert und anschließend Überwachung aus. Geben Sie dann die Gruppe der Domänen-Benutzer ein.

In diesem Beitrag

• Übersicht
• Kapitel 1: Bewerten der Situation
• Kapitel 2: Sammeln der Daten
• Kapitel 3: Analysieren der Daten
• Kapitel 4: Erstellen eines Untersuchungsberichts
• Kapitel 5: Angewandtes Szenariobeispiel
• Anhang: Ressourcen
• Danksagung

Download (engl.)

Laden Sie das Basishandbuch für Computeruntersuchungen für Windows herunter.

Update Notification (engl.)

Melden Sie sich an, um Informationen über Aktualisierungen und neue Veröffentlichungen zu erhalten.

Feedback (engl.)

Senden Sie uns Ihre Kommentare oder Vorschläge.

6 von 8