5 wichtige Werkzeuge für die SIFT Workstation
- Medienverwaltungsebene
- Dateisystemebene
- Dateisystemebene („The Human Interface“)
- Metadaten- („Inode“-) Schicht
- Inhalts- („Block“-) Schicht
Günstigerweise entspricht der Name jedes Tools seinem Zweck durch ein einheitliches Präfix/Suffix-Format. Nehmen wir zum Beispiel das Werkzeug „mmls“, das zur Anzeige des Partitionslayouts eines Volume-Systems verwendet wird. Das Präfix „mm“ sagt Ihnen, dass es auf der Medienverwaltungsebene arbeitet, während das Suffix „ls“ einfach der Linux-Befehl „ls“ ist, der zum Auflisten von Dateien und Verzeichnissen verwendet wird. In der Tat liefert Ihnen „mmls“ ein Listenlayout der Partitionen in einem Datenträgersystem, das Partitionstabellen und Laufwerksbezeichnungen enthält.
Das Präfix „i“ des Tools „icat“ zeigt an, dass es auf der Inode-Ebene (Metadaten) arbeitet, während das Suffix einfach der Linux-Befehl „cat“ ist und dazu dient, den Inhalt einer Datei anzuzeigen. Allein aus dem Namen des Tools können wir schließen, dass „icat“ den Inhalt einer Datei auf der Grundlage ihrer Inode-Nummer ausgibt. Noch besser: Die SIFT Workstation wird mit „Autopsy“ ausgeliefert, einer GUI-Schnittstelle, die die Interaktion mit den TSK-Programmen und -Plugins abstrahiert und vereinfacht.
Ob Sie nun die Arbeit über die Kommandozeile oder über eine Web-Browser-Schnittstelle bevorzugen, TSK/Autopsy stellt Ihnen die notwendigen Werkzeuge zur Verfügung, um eine detaillierte und robuste forensische Untersuchung durchzuführen.
Volatilität
Moderne Cyberangriffe werden immer raffinierter, um der Entdeckung zu entgehen, und hinterlassen oft keine forensischen Artefakte auf der Festplatte des Opferrechners. In Verbindung mit dem weit verbreiteten Einsatz von Festplattenverschlüsselung ist es daher umso wichtiger, den Speicherauszug eines Computersystems zu extrahieren und detailliert zu analysieren.
Die Verwendung von Volatility ermöglicht es einem Prüfer, Speicherforensik durchzuführen und eine große Menge an wertvollen Informationen zu ermitteln. Volatility kann bösartige Prozesse und Rootkits identifizieren sowie Passwort-Hashes und Beweise für die Einschleusung von bösartigem Code abrufen. Das Volatility-Framework ist maßgeschneidert für die Durchführung von Incident Response und Malware-Analysen und ist meiner Meinung nach ein Muss für den modernen Digital Forensics Examiner.
RegRipper
In der Unternehmenswelt sind Active Directory und Windows-Rechner nahezu allgegenwärtig. Ebenso machen Windows-basierte Betriebssysteme einen großen Teil des Marktanteils bei Privatanwendern aus. Es wäre daher nicht schockierend zu erfahren, dass ein großer Teil der Computerkriminalität auf Windows-Rechnern begangen wird, und daher wäre ein Windows-spezifisches Analysewerkzeug in der Tat von großem Wert für einen Prüfer der digitalen Forensik.
Die Windows-Registrierung ist eine hierarchische Datenbank mit Schlüsseln, Unterschlüsseln und Werten, die wichtige Einstellungen des Betriebssystems auf niedriger Ebene bereitstellen. Welcher Benutzer hat sich wann angemeldet? Zu welchem Zeitpunkt war ein USB-Laufwerk an das Gerät angeschlossen? Wie lautete die Seriennummer des USB-Laufwerks? Auf welche Dateien wurde zugegriffen? Welcher Benutzer hat was durchsucht? All diese Details – und noch viel mehr – werden in der Registry aufgezeichnet. Einfach ausgedrückt, ist sie eine absolute Goldgrube für die Entdeckung forensischer Artefakte.
