In Sammlung (en) In der gespeicherten
  1. Wissenschaft
  2. Gesundheitswissenschaft
  3. Infektionskrankheit

Forensik in der Praxis

Werbung 
Wolfgang Straßer
Geschäftsführer
@-yet GmbH
Forensik in der Praxis
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de


Juni 2002 gegründet
Sitz: Leichlingen/Rheinland

IT-Strategie- und Technologieberatung



IT-RESULTING IM FOKUS
Firmenportrait
kein HW- oder SW-Vertrieb
Beratungsschwerpunkte

IT-Risikomanagement

IT-Outsourcing
Zielgruppe:

add-yet GmbH
Mittelständische bis große Organisationen
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
2
IT und Risikomanagement


IT-RESULTING IM FOKUS
Aufgaben von IT Risikomanagement:
Schutz vor Verlust von

Know-how und

Wertschöpfung
Schutz vor Risiken, die sich

vertraglich

gesetzlich
aus der IT ergeben können.
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
3
IT und Risikomanagement



Business Continuity
Business Security
Business Compliance

IT-Forensik
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
IT-RESULTING IM FOKUS
Elemente von IT-Risikomanagement
4

Firmennetzwerke sind komplexe Gebilde.


es ist nahezu unmöglich, keine Spuren zu hinterlassen
es ist ebenfalls möglich, alles zu fälschen.

Die Kunst ist es, echte Spuren von falschen zu
unterscheiden

Nicht alle Informationen werden anerkannt.

Der kleinste Fehler kann die gewonnenen Informationen in
ihrer Verwertbarkeit beeinträchtigen

add-yet GmbH
leicht kann man unbeabsichtigt Spuren zerstören
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
5
IT-RESULTING IM FOKUS
Forensik
IT-RESULTING IM FOKUS
 Der Fall
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
6
 Kunde:

Internationaler Konzern – im DAX gelistet

innovativen Entwicklungen/ Know-How getrieben

Umgang mit Gefahrengüter

mehrere zig-tausende Mitarbeiter
 Mail von Sicherheitsfirma im Ausland
add-yet GmbH

Malware mit „Zugangsdaten“ des Kunden gefunden

Benutzername passt zu einem „Administrator“

Proxy-IP fest einprogrammiert
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
7
IT-RESULTING IM FOKUS
Ausgangslage APT
Was ist
tatsächlich
passiert?
Kann ich es mir
Leisten nicht zu
reagieren?
Unlautere
Akquise?
Erpressung?
InhouseErmittlungen vs.
unabhängige
Experten?
Was ist betroffen?
Kommunikation?
add-yet GmbH
IT-RESULTING IM FOKUS
Reaktion: Ja? Nein? Wie?
Wieviel kostet es,
wenn da nichts
war?
Wem kann
man trauen?
Schloß Eicherhof D-42799 Leichlingen
Ist da was
dran?
www.add-yet.de
8
Kontakt-Aufnahme Forensik Team-@-yet
add-yet GmbH

Sofortige Reaktion
 Geschwindigkeit ist essentiell

Sammeln der Fakten

Erste Analyse um Problem zu
bewerten

Anfrage weiterer Informationen
bei Sicherheitsfirma

Einschalten des Verfassungsschutz
(Spionage-Abwehr)
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
IT-RESULTING IM FOKUS
 Empfehlungen:
9
Erstes Meeting beim Kunden (2. Tag)
IT-RESULTING IM FOKUS
Das Team:
 Konzern-Sicherheit
 IT-Sicherheit (CISO)
 Konzern-Legal (Datenschutz+Jurist)
 IT-Infrastruktur und -Betrieb
Interessenskonflikt:


Vorgesetzter des Administrators

Verantwortlich für aktuelle IT-Lage
 IT-Administrator
Interessenskonflikt:


Kollege des betroffenen Administrators
 Verfassungsschutz

(Initial und später punktuelle Unterstützung)
 @-yet GmbH
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
10
Erste Informationen

IT-RESULTING IM FOKUS
 Kopie der Schadsoftware
Ausl. Sicherheitsfirma kooperiert
(ohne nach Geld zu fragen)
 Malware: C&C-Server mit Kundennamen im
Domänennamen

Internet-Suche „Kundennamen“ + Malware

Sample konnte aus Malware-Datenbank bezogen werden
 Sicherung Logs (umgehende Sicherung empfohlen)
add-yet GmbH

Anti-Virus

Firewall

VPN

Active-Directory

…
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
11

Noch keine Hinweise im Konzern-Netz

2 unterschiedliche Schadcodes identifiziert


Evtl. unabhängig

Keines wurde auf Kundensystemen gefunden

Antivirus-Erkennung: 0/54 auf Virustotal
Es hat auf jeden Fall einen Sicherheitsvorfall gegeben
add-yet GmbH

Benutzername und Proxy sind nach Außen gelangt

rechtfertigt Ermittlungen
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
12
IT-RESULTING IM FOKUS
Zwischenstand - Ausgangslage
Vorgehen


