64
Juerg Fischer Security Analyst Sunworks GmbH, Ennetbaden Microsoft Certified Trainer, EC-Council Certified Instructor ©SUNWORKSS

6 jürg fischer it forensics in virtuellen umgebungen

Embed Size (px)

Citation preview

Page 1: 6 jürg fischer it forensics in virtuellen umgebungen

Juerg Fischer

Security Analyst

Sunworks GmbH, Ennetbaden

Microsoft Certified Trainer, EC-Council Certified Instructor

©SU

NW

OR

KSS

Page 2: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

2 2

» Forensics Grundlagen

» ...und in virtuellen Umgebungen?

» Unterschiede virtueller Umgebungen

» Live Forensics

» Forensics der Hostsysteme

» Unterstützende Tools (Kommerzielle und Open Source)

» Live Demo

» Fazit 2

©SU

NW

OR

KS

S

Page 3: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

3 3

©SU

NW

OR

KS

S

Page 4: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

4 4

» 3 Beispiele

˃ Provider

˃ Maschinenbaufirma

˃ Industriebetrieb mit eigener SW-Entwicklung

» Forensics-Begriff auf alle Seiten offen

» Oft Interpretationssache oder Verbund mit anderen Services wie Pentest, Ethical Hacking

©SU

NW

OR

KS

S

Page 5: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

5 5

» Was ist möglich?

˃ Wiederherstellung gelöschter Daten

˃ Erkennung wann sich Dateien geändert haben, modifiziert wurden, gelöscht wurden

˃ Überprüfung welche Geräte angeschlossen wurden

˃ Welche Applikationen wurden von einem Benutzer installiert oder deinstalliert?

˃ Welche Websites wurden besucht?

˃ Welche Mails wurden mit welchen Attachments verschickt

©SU

NW

OR

KS

S

Page 6: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

6 6

1. Computer Crime wird festgestellt

2. Durchsuchungsbefehl wird beantragt (falls notwendig)

3. First Responder Prozeduren werden durchgeführt

4. Beweismittel werden zusammengetragen

5. Beweismittel werden geschützt ins Labor transportiert

6. 2 Bit-Stream Kopien werden erstellt

7. Chain of Custody wird erstellt

8. Originale Beweismittel werden an einem sicheren Ort gelagert

9. Kopie des Images wird analysiert

10.Forensic Report wird erstellt

©SU

NW

OR

KS

S

Page 7: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

7 7

» Datenverlust während der Analyse minimieren

˃ System ausschalten?

˃ Vom Netz trennen?

» Daten 1:1 kopieren

˃ Memory

˃ Partitionen (Harddisks)

» Nur Kopien analysieren

» Erkenntnisse und Vorgehensweise notieren

» Während der forensischen Analyse darf nichts verändert werden

©SU

NW

OR

KS

S

Page 8: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

8 8

» Datenverlust während der Analyse minimieren

˃ System ausschalten?

˃ Vom Netz trennen?

» Daten 1:1 kopieren

˃ Memory

˃ Partitionen (Harddisks)

» Nur Kopien analysieren

» Erkenntnisse und Vorgehensweise notieren

» Während der forensischen Analyse darf nichts verändert werden

©SU

NW

OR

KS

S

Page 9: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

9 9

©SU

NW

OR

KS

S

Page 10: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

10 10

» Grundsatzfragen

˃ Was erwarten wir?

˃ Wo sind die Daten?

˃ Wem gehören die Daten?

˃ Welche Forensik Technik verwenden wir?

˃ Wie bekomme ich Daten aus virtuellen Maschinen oder der Cloud?

˃ Welche Tools verwende ich dazu?

©SU

NW

OR

KS

S

Page 11: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

11 11

» Aufsetzen relativ einfach

» Vorbereitete Appliances können nur aus dem Internet heruntergeladen werden

» Bridge Funktion ermöglicht schnellen Netzwerkzugriff via Hostsystem

» Durch NAT kann auch nicht gemanagter Verkehr mit dem Netzwerk statt finden.

˃ Malicious Software Installation

˃ Netzwerk Schwachstellen

˃ Clients mit fehlgeleiteten Verbindungen

©SU

NW

OR

KS

S

Page 12: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

12 12

» Ist die Umgebung Physikalisch oder Virtuell?