RegRipper ist ein Open-Source-Tool, das entwickelt wurde, um eine einfache Möglichkeit zu bieten, gezielte Werte von Interesse aus der Registry zu analysieren, um eine forensische Analyse durchzuführen. Dazu gibt der Prüfer die entsprechende Registry-Hive an, auf die er abzielen möchte, z. B. System oder SAM, sowie den Namen eines Plugins, das für die Durchführung einer bestimmten Aktion auf dem Ziel erforderlich ist.
Wenn Sie beispielsweise die System-Hive in Verbindung mit dem Shutdown-Plugin angeben, wird RegRipper schnell die relevanten Informationen darüber auslesen und zurückgeben, wann das System zuletzt heruntergefahren wurde. Wie Sie wahrscheinlich erkennen können, ist RegRipper ein unglaublich leistungsfähiges Werkzeug und ein wesentlicher Bestandteil der SIFT Workstation.
Wireshark
Keine Liste wäre vollständig ohne die Aufnahme des bekannten Paketanalysators Wireshark. Das Tool ist in der Netzwerk-Community für seine Debugging- und Troubleshooting-Fähigkeiten bekannt und hat die Fähigkeit, tief zu blicken und die Details aller Daten, die die Leitung durchlaufen, zu entwirren. Für die Zwecke der Netzwerkforensik bietet Wireshark einem Prüfer die Möglichkeit, Eindringlinge und bösartigen Datenverkehr zu identifizieren sowie Informationen zu sammeln, die dabei helfen, eine kontextuelle Grundlage für ein potenzielles Verbrechen zu schaffen.
Angenommen, ein gerissener Krimineller dringt in das Netzwerk ein, achtet aber darauf, alle Protokolldateien und Beweise für seine Anwesenheit auf dem Zielcomputer zu löschen. Der einzige verbleibende Beleg dafür, dass dies jemals geschehen ist, könnte in dem vom Paketanalysator aufgezeichneten Datenverkehr liegen. Wireshark bietet eine Reihe von Funktionen, die dabei helfen, potenziell „interessanten“ Datenverkehr zu isolieren und zu identifizieren, einschließlich der Filterung nach Quelladresse, Portnummer und Protokolltyp.
Schließlich hat sich die Netzwerkforensik allmählich zu einem wichtigen Teilbereich der Untersuchung digitaler Verbrechen entwickelt, und Wireshark hat sich als unschätzbare Ergänzung des forensischen Instrumentariums erwiesen.
Plaso/Log2Timeline
Die forensische Analyse erfordert ein hohes Maß an Detailgenauigkeit, und die Erstellung einer genauen Zeitleiste der Ereignisse ist bei der Auswertung der in Ihrem Besitz befindlichen Beweise von größter Bedeutung. Eine fehlerhafte Zeitleiste kann buchstäblich den Unterschied zwischen der Entdeckung von belastendem oder entlastendem Beweismaterial ausmachen. Anstatt sich die Mühe zu machen, Ereignisprotokolle, Prefetch und Shellbags manuell zu prüfen und diese Daten aus unterschiedlichen Quellen zusammenzustellen, bietet SIFT Workstation die Möglichkeit, mit einem einzigen Tool eine „Super Timeline“ zu erstellen.
Aufgebaut auf einer Backend-Engine namens Plaso, ist Log2Timeline in der Lage, all diese Informationen zu analysieren und in zeitlicher Reihenfolge zusammenzustellen – alles übersichtlich in einer Datenquelle. Log2Timeline liefert eine Fülle von Kontexten zu Ihren Erkenntnissen und eignet sich hervorragend zur Vermeidung von Fehlalarmen.
Log2Timeline erleichtert Ihnen nicht nur die Arbeit, sondern verbessert auch die Qualität Ihrer Arbeit und kann oft dazu führen, dass Sie das „letzte Puzzleteil“ finden, das zur Lösung eines Falles benötigt wird. Es ist wirklich ein hervorragendes Werkzeug.
Abschließende Gedanken
Die SIFT Workstation ist ein professionelles Forensik-Framework und bietet eine Fülle von hochwertigen Open-Source-Tools zu Ihrer Verfügung. Ich möchte Sie ermutigen, Ihrer Neugier zu frönen und alles zu erkunden, was es zu bieten hat. Diese fünf Tools sind zweifellos meine Favoriten und gehören meiner Meinung nach zu den unverzichtbaren Lernprogrammen für die digitale Forensik.