IT-RESULTING IM FOKUS
 Mehrere Tracks:
Malware-Analyse

Merkmale infizierter Systeme identifizieren

Tathergang aufklären
Sichtung Logs

Allgemeine Suche nach Spuren

Gezielte Suche nach aus Malware identifizierten
Merkmalen

Analyse Festplatten identifizierter Systeme
(forensische Sicherung der Platten)
add-yet GmbH

Prüfen von „Kernkomponenten“ auf Manipulation

Background-Informationen
(Domänen C&C-Server, Domänen-Inhaber, …)
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
13
 Proxy-Logs

Täglich Gigabytes – Kommunikation mit bekanntem
C&C-Server geblockt, soweit die Logs zurückgehen

Ca. 15 Rechner betroffen
(mehrere Admin-Rechner/ Server)
 Virenscanner
 Teilweise Infektionen erkannt, die nicht bereinigt
werden konnten
 Rechner Administrator (keine Infektion)
add-yet GmbH

Nutzung erst seit ca. 1 Monat

davor anderes Notebook, alte Platte existiert noch
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
14
IT-RESULTING IM FOKUS
Nachweis von Infektionen
Analyse der Notebooks(1)
IT-RESULTING IM FOKUS
 Identifikation der für Datenverkehr verantwortlichen
Malware
 Live-Analyse von Kopien in virtuellen Umgebungen
 Time-Line
add-yet GmbH

Priorität um bekannte Zeitpunkte

Zeit von Infektion bis jetzt

Zeit vor Infektion
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
15
Analyse der Notebooks(2)
IT-RESULTING IM FOKUS
 Analyse gelöschte Dateien
 Analyse Logs
 Aufstellen von Vermutungen aus Analyse-Daten
(Nachweis erfolgt später)
 Analyse der Historie für den Infektionszeitpunkt
 Zurückverfolgen des Infektionswegs
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
16

Infektion bereits vor 3 Monaten

Infektionen erfolgen in sehr kurzem Abstand

Zustand der Spuren sehr unterschiedlich

Teilweise nur punktuell rekonstruierbar

Manipulation lokaler Zertifikats und Schlüssel-Speicher

Austausch von Windows-DLLs gegen alte Originale
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
17
IT-RESULTING IM FOKUS
Ergebnisse – Notebook-Analyse(1)

Downgrade von Sicherheitsmaßnahmen

Auf den Systemen wurden zahlreiche Tools aufgebracht


Standard Administrationstools

Netzwerk-Scanner (Ports / Fileshares)

Password-Dumper (RAM/ Domäne)
Zugriff per Remote-Desktop auf diverse Systeme
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
18
IT-RESULTING IM FOKUS
Ergebnisse – Notebook-Analyse(2)
 Jailbreak-Tool für Android-Smartphone auf
Administrator-Notebook
add-yet GmbH

Zeitstempel passt zum Angriff

Administrator hat sein privates Smartphone mit
Firmennotebook verbunden

Angebl. kein bewusstes Rooten des Gerätes

Das Geräte wurde nicht zur Analyse bereitgestellt
(Privatgerät)

Laut Synchronisationslog besteht der Verdacht, dass
eine Spy-App installiert wurde
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
19
IT-RESULTING IM FOKUS
Ergebnisse – das Smartphone
 Gezielte Email an ca. 20 ausgewählte Personen
 Waterhole/Spearphishing
 Drive-By-Download auf „vertrauenswürdiger“ Webseite
(Schadsoftware wenige Minuten vor Erstinfektion hochgeladen)
 Installation Malware (Analyse Systemkonfiguration,
Download Malware)
 Kontroll-Malware (Remote-Shell / Upload /Download)
 Upload von Tools
 Interaktive Zugriffe
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
20
IT-RESULTING IM FOKUS
Angriffsweg
Zwischenbilanz
Passwörter mehrerer Administratoren kompromittiert
3 Monate voller Zugriff
Systemsicherheit gesenkt
Passwort-Dumper gefunden
Modifiziertes Mimikatz gefunden
(Golden-Ticket-Funktion)
 Komplette Netz-Übersichten
 Zugriff auf mehrere zentrale Server nachweisbar
 Verdacht auf Infektion von privaten Smartphone
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
IT-RESULTING IM FOKUS





21
Reaktion des Kunden
IT-RESULTING IM FOKUS
Kunde schließt entgegen jeglicher Anzeichen folgende
Zugriffe, auf Grund der theoretischen Folgen aus:
 Active-Directory-Passwörter
 Produktion
 Gefahrengüter
Einer Überprüfung der Systeme wird auf drängen @-yet
zugestimmt.
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
22
 Es wurden in allen kritischen Systemen Schwachstellen
identifiziert, über die ein Zugriff möglich gewesen wäre
 Auf einzelnen Systemen aller 3 Sicherheitsbereiche
wurden tatsächliche Anhaltspunkte für einen nicht
autorisierten Remote-Zugriff identifiziert
 Bei anderen Systemen waren auf Grund mangelnder
Spuren keine Analysen mehr möglich
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
23
IT-RESULTING IM FOKUS
Ergebnis der Überprüfung
 Logs wurden nicht oder erst spät geliefert