» Ist die Virtualisierung Hardware- oder Software-basierend?

» Sind identifizierbare Mac Adressen vorhanden?

» Sind identifizierbare Herstellerinformationen verfügbar?

» Sind identifizierbare Hardware Drives vorhanden?

©SU

NW

OR

KS

S

Page 13: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

13 13

Server Virtualisierung Desktop Virtualisierung

˃ VMWare

+ Linux und Windows Hostsysteme möglich

+ bare-metal möglich

˃ Microsoft Virtual Server

+ Windows Hostsysteme

˃ Citrix XEN Server

+ Bare-metal System

˃ OracleVM

+ Für Oracle und nicht-Oracle-Anwendungen

˃ VMWare

+ Komplette Virtualisierung möglich

˃ Microsoft Virtual PC

+ Beliebige Windows Hostsysteme möglich

˃ Windows Virtual PC (Windows 7)

+ setzt Hardware Virtualisierungs-Features voraus

˃ XENSource

+ Citrix, alle bekannten Gastsysteme

˃ Parallels

+ Windows, Linux und Mac OSX Plattformen

˃ SUN Virtual Box

+ Mac OSX, Linux und Windows Support

©SU

NW

OR

KS

S

Page 14: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

14 14

» Via USB zu starten

» MojoPac

˃ Entwickelt von Ringcube

˃ Encapsulation eines kompletten Windows Desktops

» MokaFive

˃ Spinoff der University Stanford

˃ Basiert auf einem Thin Client Modell

» Portable Virtualbox

˃ Entwickelt von Innotek

˃ SUN übernahm 2008 den Betrieb

©SU

NW

OR

KS

S

Page 15: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

15 15

©SU

NW

OR

KS

S

Page 16: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

16 16

» Sehr populär

» Unterschiedliche Szenarien notwendig ob Statisch oder Live

» Sehr oft als Testplattform verwendet

» Möglichkeit Veränderungen zu löschen und mit dem vorherigen Snapshot zu starten

©SU

NW

OR

KS

S

Page 17: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

17 17

» VM innerhalb eines Forensic Images ist schwierig zu durchsuchen

» Typische Forensic Software erkennt die VM-Dateien als unbekannte Dateitypen

» Images können aber bei verschiedenen Virtualisierungslösungen gemounted werden

» Einige Forensic Software Lösungen erlauben VMs zu laden und somit zu analysieren. Somit wird die vmdk-Datei einem Case zugeordnet.

» Kommerzielle Tools (Bsp. Encase) erkennen die Festplatten/Partitionen der VMs

©SU

NW

OR

KS

S

Page 18: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

18 18

» FTK Imager

» Liveview (bei Workstation und ESX)

» Encase

» MMLS & DD

» CAINE

» Helix

» …

©SU

NW

OR

KS

S

Page 19: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

19 19

» Unterschiede zwischen dem Original und der virtuellen Maschine können mit Tools wie Compare Snapshots aufgezeigt werden.

» Die Idee dabei ist es zwei Snapshots zu vergleichen (ein Original und ein mit Malware infiziertes System.

» Ein Vergleich der Dateien mit einem Hex-Editor ist wesentlich schwieriger.

» Integriert ist eine Search Engine welche nach Erweiterungen wie .sys oder .exe sucht. Mit einer Erweiterung der Suchregeln (zB. System32 wird die Suche noch effizienter.

©SU

NW

OR

KS

S

Page 20: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

20 20

» VMEM

» Analyse des Speichers einer VM

©SU

NW

OR

KS

S

Page 21: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

21 21

Typ Beschreibung

vmx Primäres Virtual Machine Configuration File

vmsd Snapshot Descrypter File

vmtm Configuration File for Teaming Funktionalitäten

vmdk Disk Descripter File

Log VMWare Logfiles

nvram Bios Settings der VM

vmss Suspend File, Status der Suspended VM.

vmsn Snapshot Files

vmsd Snapshot Descripter File

vmem Auslagerungsdatei der VM

©SU

NW

OR

KS

S

Page 22: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

22 22

» Erstellen eines Snapshots und der .vmsm-Datei der VM ohne irgend etwas im Code des Gastsystems zu verändern.

» Erstellen der Integrität der Evidence Files.

» Einhalten der «Chain of custody».

©SU

NW

OR

KS

S

Page 23: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

23 23

Befehl Funktion

Vim-cmd vmsvc/-destroy vmid

Löscht die .vmdk und .vmx Dateien auf der Festplatte

chkconfig –l Zeigt Daemons welche auf dem Hypervisor laufen

esxcfg –info Zeigt die Wealth Informationen eines ESX-Hosts auf

Esxcfg –nics-l Zeigt die Network Interface Informationen an

» Verbinden auf die ESXi-Service Konsole über SSH

» Verwendung des CLI-Interfaces

» Verwenden des esxcfg-info Command

©SU

NW

OR

KS

S

Page 24: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

24 24

» Sysinternal Tools vor dem Shutdown virtueller Maschinen verwenden um Services, offene Ports und weitere Informationen zu sichern.

Tool Funktion

Accessenum.exe Unterstützt Benutzer Berechtigungs- Informationen auf den Dateien und der Registry durch die API

Autoruns.exe Informationen aus dem Bootvorgang

Pendmoves.exe Dateien welche via Schedule umbenannt oder gelöscht werden im nächsten Bootvorgang

Logonsessions.exe Aktive Logon Sessions

©SU

NW

OR

KS

S

Page 25: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

25 25

©SU

NW

OR

KS

S

Page 26: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

26 26

» Können Sie dem OS vertrauen? ˃ Kernel Level Rootkits

˃ Wissen Sie wem Sie vertrauen?

» Whole Disk Encryption ˃ BitLocker, EFS, CFS, TCFS, sfs, etc.

˃ Schalten Sie das System aus und dann, ooops …

» Was machen Sie mit einem Memory Dump? ˃ Rekonstruieren der Prozesse (running and dead?)

˃ Suchen mit entsprechenden Filtern

©SU

NW

OR

KS

S

Page 27: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

27 27

» Interaktion zwischen zwei Computern

» Internet macht die Analyse bedeutend komplexer

» Verschlüsselung, Steganography

» “Sicheres” Löschen

» Betriebssystemfunktionen! ˃ ext3 Dateisystem in Linux

˃ Secure Recycle Bin in Mac OS X

» Kriminelle wenden immer bessere Techniken an

» Einige Daten sind nur im RAM vorhanden

©SU

NW

OR

KS

S

Page 28: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

28 28

» Die meisten Forensic Tools booten auf ihrem OS ihre Basisdienste

˃ Informationen müssen aus dem physikalischen Speicher gelesen werden

˃ Disk Dumping

» User-Level Rootkits

˃ Modifizieren von Systemaufrufen (ls, ps, du, df)

˃ Ändern der Disk-Space Statistik, Auflisten der laufenden Prozesse, etc.

©SU

NW

OR

KS

S

Page 29: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

29 29

» Grosse Festplatten ˃ Kapazität nimmt massiv zu

˃ Terabyte Systems sind gross aber schon weit verbreitet

˃ Searching (oder indexing) braucht Zeit

˃ Mirroring braucht Zeit

» Minimale Downtime (Mission Critical Systeme)

» Schwieriger um Beweise zu sammeln

» Einige Daten sind nur im RAM vorhanden

©SU

NW

OR

KS

S

Page 30: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

30 30

» Grosse Festplatten ˃ Kapazität nimmt massiv zu

˃ Terrabyte Systems sind gross aber schon weit verbreitet

˃ Searching (oder indexing) braucht Zeit

˃ Mirroring braucht Zeit

» Minimale Downtime (Mission Critical Systeme)

» Schwieriger um Beweise zu sammeln

©SU

NW

OR

KS

S

Page 31: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

31 31

» Zeitstempel immer notwendig, da er die Referenz für eine Veränderung ist

» Vorsicht bei Forensics auf dem originalem System (bei einem Start von Windows oder Linux werden mehr als 1000 Dateien verändert)

» Verdächtige Prozesse dürfen nicht verändert werden

» Nur vertrauenswürdige Programme verwenden (Angreifer baut meistens Hintertüren, … ein)

» Ordnungsgemässer Shutdown könnte Beweise vernichten

©SU

NW

OR

KS

S

Page 32: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

32 32

» Folgende Formattypen können analysiert werden:

˃ DMF, VHD, ISO, IMA, IMZ

» Disk Image vom dem Zielsystem kopieren

» Hash über das Image legen

» Disk mit WinImage analysieren und Evidence Dateien herauslösen

» Zweiten Hash über das Image legen um zu bestätigen dass sich das Image nicht verändert hat

» Herausgelöste Dateien in Forensic Tool laden und analysieren

©SU

NW

OR

KS

S

Page 33: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

33 33

» Scripts können via ADS versteckt werden

» Suche schwierig, da Dateien nicht im Explorer angezeigt werden

©SU

NW

OR

KS

S

Page 34: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

34 34

» c:\programme oder c:\program files ˃ VMWare ˃ Microsoft Virtual PC ˃ Bochs ˃ DOSBox ˃ Portable Virtual Privacy Machine

» «My Dokuments» oder «eigene Dateien» ˃ My LivePC’s ˃ My LivePC Documents ˃ My Shared LivePC Documents

» «Documents» oder «Dokumente» ˃ My Virtual Machines

» «Documents and Settings» oder «Dokumente und Einstellungen» ˃ VirtualBox

©SU

NW

OR

KS

S

Page 35: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

35 35

» Registry

˃ Tool RegRipper um schnell Informationen zu finden

» Ntuser.dat

» Ntuser.log

©SU

NW

OR

KS

S

Page 36: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

36 36

» In Netzwerkkomponenten » Im RAM » Auf Businesskritischen Mascheinen

˃ können nicht einfach ausgeschaltet werden

» Auf Storage-Devices ˃ Bei einen 1TB Server wird das Erstellen des Images

ein zeitliches Problem werden ˃ Wie sieht es dann bei 10TB aus und wie

transportieren wir die Daten ins Labor?

©SU

NW

OR

KS

S

Page 37: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

37 37

» Es werden die selben Produkte wie für die Analyse verwendet

» Nur auf einem relativ “ruhigem” System ist eine solche Analyse realistisch

» Win: dd if=\\.\PhysicalDrive0

of=e:\pd0.dd

» Linux: dd if=/dev/hdc of=/mnt/images/hdc.dd

©SU

NW

OR

KS

S

Page 38: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

38 38

» Registry Settings reg.exe

» Microsoft Security IT rockxp

» Event Logs psloglist, dumpevt

» Dump IE-Settings index.dat

» Devices devcon

» Slack Space drivespy, Forensik Software

» Virtueller Speicher System Scanner, X-Ways Forensics

» Versteckte Partitionen Partition Logic

©SU

NW

OR

KS

S

Page 39: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

39 39

» Systemzeit time/t

» Eingeloggte Benutzer psloggedon, net sessions,

Logonsessions

» Offene Dateien net file command, psfile, openfiles

» Netzwerkverbindungen netstat,

» Prozessinformationen Tlist, Tasklist, Pslist, Listdlls,

Handle, Openports

» Promisdetect promisdetect, promqry

©SU

NW

OR

KS

S

Page 40: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

40 40

» Windows ˃ Offene Files

˃ Offene Network Connections

˃ Registry Activity

˃ Open DLLs

˃ …

» Unix ˃ Offene Files

˃ Offene Network Connections

˃ Zugriff auf korrespondierende EXE

˃ Environment Variablen

˃ …

©SU

NW

OR

KS

S

Page 41: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

41 41

» Wenn virtuelle Maschine erstellt wird, wird Speicher alloziert.

» Änderungen am physikalischen Speicher bewirkt ebenfalls eine Änderung der Virtuellen Maschinen und der Performance.

» Limitierung des physikalischen Speichers, vermindert die Gefahr dass das Hostsystem «crashed».

» Reservation von Speicher für virtuelle Maschinen schränkt Funktionalität ein erhöht aber die Sicherheit da der Speicherbereich bekannt ist.

©SU

NW

OR

KS

S

Page 42: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

42 42

» VMWare teilt seinen virtuellen Maschinen Speicher zu

» Direkter Zugriff der VM auf Speicher nicht möglich

» Somit können nicht wesentlich mehr forensische Informationen gefunden werden wenn der VM mehr Speicher zugewiesen wird.

©SU

NW

OR

KS

S

Page 43: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

43 43

» Auswertung des Speichers erfolgt über die .vmem-Datei.