Logs nur vereinzelt verfügbar / nach Tagen

Teilweise nur wenige Minuten
 Es stehen keine Austausch-PCs zur Verfügung

Infizierte Rechner bleiben noch ca. 1 Woche in Betrieb

Benutzer werden über Infektion nicht informiert

Infizierte Platten wurden nach dem Anfertigen von Kopien
ohne Bereinigung trotz Warnung an die Mitarbeiter
zurückgegeben
 Falsche PCs werden geliefert
 Alternative Internet-Zugänge wurden verschwiegen
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
24
IT-RESULTING IM FOKUS
Erschwernisse (1)
Erschwernisse (2)

Administrator wird informiert

2 Stunden später wird die alte Festplatte geliefert
IT-RESULTING IM FOKUS
 Altes Notebook des Administrators
Forensische Rekonstruktion:
Letzte Aktion: 10 Minuten vor Übergabe wurden Programme,
Filme, Serien und Musik gelöscht
 IT-Verantwortlicher erschwert Analysen, um ggf.
Versäumnisse zu vertuschen
 Keine funktionierende IS-Organisation
 Kennwort-Änderungen waren systematisch
(neues Kennwort ableitbar)
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
25
IT-Verantwortlicher unterstellt Inkompetenz, fehlende
Warnungen beim Weiterbetrieb infizierter Systeme
 Sämtliche Verzögerungen, Aktionen, Warnungen und
Zwischenstände sind dokumentiert
 Die Vorgehensweise und Ergebnisse konnten auf Grund
lückenloser Dokumentation durch unabhängige
Sachverständige nachvollzogen werden
Bei Forensiken wird man schnell von der Rolle
des Analysten/Geschädigten zum Angeklagten
gemacht. Daher ist lückenlos dokumentieren Pflicht.
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
26
IT-RESULTING IM FOKUS
Vorwürfe
Herzlichen Dank für Ihre
Aufmerksamkeit!
Ihre Fragen bitte…
Wolfgang Straßer
[email protected]
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
Zugehörige Unterlagen
Nahrungsmittelintoleranzen – wenn Essen die Haut reizt
Nahrungsmittelintoleranzen – wenn Essen die Haut reizt
Schilddrüsenerkrankungen und Ihre Behandlung aus
Schilddrüsenerkrankungen und Ihre Behandlung aus
pdf formular für die österreich reiseplanung
pdf formular für die österreich reiseplanung
2 Tage oder länger das Jahr Revue passieren
2 Tage oder länger das Jahr Revue passieren
2. Neujahrsmarkt Schloß Schönbrunn 28. Dezember 2011 bis 1
2. Neujahrsmarkt Schloß Schönbrunn 28. Dezember 2011 bis 1
Schloß Holte-Stukenbrock SHS
Schloß Holte-Stukenbrock SHS
Die Barriere schützen – Hautpflege bei Pilzinfektionen
Die Barriere schützen – Hautpflege bei Pilzinfektionen
19. Kultur- und Weihnachtsmarkt und 3. Neujahrsmarkt Schloß
19. Kultur- und Weihnachtsmarkt und 3. Neujahrsmarkt Schloß
Franziska Staubach und Yizhuo Meng
Franziska Staubach und Yizhuo Meng
Lichtgeschädigte Haut: Sonnenbad - das hilft danach
Lichtgeschädigte Haut: Sonnenbad - das hilft danach
17_07_2014 Zorro - Deutsche Uraufführung[...]
17_07_2014 Zorro - Deutsche Uraufführung[...]
Biographie - Emmanuel Walderdorff Galerie
Biographie - Emmanuel Walderdorff Galerie
Details - Weihnachtsmarkt Schloß Schönbrunn
Details - Weihnachtsmarkt Schloß Schönbrunn
Informationsveranstaltungen für Schulen (auch als PDF)
Informationsveranstaltungen für Schulen (auch als PDF)
22. Kultur- und Weihnachtsmarkt 6. Neujahrsmarkt Schloß
22. Kultur- und Weihnachtsmarkt 6. Neujahrsmarkt Schloß
Zahnheileurythmiekurse
Zahnheileurythmiekurse
(Gruppenkalender) für Lotus Notes Domino
(Gruppenkalender) für Lotus Notes Domino
bedienungsanleitung „combogard 33 e“
bedienungsanleitung „combogard 33 e“
Welche ÜbertragungsWege gibt es bei infektionen?
Welche ÜbertragungsWege gibt es bei infektionen?
13. Ostermarkt Schloß Schönbrunn 21. März bis 6. April 2015
13. Ostermarkt Schloß Schönbrunn 21. März bis 6. April 2015
Herunterladen
Werbung