» Analyse kann über Open Source Tools wie dd, Volatility Framework, HBGary Responder, oder beliebige Kommerzielle Forensik Tools vorgenommen werden.

©SU

NW

OR

KS

S

Page 44: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

44 44

» Ein Trusted Dump wurde erstellt, was nun?

» Der Dump wird analysiert um relevante Informationen über Processe, Threads, Offene Dateien, Sockets, etc. zu bekommen

» Erstens: analysieren der Lists/Tables der Kernel Structures

» Zweitens: “carving” für interessante Objekte

» Speicherinhalte dumpchk.exe

» Prozesse Eprocess

» Speicherprozess Parser Lsproc.pl

©SU

NW

OR

KS

S

Page 45: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

45 45

©SU

NW

OR

KS

S

Page 46: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

46 46

» Folgende Komponenten werden überprüft: ˃ Windows Registry ˃ Auslagerungsdatei ˃ Hibernation-Datei ˃ Papierkorb ˃ Druck-Dateien ˃ Dateisystem Internals ˃ File Carving ˃ Slack Space

©SU

NW

OR

KS

S

Page 47: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

47 47

» Daten ˃ Dateien ˃ Ordner

» Metadaten ˃ Zeitstempel (Ändern, Zugriff, Erstellen, Löschen) ˃ Owner ˃ Sicherheitsbeschreibung

» Strukturen ˃ Superblock/Master File Table/File Access Table ˃ Inodes/Clusters ˃ Daten

©SU

NW

OR

KS

S

Page 48: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

48 48

» Daten-Wiederherstellung verlangt Wissen über die Dateisystem-Internals

» Disk Layout » Was wurde wann gelöscht? » Verschiedene Dateisysteme sind heute vorhanden

˃ DOS / Windows: FAT, FAT16, FAT32, NTFS ˃ Unix: ext2, ext3, Reiser, JFS, … more ˃ Mac: MFS, HFS, HFS+

©SU

NW

OR

KS

S

Page 49: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

49 49

» Volatile Daten können einfach modifiziert werden oder verloren gehen

» Folgende Volatilen Daten können analysiert werden: ˃ Systemzeit ˃ Eingeloggte User ˃ Offene Dateien ˃ Netzwerk-Informationen, Netzwerk-Verbindungen,

Netzwerkstatus ˃ Prozess Informationen, Prozess Memory ˃ Service / Treiber Informationen ˃ Verbundene Netzlaufwerke, Freigaben ˃ …

©SU

NW

OR

KS

S

Page 50: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

50 50

» Nicht Volatile Daten werden verwendet für den Secondary Storage und bestehen über eine lange Zeitdauer. ˃ Versteckte Dateien, ADS Streams

˃ Slack Space, nicht allozierte Cluster

˃ Auslagerungsdatei

˃ Index Dat Files

˃ Metadaten

˃ Nicht verwendete Partitionen, versteckte Partitionen

˃ Registry Einstellungen

˃ …

©SU

NW

OR

KS

S

Page 51: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

51 51

» Mit einer Live-Analyse werden viele Infos verfügbar.

» Für die „kompletten“ Daten ist aber eine Post Mortem Analyse sinnvoller.

» Post Mortem Analyse ProDiscover

» Benutzer Aktivität NTUSER.DAT: Lastwrite

©SU

NW

OR

KS

S

Page 52: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

52 52

» Mit einer Live-Analyse werden viele Infos verfügbar.

» Für die „kompletten“ Daten ist aber eine Post Mortem Analyse sinnvoller.

» Post Mortem Analyse ProDiscover

» Benutzer Aktivität NTUSER.DAT: Lastwrite

©SU

NW

OR

KS

S

Page 53: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

53 53

©SU

NW

OR

KS

S

Page 54: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

54 54

Einfache Tools Integrierte Tools

» Viele einfachen Tools reichen für kleine Investigations

» Mit integrierten Tools können Sie auch Images erstellen

» Hex-Editoren reichen teilweise schon für Detailinfos

» Open Source ˃ Sleuth-Kit

˃ Coroners Toolkit

˃ F.I.R.E

˃ Helix

˃ Autopsy

˃ CAINE

» Kommerzielle ˃ Encase (in jedem Gericht

akzeptiert)

˃ Gargoyle Investigator

˃ Forensic Tool Kit

©SU

NW

OR

KS

S

Page 55: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

55 55

» Helix basiert auf einer Knoppix Live Linux CD

» Direkter Boot in die Linux-Umgebung möglich

» Kernels, excellente Hardwareerkennung, und viele Applikationen können verwendet werden

» Helix hat eine speziellen Windows Autorun Side für Incident Response and Forensics

» Helix ist fokussiert auf Incident Response and Forensics Tools

©SU

NW

OR

KS

S

Page 56: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

56 56

» Helix läuft in zwei verschiedenen Modes

˃ Windows and Linux

» Im Windows Mode läuft es als Standard Windows Application und wird verwendet um Informationen von einem “live” System zu sammeln

©SU

NW

OR

KS

S

Page 57: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

57 57

» CAINE (Computer Aided Investigative Environment) ist eine italienische GNU/Linux Live Distribution für IT Forensics. CAINE bietet eine komplexe Forensics Umgebung mit integrierten Tools und einem benutzerfreundlichen GUI

» Folgende Komponenten sind beim Gebrauch von CAINE wichtig: ˃ Eine Umgebung welche den Benutzer durch alle 4

Phasen führt

˃ Eine halbautomatische Erstellung der Schlussreports

©SU

NW

OR

KS

S

Page 58: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

58 58

Folgende Komponenten sind in Accessdata vorhanden:

» Password Recovery Toolkit ˃ Password Recovery für bekannte Applikationen

» Distributed Network Attack ˃ Password Recovery für geschützte Dateien

» Registry Viewer ˃ Lässt bekannte Registry Einträge sichtbar machen

und generiert Reports

» Wipe Drive ˃ Überschreibt Daten eines Computers

©SU

NW

OR

KS

S

Page 59: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

59 59

» Der FTK ermöglicht eine umfassende Forensische Analyse mit expliziter Case-Sicherheit

» Er enthält Index- und Suchfunktionen, eine umfassende Datei-Recovery und Grafikanalyse

» Vorteile:

˃ Integrierte Lösung

˃ Integrierte Oracle Datenbank und erweiterte Suche

˃ Sehr performant

˃ Intuitives Benutzerinterface

©SU

NW

OR

KS

S

Page 60: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

60 60

» „DIE“ Forensicslösung

» Wird vom Gros der Gerichte anerkannt

» Auch in grossen Umgebungen einsetzbar

» Analysiert mehrere Plattformen

» Auch für grosse Volumes einsetzbar

» Transferiert Evidence-Files direkt zum Law-Enforcement

» Netzwerklösung möglich

©SU

NW

OR

KS

S

Page 61: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

61 61

Open Source Tools Kommerzielle Tools

» Kostenlos herunter-zuladen und zu verwenden

» Einfach im Gebrauch

» Für einfache Analysen ideal

» Zum Teil teure Produkte

» Case immer integraler Bestandteil

» Sicherheit eingebaut

» Komplexer im Gebrauch

» Optimale Report-generierung

» Gerichtbar

©SU

NW

OR

KS

S

Page 62: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

62 62

Forensische Analyse mit Helix und Forensic Tool Kit

©SU

NW

OR

KS

S

Page 63: 6 jürg fischer it forensics in virtuellen umgebungen

Digicomp – Hacking Day `11

63 63

» Fazit ˃ Forensics ist eine sehr vielfältige Aufgabe

˃ Grösste Gefahr einer optimalen Analyse sind die sich verändernden Dateien und der Verbund der virtuellen Umgebung

˃ Zu analysierende Host- und Gastsysteme müssen bekannt sein

» Deshalb ˃ Virtualisierungs- System- und Forensics-Spezialisten sind

für eine Investigation virtueller Umgebungen notwendig

˃ Professionelle Tools sind zweckmässig

Für Fragen stehen wir gerne zur Verfügung: Phone:+41 56 249 44 11

Mail: [email protected]

©SU

NW

OR

KS

S

Page 64: 6 jürg fischer it forensics in virtuellen umgebungen

Juerg Fischer

Security Analyst

Sunworks GmbH, Ennetbaden

Microsoft Certified Trainer, EC-Council Certified Instructor

Schweizerische Post - Endjahrestagung 2009

©SU

NW

OR

KS